SOS :: Security Operation Space
28 марта, четверг, 00:00
|
Hot News:

Ещё один родной файл Windows можно использовать для загрузки вредоносов

16 сентября 2020 г., среда, 11:15

Список «родных» исполняемых файлов Windows (LoLBins), с помощью которых можно скачать и запустить вредоносный код, продолжает расти. Известно, что с их помощью атакующий может обойти защитные функции операционной системы.

На этот раз внимание специалистов привлёк файл finger.exe, входящий в комплект Windows и отвечающий за восстановление пользовательской информации на удалённых компьютерах с запущенной службой Finger.

В процессе работы взаимодействие происходит по протоколу Name/Finger. Исследователь в области кибербезопасности Джон Пейдж обнаружил, что TCP/IP-команда Finger в Windows может также выступать в роли загрузчика файла и даже выполнять функции C2-сервера — отправлять команды и извлекать данные.

По словам Пейджа, команды можно маскировать под запросы finger, в этом случае встроенная антивирусная программа Microsoft Defender никак не отреагирует на подозрительную активность.

Специалист опубликовал PoC-скрипты DarkFinger.py и DarkFinger-Agent.bat, чтобы продемонстрировать эксплуатацию finger.exe. Также доступно видео, в котором Пейдж показывает работу скриптов.

Ваш голос учтён!
нравится
не нравится Рейтинг:
1
Всего голосов: 1
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
19:45
17:45
14:45
12:45
11:45
09:45
09:45
19:45
18:45
16:45
15:45
14:45
13:45
10:45
10:45
09:45
19:45
19:45


© 2013—2024 SOS :: Security Operation Space (Пространство Операций Безопасности)  // AMS  // Обратная связь  | 0.072
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.