Темы Windows 10 можно использовать для кражи пароля от Windows-аккаунта

Темы Windows 10 можно использовать для кражи пароля от Windows-аккаунта

Темы Windows 10 можно использовать для кражи пароля от Windows-аккаунта

Специально созданные темы оформления в Windows 10 могут помочь злоумышленнику запустить атаку «Pass-the-Hash» и выкрасть учётные данные от аккаунта Windows. Известно, что операционная система позволяет пользователям создавать собственные темы, в которых можно настраивать цвета, звуки, стиль курсора мыши и обои рабочего стола.

Пользователи Windows могут в любой момент переключаться между разными темами, если захотят изменить вид ОС. Все созданные темы хранятся в директории %AppData%\Microsoft\Windows\Themes в виде файлов с расширением .theme — например, «Custom Dark.theme».

 

Любой кастомной темой Windows можно при желании делиться со знакомыми и друзьями. В этом случае они компонуются в файл с расширением .deskthemepack, который можно установить по двойному клику.

Джимми Бейн, исследователь в области кибербезопасности, обнаружил, что специально созданные темы для Windows можно использовать для атак «Pass-the-Hash». Это значит, что злоумышленник получает возможность выкрасть хеши имён пользователей и паролей. Для этого достаточно лишь обманом заставить пользователя обратиться к SMB-шаре, требующей аутентификацию.

При попытке получить доступ к удалённому ресурсу Windows автоматически отправит имя пользователя и NTLM-хеш пароля. Далее атакующий попытается дехешировать пароль и взломать аккаунт пользователя.

Специальные кастомные темы помогают в этом случае, если обои рабочего стола настроить на использование удалённого источника.

 

Другими словами, Windows будет автоматически отправлять учётные данные, если злоумышленник правильно настроит тему оформления.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

В SC SIEM обновили правила корреляции и добавили сотни новых IOC

В первом квартале 2025 года команда «Инновационные Технологии в Бизнесе» провела крупное обновление правил корреляции в системе Security Capsule SIEM (SC SIEM). Цель — повысить эффективность обнаружения инцидентов за счёт актуальных индикаторов компрометации (IOC).

Что изменилось?

В обновлении — более 500 уникальных IOC, сгруппированных по тактикам, техникам и процедурам (TTP) и связанным с деятельностью известных кибергруппировок. На основе этих данных реализованы десятки новых корреляционных сценариев. Среди них:

  • фишинг и доставка вредоносных файлов (T1566.001, T1204.002);
  • использование легитимного ПО в злонамеренных целях (T1219);
  • удалённое управление, бэкдоры;
  • подмена обновлений, в том числе имитация ViPNet и Telegra.ph;
  • атаки через RDP и распространение стилеров и загрузчиков (например, Lumma, SnakeKeylogger, PubLoad, Bookworm).

Что включено в IOC?

  • Домены и IP-адреса, связанные с C2-инфраструктурой и вредоносной активностью:
    checkip.dyndns.org, phpsymfony.com, resumeexpert.cloud, 104.21.48.1, 123.253.32.15 и др.
  • Фишинговые URL, маскирующиеся под Google Docs, Adobe, облачные сервисы:
    cloud-workstation.com, telegra.ph/..., my.powerfolder.com/...
  • хеш-суммы вредоносных файлов (SHA256/MD5/SHA1):
    стилеры (Lumma, SnakeKeylogger), бэкдоры (ToneShell, PhantomPyramid, Konni RAT), криптолокеры, MBR Killers
  • Профили группировок, упомянутые в отчётах:
    Red Wolf, Rare Werewolf, Sticky Werewolf, APT37, Head Mare и др.
  • Техники по MITRE ATT&CK:
    T1566.001, T1204.002, T1219, T1566.002, T1059.001

Что это даёт?

Обновление охватывает широкий спектр текущих угроз, включая APT-кампании, фишинг и распространение шпионского ПО. Правила корреляции помогают лучше связывать активность с определёнными группировками и их поведенческими шаблонами (TTP). Это позволяет быстрее реагировать на инциденты и проводить базовую атрибуцию атак.

Для пользователей SC SIEM

Пакет новых правил доступен для загрузки через интерфейс SC SIEM и совместим с актуальными версиями платформы.
Если вы используете SC SIEM для защиты КИИ, ИСПДн или ГИС — стоит убедиться, что обновление установлено: оно усиливает возможности по раннему выявлению угроз.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru