training

اخبار

از آخرین اخبار ما مطلع شوید

بروزرسانی ویندوز اجرای برنامه‌های مخرب را برای هکرها ممکن می‌کند

۲۴ مهر ۱۳۹۹ - ۱۱:۲۰

LoLBins فایل‌های اجرایی مایکروسافت هستند که به صورت پیش فرض روی سیستم نصب می‌شوند یا قابل دانلود هستند که هکرها می‌توانند از آن سوءاستفاده کنند. مهاجمان می‌توانند با دور زدن مرحله شناسایی، کدهای مخرب را روی سیستم‌ها دانلود، نصب و اجرا کنند.

علاوه بر امکان اجرای کدهای مخرب، هکرها می‌توانند از آن برای دور زدن کنترل حساب کاربری ویندوز (UAC) یا کنترل ویندوز دیفندر (WDAC) استفاده کنند و به سیستم‌ها دسترسی پایدار پیدا کنند.

WSUS یا Windows Update Client یک ابزار بوده که در \windir%\system32 قرار دارد و امکان کنترل برخی از عملگرهای بروزرسانی ویندوز را از خط فرمان برای کاربران فراهم می‌کند. توسط آن می‌توان آپدیت‌های جدید را بررسی و بدون استفاده از رابط کاربری ویندوز، آن‌ها را نصب کرد.

با استفاده از گزینه ResetAuthorization/ می‌توان بررسی دستی بروزرسانی جدید را روی سرور WSUS با تنظیمات محلی آغاز کرد یا اینکه به سراغ سرویس بروزرسانی ویندوز رفت. با این حال یک محقق MDSec به نام «دیوید میدلهرست» به این موضوع پی برده که هکرها می‌توانند از «Wuauclt» برای اجرای کدهای مخرب روی سیستم‌های مجهز به ویندوز ۱۰ استفاده کنند.

این کار با بارگذاری یک DLL اختیاری با خط فرمان زیر امکان‌پذیر است:

wuauclt.exe /UpdateDeploymentProvider [path_to_dll] /RunHandlerComServer

 

همانطور که در اسکرین‌شات بالا مشاهده می‌کنید، «Full_Path_To_DLL» مسیری است که DLL ایجاد شده توسط مهاجم وارد شده و کد مخرب آن اجرا می‌شود. این تکنیک توسط «MITRE ATT&CK» به عنوان «اجرای پروکسی باینری از طریق Rundll32» شناخته می‌شود و مهاجمان را قادر می‌سازد تا آنتی‌ویروس، کنترل برنامه و محافظت از اعتبار گواهی دیجیتال را دور بزنند.

در این حمله مهاجمان چنین کاری را با اجرای کد مخرب از طریق DLL انجام می‌دهند. مایکروسافت به تازگی آنتی ویروس مایکروسافت دیفندر را بروزرسانی کرده که روشی برای دانلود فایل‌ها را روی دستگاه‌های ویندوزی فراهم می‌کند. پس از مدتی این کمپانی این قابلیت را از MpCmdRun.exe حذف کرد.

training

درباره ما

توضیح کوتاهی درباره ما و سابقه فعالیت های ما

شرکت مدرن هاست با 9 سال سابقه ی کاری و تجربه ی حرفه ای ، فعالیت خودرا از سال 1390 اغاز کرده است. اولویت این شرکت و تیم حرفه ای انها توجه به نیازها است و با گوش دادن کامل به نیاز های شما جای هیچ نگرانی باقی نمی گذارند. طبق رضایت به ارائه راهکارهای بهینه و استانداردی برای اجرای سایت شما می پردازد. لازم به ذکر است این طراحی و اجرای ان طبق خواسته مراجعه کننده است و میتوانند باب میل خود ان را تغییر دهند و تا پایان اتمام پروژه جهت اموزش های تکمیلی و تغییرات لازم برای طراحی سایت شما همراهتان خواهد بود.

شماره تماس: 025-32906627 ::: 09378972525
دفتر قم : بلوار شهید صدوقی ، پلاک 600
دفتر تهران : خیابان شیرازی شمالی ، بن بست کاج ، پلاک 4
ایمیل: info@modernhost.ir