Новый баг в Windows 10 может использоваться для загрузки или кражи файлов

Эксплойт -

Список встроенных исполняемых файлов в Windows, которые могут загружать и запускать вредоносный код, продолжает расти, сообщает  Bleeping Computer.

Эти файлы известны как living-off-the-land binaries (LoLBins) и являются частью системы. Они могут помочь злоумышленникам обойти меры безопасности для вредоносных программ, не вызывая оповещения системы безопасности.

Последним пополнением в списке стал файл finger.exe, системное приложение для получения информации о пользователях удаленных компьютеров, на которых запущена служба Finger deamon. Связь осуществляется через сетевой протокол Name/Finger.

Исследователь безопасности Джон Пейдж обнаружил, что команда Microsoft Windows TCPIP Finger также может функционировать как загрузчик файлов и импровизированный сервер управления и контроля, который может служить для отправки команд и извлечения данных с компьютера.

По словам исследователя, вредоносные команды, которые загружают файлы и извлекают данные,могут быть замаскированы как запросы Finger, так чтобы Защитник Windows обнаружил аномальную активность.

Одна из проблем заключается в том, что порт 79, используемый протоколом Finger, часто блокируется внутри организации, говорится в сообщении.

Однако злоумышленник с достаточными привилегиями может обойти ограничение, используя Windows NetSh Portproxy, который действует как перенаправитель портов для протокола TCP.

Этот метод позволит обойти правила брандмауэра и общаться с серверами через неограниченные порты для HTTP. Таким образом, запросы Portproxy доставляются на IP-адрес локального компьютера, а затем перенаправляются на указанный хост.

Использование finger.exe для загрузки файлов также имеет ограничения, но плюсом является то, что его сложно обнаружить, поскольку их кодирования с помощью Base64 достаточно, чтобы избежать обнаружения.

Доступны демонстрационные скрипты

Исследователь создал демо сценарий для проверки (PoC) - DarkFinger.py для DarkFinger-Agent.bat - и опубликовал их, чтобы продемонстрировать эту двойную функциональность finger.exe.

В видео, показывающем, как работают сценарии, Пейдж сравнил свой недавно обнаруженный метод с certutil.exe, еще одним LoLBin в Windows, используемым в злонамеренных целях.

Защитник Windows остановил действие certutil и зарегистрировал событие, в то время как сценарий DarkFinger без прерывания выполнил действие на компьютере с Windows 10:

В отчете Cisco Talos за прошлый год перечислено 13 LoLBin в Windows, однако, по состоянию на сегодняшний день исследователи безопасности обнаружили новые исполняемые файлы, которые соответствуют всем требованиям.

Один из самых последних, о котором сообщалось на BleepingComputer, - это не что иное, как  антивирус Windows Defender, встроенный в Windows, который может загружать произвольные файлы с помощью DownloadFile аргумента командной строки, добавленного в версии 4.18.2007.9 или 4.18.2009.9.

Другой - desktopimgdownldr.exe, исполняемый файл, находящийся в каталоге system32 Windows 10, который является частью Personalization CSP для изменения экрана блокировки и фоновых изображений рабочего стола. О нем мы уже подробно рассказывали.

Изображение на обложке: Kiyoshi Ota / Getty Images

Подписывайся на Эксплойт в Telegram, чтобы всегда оставаться на страже своей безопасности и анонимности в интернете.