Un binaire dans Windows 10 chargé de définir une image pour le bureau et l’écran de verrouillage peut aider les attaquants à télécharger des logiciels malveillants sur un système compromis sans déclencher l’alarme.

Connus sous le nom de fichiers binaires vivants (LoLBins), ces fichiers sont fournis avec le système d’exploitation et ont un objectif légitime. Les attaquants de toutes les couleurs en abusent dans les phases post-exploitation pour cacher des activités malveillantes.

La nouvelle LoL dans le bac

Un attaquant peut utiliser LoLBins pour télécharger et installer des malwares, contourner les contrôles de sécurité tels que UAC ou WDAC. En règle générale, l’attaque implique des logiciels malveillants sans fichier et des services cloud réputés.

Un rapport de Cisco Talos l’année dernière fournit une liste de 13 exécutables natifs Windows qui peuvent télécharger et exécuter du code malveillant:

  • powershell.exe
  • bitsadmin.exe
  • certutil.exe
  • psexec.exe
  • wmic.exe
  • mshta.exe
  • mofcomp.exe
  • cmstp.exe
  • windbg.exe
  • cdb.exe
  • msbuild.exe
  • csc.exe
  • regsvr32.exe

Les chercheurs de SentinelOne ont découvert que « desktopimgdownldr.exe », situé dans le dossier system32 de Windows 10, peut également servir de LoLBin.

L’exécutable fait partie du CSP de personnalisation (fournisseur de services de configuration) qui permet, entre autres, de définir l’écran de verrouillage et les images d’arrière-plan du bureau.

Dans les deux cas, le paramètre accepte les fichiers JPG, JPEG, PNG qui sont stockés localement ou à distance (prend en charge les URL HTTP / S).

Astuces simples

Gal Kristal de SentinelOne dit que l’exécution de desktopimgdownldr.exe avec des privilèges d’administrateur remplace l’image de l’écran de verrouillage définie par l’utilisateur, alertant de quelque chose de suspect.

Infos WEB:  Messenger présente le verrouillage des applications et de nouveaux paramètres de confidentialité

Cela peut être évité, cependant, si l’attaquant supprime une valeur de registre immédiatement après avoir exécuté l’exécution du binaire, laissant l’utilisateur plus sage.

Kristal a constaté que même si l’exécutable semble nécessiter des privilèges élevés (admin) pour pouvoir créer des fichiers dans C: Windows et dans le registre, il peut également s’exécuter en tant qu’utilisateur standard pour télécharger des fichiers à partir d’une source externe.

C’est possible en …

Voir la source de cette publication