Новости и события » Общество » Установщик обоев рабочего стола в Windows 10 позволяет загружать вредоносное ПО

Установщик обоев рабочего стола в Windows 10 позволяет загружать вредоносное ПО

Установщик обоев рабочего стола в Windows 10 позволяет загружать вредоносное ПО

Код в Windows 10, ответственный за установку изображений на рабочем столе и экране блокировки, может использоваться злоумышленниками для незаметной загрузки вредоносного ПО на скомпрометированную систему.

Подобные файлы, так называемые living-off-the-land binaries (LoLBin), являются частью ОС и выполняют легитимную функцию. Однако их также используют киберпреступники всех мастей для сокрытия вредоносной активности после взлома компьютера. С помощью LoLBin они загружают и устанавливают на взломанную систему вредоносное ПО, а также обходят механизмы безопасности, такие как контроль учетных записей пользователей (UAC) и Windows Defender Application Control (WDAC). Как правило, в атаках используется бесфайловое вредоносное ПО и облачные сервисы с хорошей репутацией.

Как сообщают специалисты компании SentinelOne, расположенный в папке system32 в Windows 10 файл desktopimgdownldr.exe также может использоваться в качестве LoLBin. Этот исполняемый файл является частью поставщика услуг по настройке Personalization CSP, который помимо прочего позволяет пользователям устанавливать изображения рабочего стола и экрана блокировки. В обоих случаях настройками принимаются файлы JPG, JPEG и PNG, хранящиеся локально или удаленно (поддерживается HTTPS/URL).

Как пояснил Гал Кристал (Gal Kristal) из SentinelOne, если запустить desktopimgdownldr.exe с привилегиями администратора, установленное пользователем изображение заблокируется, что вызовет у жертвы подозрения. Однако этого можно избежать, если сразу же после запуска выполнения файла удалить значение реестра. В таком случае жертва ничего не заметит.

Кристал обнаружил, что, хотя для создания файлов в C:Windows и реестре исполняемому файлу требуются привилегия администратора, для загрузки файлов из внешних источников ему достаточно привилегий обычного пользователя. Для этого перед его выполнением нужно изменить локацию в переменной среды %systemroot%. Таким образом атакующий сможет изменить место загрузки и обойти проверку доступа.

Без привилегий администратора запись в реестр невозможна, поэтому изображение экрана блокировки останется без изменений. Если атакующий получит привилегии администратора, он сможет удалить созданные загрузчиком следы присутствия в реестре Windows для Personalization CSP.


Александр Педан совершил восхождение на Арарат: Подъем...

Александр Педан совершил восхождение на Арарат: Подъем выдался тяжелым, у меня началась горная болезнь

Ведущий реалити "Эксы" и судья шоу "Хто зверху?" (Новый канал) Александр Педан совершил восхождение на Арарат - свою третью и пока самую высокую вершину. Дальше - только выше! Так говорил Александр Педан, вернувшись в прошлом подробнее ...


загрузка...


загрузка...

загрузка...

Актуальные новости Украины на сегодня и последние события в мире экономики и политики, культуры и спорта, технологий, здоровья, происшествий, авто и мото новостей, фото и видео. 0.0.0.2127375

Вверх