Едва ли он чем то поможет, хорошо пропатченая семерка не дает ни каких привелегий, ну да инжектнулся а что дальше ? процесс либо работает с правами пользователя и не может писать в AppInitDll или в противном случае не хватает прав если этот процесс работает с правами SYSTEM - Инжектится туда не получается. Это невозможно по соображениям безопасности. На этом участке памяти стоит маркер GUID
Вопрос Обход UAC (Bypass UAC)
- Автор темы X-Shar
- Дата начала
- Регистрация
- 03.06.2012
- Сообщения
- 6 084
- Репутация
Ну я-же писал, что обход уак не простая задача !
Поэтому ИМХО тут два пути:
1. Правильный - Это обучить своих зверьков жить в уаке, т.е. с ограниченными правами. Что и сделано в современной малвари (Кейлогерах, ботнетах и т.д.).
2. Сделать манифест и надеется, что жертва нажмет "Да" !
Стоит отметить, что если у жертвы установлен например тот-же каспер, то там свой аналог уака, в лучшем случае просто отрубит какие-то функции трояна, например пересылка логов, а в худшем просто добавят в базы автоматом...
Поэтому если будете жить под уаком, скорей-всего и ав нестрашен будет !
Поэтому ИМХО тут два пути:
1. Правильный - Это обучить своих зверьков жить в уаке, т.е. с ограниченными правами. Что и сделано в современной малвари (Кейлогерах, ботнетах и т.д.).
2. Сделать манифест и надеется, что жертва нажмет "Да" !
Стоит отметить, что если у жертвы установлен например тот-же каспер, то там свой аналог уака, в лучшем случае просто отрубит какие-то функции трояна, например пересылка логов, а в худшем просто добавят в базы автоматом...
Поэтому если будете жить под уаком, скорей-всего и ав нестрашен будет !
На Widows блоки памяти процесса маркируются GUID ни чего не даст инжекция, жетрва ДА не нажмет. Ну допустим я работаю от процесса explorer.exe, это ни чего не даст, так же как и svchost.exe они не могут писать в реестр, по крайней мере в AppinitDLL, если бы все было так просто. Да нахрен бы ни чего не надо было, только автозагрузке нужны права, прицеливался на Akagi но он сученок не работает в ExecFromMemory, да и так орет админский токен подавай.
Я понимаю парни что все это бутофория, однако.... И очень хотел выразить большую благодарность людям типа X-Shar что хватает терпения возиться.
Я понимаю парни что все это бутофория, однако.... И очень хотел выразить большую благодарность людям типа X-Shar что хватает терпения возиться.
Последнее редактирование:
- Регистрация
- 03.06.2012
- Сообщения
- 6 084
- Репутация
Hunchback, а что хотите сделать-то ? Немного непонятно зачем работать от експлорера ? Вернее скажу так, если цель домохозяйка, то там и маскировка не нужна, можете замаскировать процесс например так " exp1orer" и никто ничего не заметит, ну будет он в пользовательской автозагрузки и что ?
Примерно так многие малварьщики и делают, куча таких вирусов видел и неплохо живут они, т.к. грамотность пользователей оставляет желать лучшего...
Есть еще такой метод, как заебать пользователя, вот пример:
Перед тем как повысить привилегии, начинаете долбить например с интервалом 5-10 секунд запрос на повышение до админа, у пользователя начнут появляться эти запросы через каждые 5-10 секунд и есть вероятность что он нажмет ок, ибо задалбает...
Примерно так многие малварьщики и делают, куча таких вирусов видел и неплохо живут они, т.к. грамотность пользователей оставляет желать лучшего...
Есть еще такой метод, как заебать пользователя, вот пример:
Перед тем как повысить привилегии, начинаете долбить например с интервалом 5-10 секунд запрос на повышение до админа, у пользователя начнут появляться эти запросы через каждые 5-10 секунд и есть вероятность что он нажмет ок, ибо задалбает...
Это все понятно, с другой стороны Conficker этого не делает, этот код само поизведение искусства, ловушки на DNS стаит, но непонятно как ему это удается без админских прав стек TCP не пропатчить, значит он их получает, мало того они отказались от планировщика глобального таймера внутри программы, вместо этого используется штатный планировщик windows. Он вызывает в разное время разные экспорты из DLL.
