Το εργαλείο που ρυθμίζει την εικόνα της επιφάνειας εργασίας και την οθόνη κλειδώματος, μπορεί να χρησιμοποιηθεί από hackers για να εγκαταστήσουν malware σε μία συσκευή.
Οι κακόβουλοι παράγοντες, χρησιμοποιούν συχνά τέτοιου είδους binaries, γνωστά ως living-off-the-land binaries (LoLBins), ώστε να εκτελούν παράνομες δραστηριότητες.
Μέσω των LoLBins, ένας hacker μπορεί να κάνει λήψη και εγκατάσταση ενός malware και να αποφύγει την ανίχνευση από την ασφάλεια μίας συσκευής (UAC ή WDAC).
Η Cisco Talos κυκλοφόρησε πέρυσι μια λίστα, με 13 εγγενή εκτελέσιμα Windows που μπορούν να χρησιμοποιηθούν από εισβολείς, για να κατεβάσουν και να εκτελέσουν malware:
- powershell.exe
- bitsadmin.exe
- certutil.exe
- psexec.exe
- wmic.exe
- mshta.exe
- mofcomp.exe
- cmstp.exe
- windbg.exe
- cdb.exe
- msbuild.exe
- csc.exe
- regsvr32.exe
Οι ερευνητές ασφαλείας της SentinelOne, ανακάλυψαν ότι το “desktopimgdownldr.exe“, που βρίσκεται στο φάκελο system32 των Windows 10, μπορεί επίσης να χρησιμεύσει ως LoLBin.
Το εκτελέσιμο είναι μέρος του Personalization CSP (πάροχος υπηρεσιών διαμόρφωσης) που επιτρέπει, μεταξύ άλλων, τον καθορισμό της οθόνης κλειδώματος και των εικόνων φόντου της επιφάνειας εργασίας.
Τόσο για το φόντο της επιφάνειας εργασίας όσο και για την οθόνη κλειδώματος, το εργαλείο δέχεται αρχεία JPG, JPEG, PNG που αποθηκεύονται τοπικά ή απομακρυσμένα (υποστηρίζει διευθύνσεις URL HTTP / S).
Σύμφωνα με τον ερευνητή Gal Kristal της SentinelOne, η εκτέλεση του desktopimgdownldr.exe με δικαιώματα διαχειριστή, παρακάμπτει την καθορισμένη από τον χρήστη εικόνα οθόνης κλειδώματος, με αποτέλεσμα να τον προειδοποιεί ότι κάτι δεν πάει καλά.
Αυτό μπορεί να αποφευχθεί ωστόσο, εάν ο εισβολέας διαγράψει την τιμή μητρώου αμέσως μετά την εκτέλεση του binary, χωρίς ο χρήστης να υποψιαστεί το παραμικρό, κι έτσι να μπορέσει να προχωρήσει στην εκτέλεση του malware.
Ο Kristal διαπίστωσε ότι ενώ το εκτελέσιμο φαίνεται να απαιτεί υψηλά δικαιώματα, ώστε να μπορεί να δημιουργεί αρχεία στο C: \ Windows και στο μητρώο, μπορεί επίσης να εκτελεστεί με δικαιώματα ενός τυπικού χρήστη, για λήψη αρχείων από εξωτερική πηγή.
Ο Kristal λέει ωστόσο, ότι ένας χρήστης θα μπορούσε να διορθώσει την κατάσταση. Προτείνει σε όσους χρησιμοποιούν προγράμματα Endpoint Detection and Response να προσθέσουν το “desktopimgdownldr.exe” στις λίστες παρακολούθησης, ώστε να μπορούν να το εντοπίσουν και να το αντιμετωπίσουν.
