SOS :: Security Operation Space
20 сентября, воскресенье, 00:00
|
Hot News:

Ещё один родной файл Windows можно использовать для загрузки вредоносов

16 сентября 2020 г., среда, 11:15

Список «родных» исполняемых файлов Windows (LoLBins), с помощью которых можно скачать и запустить вредоносный код, продолжает расти. Известно, что с их помощью атакующий может обойти защитные функции операционной системы.

На этот раз внимание специалистов привлёк файл finger.exe, входящий в комплект Windows и отвечающий за восстановление пользовательской информации на удалённых компьютерах с запущенной службой Finger.

В процессе работы взаимодействие происходит по протоколу Name/Finger. Исследователь в области кибербезопасности Джон Пейдж обнаружил, что TCP/IP-команда Finger в Windows может также выступать в роли загрузчика файла и даже выполнять функции C2-сервера — отправлять команды и извлекать данные.

По словам Пейджа, команды можно маскировать под запросы finger, в этом случае встроенная антивирусная программа Microsoft Defender никак не отреагирует на подозрительную активность.

Специалист опубликовал PoC-скрипты DarkFinger.py и DarkFinger-Agent.bat, чтобы продемонстрировать эксплуатацию finger.exe. Также доступно видео, в котором Пейдж показывает работу скриптов.

Ваш голос учтён!
нравится
не нравится Рейтинг:
1
Всего голосов: 1
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
13:15
11:15
11:15
09:15
07:15
07:15
06:15
16:15
13:15
12:15
10:15
09:15
06:15
13:15
11:15
09:15
07:15
06:15


© 2013—2020 SOS :: Security Operation Space (Пространство Операций Безопасности)  // Обратная связь  | 0.386
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.