Мне вообще не понятно как эти парни вылазиют в другую область памяти и умудряются повредить реестр.
Мне вообще не понятно как эти парни вылазиют в другую область памяти и умудряются повредить реестр.
Последнее редактирование:
- Регистрация
- 03.06.2012
- Сообщения
- 6 084
- Репутация
А конфикер, он-же если не изменяет память Кидо, по мойму вирус 2012 года, он разве обходит уак ?
Сейчас загуглил, в той-же википедии сказано вот-что:
Столь быстрое распространение вируса связано со службой Server service. Используя «дыру» в ней, червь скачивает себя из Интернета. Интересно, что разработчики вируса научились постоянно менять свои серверы, что раньше не удавалось злоумышленникам.
Также он может распространяться через USB-накопители, создавая файл autorun.inf и файл RECYCLED\{SID}\RANDOM_NAME.vmx. В системе червь хранится в виде dll-файла со случайным именем, состоящим из латинских букв, например - c:\windows\system32\zorizr.dll. Также прописывает себя в сервисах со случайным именем, состоящим из латинских букв.
Червь использует уязвимости Windows, связанные с переполнением буфера и при помощи обманного RPC-запроса выполняет код. Первым делом он отключает ряд служб — автоматическое обновление Windows, Windows Security Center, Windows Defender и Windows Error Reporting, а также блокирует доступ к сайтам ряда производителей антивирусов.
Периодически червь случайным образом генерирует список сайтов (около 50 тыс. доменных имён в сутки), к которым обращается для получения исполняемого кода. При получении с сайта исполняемого файла червь сверяет электронно-цифровую подпись, и если она совпала — исполняет файл.
Кроме того, червь реализует P2P-механизм обмена обновлениями, что позволяет ему рассылать обновления удалённым копиям, минуя управляющий сервер.
Также он может распространяться через USB-накопители, создавая файл autorun.inf и файл RECYCLED\{SID}\RANDOM_NAME.vmx. В системе червь хранится в виде dll-файла со случайным именем, состоящим из латинских букв, например - c:\windows\system32\zorizr.dll. Также прописывает себя в сервисах со случайным именем, состоящим из латинских букв.
Червь использует уязвимости Windows, связанные с переполнением буфера и при помощи обманного RPC-запроса выполняет код. Первым делом он отключает ряд служб — автоматическое обновление Windows, Windows Security Center, Windows Defender и Windows Error Reporting, а также блокирует доступ к сайтам ряда производителей антивирусов.
Периодически червь случайным образом генерирует список сайтов (около 50 тыс. доменных имён в сутки), к которым обращается для получения исполняемого кода. При получении с сайта исполняемого файла червь сверяет электронно-цифровую подпись, и если она совпала — исполняет файл.
Кроме того, червь реализует P2P-механизм обмена обновлениями, что позволяет ему рассылать обновления удалённым копиям, минуя управляющий сервер.
Уважаемый X-Shar, да все верно, это и есть Кидо 2012 года, но тут вот какое дело, попалась мне машинка с windows 10 с диагнозом (тормозит) я обладел когда поглядел планировщик, дело в том что там куча процессов rundll32.exe UAC отключен, отправляет очень много запросов на другие машины, смотрел через etherape. Остальное все согласно диагнозу, отключена служба защитника, ловушка на DNS (в смысле нельзя зайти на сайты антивирусов). Дальнейшие попытки включить службу защитника windows заканчивались типа не удалось запустить службу 101
И чуть не забыл, случайноеимя.vmx ,было в папке c:\Program Files\Common Files а не как раньше. Размер 913кб
Может провести более детальное рассмотрение пока она на руках ?
И чуть не забыл, случайноеимя.vmx ,было в папке c:\Program Files\Common Files а не как раньше. Размер 913кб
Может провести более детальное рассмотрение пока она на руках ?
Последнее редактирование:
- Регистрация
- 03.06.2012
- Сообщения
- 6 084
- Репутация
Ну если не секретная технология, то кидайте сюда в тему, тут есть спецы которые могут сделать ресеч...
Под запароленный архив киньте...:)
- Регистрация
- 26.12.2012
- Сообщения
- 2 780
- Репутация
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
Полную версию журнала, а соответственно и статьи скоро можно будет скачать здесь
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
Если есть другие варианты-выкладывайте.
