Мэтт Нельсон: App Paths можно использовать для обхода UAC в Windows 10

Олег Иванов 20 Марта 2017 - 10:07

...

Мэтт Нельсон: App Paths можно использовать для обхода UAC в Windows 10

Исследователь в области безопасности Мэтт Нельсон (Matt Nelson) подробно описал метод обхода контроля учетных записей (UAC) в Windows 10, при котором используется ключ в реестре App Paths.

В течение последних нескольких месяцев Нельсон подробно описывал другие методы обхода UAC, в их число входил метод, при котором использовалась программа просмотра событий (Event Viewer) и метод, использующий утилиту очистки диска. Первый способ был использован в атаках, распространяющих вредоносные программы Remos RAT и Erebus.

Теперь исследователь обнаружил еще один метод обхода, который работает только в Windows 10. По словам Нельсона, Microsoft сосредоточилась на решении проблем, связанных с ранее раскрытыми методами обхода, а новый работает в Windows 10 build 15031.

Поскольку подписанные Microsoft бинарные файлы автоматически повышаются в привилегиях, исследователь решил более внимательно изучить этот механизм и обнаружил проблему в sdclt.exe, который относится к инструменту резервного копирования и восстановления системы компьютера в Windows. Как оказалось, sdclt.exe автоматически повышается в привилегиях, но только в Windows 10 (в Windows 7 есть механизим, предотвращающий это).

Как оказалось, sdclt.exe запускает control.exe, чтобы открыть элемент панели управления, исследователь обнаружил, что процесс получает путь к control.exe, запрашивая ключ App Path для него в HKEY_CURRENT_USER.

«Вызовы HKEY_CURRENT_USER (или HKCU) особенно интересны. Это часто означает, что процесс с повышенными привилегиями взаимодействует с местом реестра и туда может вторгнуться процесс со средними привилегиями» - говорит Нельсон.

Если поиск полного пути control.exe не возвращает инфолрмацию из HKCU, sdclt.exe продолжает типичный порядок поиска Windows. Однако злоумышленник может использовать эту схему, чтобы запросом sdclt.exe модифицировать ключ App Paths.

Эксперт отмечает, что этот метод подразумевает, что злоумышленник должен поместить вредоносный файл на диск, чтобы запустить его с повышенными привилегиями. Нельсон также опубликовал скрипт на GitHub, демонстрирующий атаку с использованием этого метода обхода.

«Скрипт получает полный путь к предполагаемому вредоносу, в нашем случае это будет C:\Windows\System32\cmd.exe, автоматически добавит ключи и запустит sdclt.exe» - объясняет исследователь.

Следующая главная новость »

DDoS 2026: атаки меняются — готова ли ваша защита?
Регистрируйтесь на эфир!

Екатерина Быстрова 20 Марта 2026 - 16:24

Трояны Домашние пользователи

Геймеров массово заражают Vidar 2.0 через фальшивые читы на GitHub

Игровое сообщество снова оказалось удобной мишенью для распространителей зловредов. Исследователи Acronis TRU обнаружили крупную кампанию, в которой вредоносный софт распространяют под видом бесплатных читов для популярных онлайн-игр. По их данным, для этого использовались сотни GitHub-репозиториев, а реальный масштаб может быть ещё больше — вплоть до тысяч страниц с вредоносными загрузками.

Главным героем этой истории стал Vidar Stealer 2.0 — новая версия хорошо известного инфостилера.

Acronis называет эту кампанию его фактическим первым массовым появлением в реальных атаках. Исследователи связывают рост активности Vidar 2.0 с тем, что по другим заметным стилерам (вроде Lumma и Rhadamanthys) в последнее время серьёзно ударили правоохранители. Освободившуюся нишу, похоже, быстро занял именно Vidar.

Сценарий атаки построен довольно хитро. Пользователя заманивают обещанием бесплатного чита, прячут ссылку за красивыми картинками и ведут через несколько промежуточных сайтов, чтобы затруднить автоматическое выявление цепочки заражения.

В качестве площадок для приманки фигурируют GitHub и Reddit, а значит, всё выглядит достаточно «привычно» для аудитории, которая и без того часто качает что-то не из самых официальных источников.

На геймеров такая схема рассчитана не случайно. Исследователи прямо называют их идеальными целями: они чаще других готовы скачивать сторонний софт, игнорировать предупреждения и запускать программы с сомнительным происхождением, если те обещают преимущество в игре. Плюс игровые аккаунты сегодня часто стоят вполне реальных денег из-за скинов, цифровых предметов и привязанных платёжных данных.

Сам Vidar 2.0 стал заметно злее прежних версий. По данным Acronis и Trend Micro, он получил многопоточную архитектуру, стал быстрее собирать данные и активнее использовать полиморфные сборки, из-за чего разным антивирусам сложнее ловить его по сигнатурам.

Вредонос интересуют логины, cookies, данные автозаполнения, криптокошельки, Azure-токены, Telegram, Discord, FTP- и SSH-учётные данные. Кроме того, зловред делает скриншот рабочего стола и проверяет, не запущен ли он в песочнице или виртуальной машине, чтобы избежать анализа.

DDoS 2026: атаки меняются — готова ли ваша защита?
Регистрируйтесь на эфир!