В Windows найден метод обхода белых списков приложений
Главная » Новости

В Windows найден метод обхода белых списков приложений

Олег Иванов 16 Июля 2018 - 08:51
...
В Windows найден метод обхода белых списков приложений

Исследователь в области кибербезопасности Мэтт Гребер нашел интересный метод обхода белых списков приложений в Windows. Помимо этого, эксперт описал технику выполнения произвольного неподписанного кода в winrm.vbs.

winrm.vbs (подписанный Windows скрипт в System32) способен выполнять контролируемый злоумышленником XSL, который не попадет под ограничения «enlightened script host», в результате это приведет к выполнению произвольного неподписанного кода.

«Если вы добавляете “-format:pretty” или “ -format:text” в winrm.vbs, он вытащит WsmPty.xsl или WsmTxt.xsl из каталога, в котором находится cscript.exe. Это значит, что атакующий может скопировать cscript.exe в нужное ему место, где находится вредоносный XSL», — пишет специалист.

«Благодаря этому киберпреступник может добиться выполнения произвольного неподписанного кода. Эта техника практически идентична описанному Кейси Смитом методу с использованием wmic.exe».

Что касается Proof-of-Concept, эксперт опубликовал следующие шаги:

  1. Поместить вредоносный файл WsmPty.xsl или WsmTxt.xsl в контролируемую атакующим директорию.
  2. Скопировать файл cscript.exe или wscript.exe в ту же самую директорию.
  3. Выполнить winrm.vbs с «-format», указав «pretty» (если был помещен файл WsmPty.xsl) или «text» (если был помещен файл WsmTxt.xsl).

Исследователь привел пример вредоносного XSL, который можно поместить в контролируемый злоумышленником каталог. В качестве примера эксперт помещает файл по этому пути — C:\BypassDir\WsmPty.xsl.

<?xml version='1.0'?>
<stylesheet
xmlns="http://www.w3.org/1999/XSL/Transform" xmlns:ms="urn:schemas-microsoft-com:xslt"
xmlns:user="placeholder"
version="1.0">
<output method="text"/>
 <ms:script implements-prefix="user" language="JScript">
 <![CDATA[
 var r = new ActiveXObject("WScript.Shell").Run("cmd.exe");
 ]]> </ms:script>
</stylesheet>

Грамотное оформление вредоносного файла WsmPty.xsl должно включать использование встроенного пейлоада DotNetToJScript, приводящего к выполнению произвольного кода.

«В процессе помещения файла WsmPty.xsl можно использовать следующий пакетный файл для запуска пейлоада», — объясняет эксперт:

mkdir %SystemDrive%\BypassDir
copy %windir%\System32\cscript.exe %SystemDrive%\BypassDir
%SystemDrive%\BypassDir\cscript //nologo %windir%\System32\winrm.vbs get wmicimv2/Win32_Process?Handle=4 -format:pretty
Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Большинство россиян не умеет противостоять атакам fake boss
Яков Шпунт 11 Сентября 2025 - 09:50
Мошенничество Домашние пользователиМалый и средний бизнес Лаборатория Касперского
Большинство россиян не умеет противостоять атакам fake boss

Большинство участников исследования «Контур.Толк» и «Лаборатории Касперского» признались, что не знают, как действовать в случае получения фейкового сообщения от имени руководителя. При этом с такими сообщениями сталкивались 80% опрошенных.

Чаще всего сотрудники просто игнорируют подобные письма. 35% отправляют их в спам, 14% удаляют, и лишь 1% уведомляет службу безопасности компании.

Как показало исследование, в 11% случаев такие инциденты приводили к серьезным последствиям. У 6% респондентов был утерян доступ к учетной записи, а единичные случаи заканчивались взломом ИТ-инфраструктуры или финансовыми потерями, вызванными пересылкой платежных документов или учетных данных.

Также фиксировались ситуации, когда злоумышленники получали доступ к Госключу, что позволяло им совершать юридически значимые операции от имени организации.

Для предотвращения подобных инцидентов 41% опрошенных считают необходимым проводить обучение сотрудников. 26% видят решение в применении защитных средств, 25% — в переходе на корпоративные мессенджеры. Лишь 12% указали на необходимость разработки политик безопасности и контроля за их соблюдением.

Отдельно отмечается, что почти половина компаний оставляет уволенных сотрудников в рабочих чатах.

«Угрозы информационной безопасности бизнеса во многом связаны с человеческим фактором. Сотрудники могут не только не распознать ловушку мошенников или начало кибератаки, но и не знать, как правильно действовать и к кому обращаться, если возникает подозрение», — отметил руководитель отдела по работе с клиентами среднего и малого бизнеса «Лаборатории Касперского» Алексей Киселев.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
OpenAI будет передавать опасные чаты правоохранительным органам
Новость
OpenAI будет передавать опасные чаты правоохранительным орга...
UserGate WAF 7.4 теперь доступен для отгрузки заказчикам
Новость
UserGate WAF 7.4 теперь доступен для отгрузки заказчикам
Число утечек данных из российских школ, колледжей и вузов выросло на 20%
Новость
Число утечек данных из российских школ, колледжей и вузов вы...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.