Установщик обоев рабочего стола в Windows 10 позволяет загружать вредоносное ПО

Материал из Викиновостей, свободного источника новостей

3 июля 2020 года

Код в Windows 10, ответственный за установку изображений на рабочем столе и экране блокировки, может использоваться злоумышленниками для незаметной загрузки вредоносного ПО на скомпрометированную систему.

Подобные файлы, так называемые living-off-the-land binaries (LoLBin), являются частью ОС и выполняют легитимную функцию. Однако их также используют киберпреступники всех мастей для сокрытия вредоносной активности после взлома компьютера. С помощью LoLBin они загружают и устанавливают на взломанную систему вредоносное ПО, а также обходят механизмы безопасности, такие как контроль учетных записей пользователей (UAC) и Windows Defender Application Control (WDAC). Как правило, в атаках используется бесфайловое вредоносное ПО и облачные сервисы с хорошей репутацией.

Как сообщают специалисты компании SentinelOne, расположенный в папке system32 в Windows 10 файл desktopimgdownldr.exe также может использоваться в качестве LoLBin. Этот исполняемый файл является частью поставщика услуг по настройке Personalization CSP, который помимо прочего позволяет пользователям устанавливать изображения рабочего стола и экрана блокировки. В обоих случаях настройками принимаются файлы JPG, JPEG и PNG, хранящиеся локально или удаленно (поддерживается HTTPS/URL).

Как пояснил Гал Кристал (Gal Kristal) из SentinelOne, если запустить desktopimgdownldr.exe с привилегиями администратора, установленное пользователем изображение заблокируется, что вызовет у жертвы подозрения. Однако этого можно избежать, если сразу же после запуска выполнения файла удалить значение реестра. В таком случае жертва ничего не заметит.

Кристал обнаружил, что, хотя для создания файлов в C:\Windows и реестре исполняемому файлу требуются привилегия администратора, для загрузки файлов из внешних источников ему достаточно привилегий обычного пользователя. Для этого перед его выполнением нужно изменить локацию в переменной среды %systemroot%. Таким образом атакующий сможет изменить место загрузки и обойти проверку доступа.

Без привилегий администратора запись в реестр невозможна, поэтому изображение экрана блокировки останется без изменений. Если атакующий получит привилегии администратора, он сможет удалить созданные загрузчиком следы присутствия в реестре Windows для Personalization CSP.

Источники[править]

Эта статья загружена автоматически ботом NewsBots и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.

Комментарии[править]

Викиновости и Wikimedia Foundation не несут ответственности за любые материалы и точки зрения, находящиеся на странице и в разделе комментариев.