Установщик обоев рабочего стола в Windows 10 позволяет загружать вредоносное ПО
4.07.20
Злоумышленники могут использовать desktopimgdownldr.exe для незаметной загрузки вредоносного ПО на уже взломанную систему.
SecurityLab
4.07.20
Злоумышленники могут использовать desktopimgdownldr.exe для незаметной загрузки вредоносного ПО на уже взломанную систему.
Код в Windows 10, ответственный за установку изображений на рабочем столе и экране блокировки, может использоваться злоумышленниками для незаметной загрузки вредоносного ПО на скомпрометированную систему.
Подобные файлы, так называемые living-off-the-land binaries (LoLBin), являются частью ОС и выполняют легитимную функцию. Однако их также используют киберпреступники всех мастей для сокрытия вредоносной активности после взлома компьютера. С помощью LoLBin они загружают и устанавливают на взломанную систему вредоносное ПО, а также обходят механизмы безопасности, такие как контроль учетных записей пользователей (UAC) и Windows Defender Application Control (WDAC). Как правило, в атаках используется бесфайловое вредоносное ПО и облачные сервисы с хорошей репутацией.
Как сообщают специалисты компании SentinelOne, расположенный в папке system32 в Windows 10 файл desktopimgdownldr.exe также может использоваться в качестве LoLBin. Этот исполняемый файл является частью поставщика услуг по настройке Personalization CSP, который помимо прочего позволяет пользователям устанавливать изображения рабочего стола и экрана блокировки. В обоих случаях настройками принимаются файлы JPG, JPEG и PNG, хранящиеся локально или удаленно (поддерживается HTTPS/URL).
Как пояснил Гал Кристал (Gal Kristal) из SentinelOne, если запустить desktopimgdownldr.exe с привилегиями администратора, установленное пользователем изображение заблокируется, что вызовет у жертвы подозрения. Однако этого можно избежать, если сразу же после запуска выполнения файла удалить значение реестра. В таком случае жертва ничего не заметит.
Кристал обнаружил, что, хотя для создания файлов в C:\Windows и реестре исполняемому файлу требуются привилегия администратора, для загрузки файлов из внешних источников ему достаточно привилегий обычного пользователя. Для этого перед его выполнением нужно изменить локацию в переменной среды %systemroot%. Таким образом атакующий сможет изменить место загрузки и обойти проверку доступа.
Без привилегий администратора запись в реестр невозможна, поэтому изображение экрана блокировки останется без изменений. Если атакующий получит привилегии администратора, он сможет удалить созданные загрузчиком следы присутствия в реестре Windows для Personalization CSP.
Подобные файлы, так называемые living-off-the-land binaries (LoLBin), являются частью ОС и выполняют легитимную функцию. Однако их также используют киберпреступники всех мастей для сокрытия вредоносной активности после взлома компьютера. С помощью LoLBin они загружают и устанавливают на взломанную систему вредоносное ПО, а также обходят механизмы безопасности, такие как контроль учетных записей пользователей (UAC) и Windows Defender Application Control (WDAC). Как правило, в атаках используется бесфайловое вредоносное ПО и облачные сервисы с хорошей репутацией.
Как сообщают специалисты компании SentinelOne, расположенный в папке system32 в Windows 10 файл desktopimgdownldr.exe также может использоваться в качестве LoLBin. Этот исполняемый файл является частью поставщика услуг по настройке Personalization CSP, который помимо прочего позволяет пользователям устанавливать изображения рабочего стола и экрана блокировки. В обоих случаях настройками принимаются файлы JPG, JPEG и PNG, хранящиеся локально или удаленно (поддерживается HTTPS/URL).
Как пояснил Гал Кристал (Gal Kristal) из SentinelOne, если запустить desktopimgdownldr.exe с привилегиями администратора, установленное пользователем изображение заблокируется, что вызовет у жертвы подозрения. Однако этого можно избежать, если сразу же после запуска выполнения файла удалить значение реестра. В таком случае жертва ничего не заметит.
Кристал обнаружил, что, хотя для создания файлов в C:\Windows и реестре исполняемому файлу требуются привилегия администратора, для загрузки файлов из внешних источников ему достаточно привилегий обычного пользователя. Для этого перед его выполнением нужно изменить локацию в переменной среды %systemroot%. Таким образом атакующий сможет изменить место загрузки и обойти проверку доступа.
Без привилегий администратора запись в реестр невозможна, поэтому изображение экрана блокировки останется без изменений. Если атакующий получит привилегии администратора, он сможет удалить созданные загрузчиком следы присутствия в реестре Windows для Personalization CSP.
SecurityLab
