Windows 10中的二进制文件负责为桌面和锁定屏幕设置映像,可以帮助攻击者在受感染的系统上下载恶意软件,而不会发出警 。
这些文件被称为“陆地上的二进制文件”(LoLBins),与操作系统一起提供并具有合法目的。在开发后阶段,各种颜色的攻击者都在滥用它们以隐藏恶意活动。
Bin中的新LoL
攻击者可以使用LoLBins下载和安装恶意软件,从而绕过UAC或WDAC等安全控制。通常,攻击涉及无文件恶意软件和信誉良好的云服务。
去年思科Talos的一份 告提供了13个Windows本机可执行文件的列表,这些可执行文件可以下载和执行恶意代码:
SentinelOne的研究人员发现,位于Windows 10的system32文件夹中的“ desktopimgdownldr.exe”也可以用作LoLBin。
该可执行文件是“个性化CSP”(配置服务提供商)的一部分,该CSP允许定义锁定屏幕和桌面背景图像等。
在这两种情况下,该设置均接受本地或远程存储的JPG,JPEG,PNG文件(支持HTTP / S URL)。
简单的把戏
SentinelOne的Gal Kristal说,以管理员权限运行desktopimgdownldr.exe会否决用户定义的锁屏图像,并发出可疑的警 。
但是,如果攻击者在运行二进制文件后立即删除注册表值,则使用户更明智,这是可以避免的。
Kristal发现,尽管该可执行文件似乎需要很高的权限(admin),以便它可以在C: Windows和注册表中创建文件,但它还可以作为标准用户运行,以从外部源下载文件。
这可以通过在执行二进制文件之前更改%systemroot%环境变量的位置来实现。这导致修改下载目标并绕过访问检查。
没有管理员权限,无法写入注册表,因此锁定屏幕图像保持不变。在这种情况下,除了下载的文件之外,该方法不会创建其他任何工件。
如果攻击者获得了管理员特权,他们可以删除Windows注册表中针对Personalization CSP的下载程序创建的所有曲目。Kristal说,该可执行文件使用BITS COM对象下载文件,并且在某些计算机上,它试图在%systemroot%位置找到COM +注册目录。由于攻击者更改了环境变量,因此尝试失败。
但是,通过使用mklink.exe实用工具创建符 链接,标准用户可以解决此问题,Kristal在今天发布的研究 告中说。
他建议端点检测和响应解决方案的用户将“ desktopimgdownldr.exe”添加到他们的查询和监视列表中,并将其像“ certutil.exe”(一种广泛使用的LoLBin)一样对待,这由高级黑客和政府犯罪分子根据评分来设定一大笔钱。
想知道更多最新安全咨询、关注我,然后私信“黑客”,我将会送上黑客入侵详细思路及每步使用什么工具。
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!