ΑρχικήSecurityWindows zero-day: Αρχεία JavaScript παρακάμπτουν το MoTW

Windows zero-day: Αρχεία JavaScript παρακάμπτουν το MoTW

Ένα νέο Windows zero-day επιτρέπει στους παράγοντες απειλών να χρησιμοποιούν κακόβουλα αυτόνομα αρχεία JavaScript για να παρακάμψουν τις προειδοποιήσεις ασφαλείας Mark-of-the-Web.

Δείτε επίσης: Ένα zero-day στο Windows Mark of the Web αποκτά ανεπίσημη ενημέρωση

zero-day

Τα Windows περιλαμβάνουν μια δυνατότητα ασφαλείας που ονομάζεται Mark-of-the-Web (MoTW), που επισημαίνει ότι ένα αρχείο έχει ληφθεί από το Διαδίκτυο και ως εκ τούτου, θα πρέπει να αντιμετωπίζεται με προσοχή καθώς θα μπορούσε να είναι κακόβουλο.

Το MoTW προστίθεται σε ένα αρχείο ή συνημμένο email που έχετε λάβει, ως ειδική εναλλακτική ροή δεδομένων που ονομάζεται “Zone.Identifier“, η οποία μπορεί να προβληθεί χρησιμοποιώντας την εντολή “dir /R” και να ανοίξει απευθείας στο Σημειωματάριο.

#secnews #europol 

Η Europol και οι αρχές επιβολής του νόμου από εννέα χώρες εξάρθρωσαν τη "Ghost", μια πλατφόρμα κρυπτογραφημένων επικοινωνιών, η οποία χρησιμοποιούνταν από εγκληματίες για διακίνηση ναρκωτικών, ξέπλυμα βρώμικου χρήματος και άλλες παράνομες δραστηριότητες.

Η πλατφόρμα Ghost διέθετε προηγμένες λειτουργίες ασφάλειας και ανωνυμοποίησης, επιτρέποντας την αγορά συνδρομών με κρυπτονομίσματα. Προσέφερε τρία επίπεδα κρυπτογράφησης και ένα σύστημα αυτοκαταστροφής μηνυμάτων, το οποίο εξαφάνιζε μηνύματα και ύποπτα στοιχεία από τις συσκευές των αποστολέων και των παραληπτών.

Μάθετε περισσότερα: https://www.secnews.gr/620188/europol-eksarthrothike-platforma-epikoinonion-ghost/

00:00 Εισαγωγή
00:16 Πληροφορίες για την πλατφόρμα Ghost 
00:57 Έρευνα, εξάρθρωση, συλλήψεις
01:43 Κρυπτογραφημένες επικοινωνίες και προκλήσεις
02:05 Σημασία εξάρθρωσης

Follow us:
Facebook:  https://www.facebook.com/SecNews 
Instagram:  https://www.instagram.com/secnews.gr/  
X (Twitter):   https://twitter.com/Secnews_GR
TikTok:    https://www.tiktok.com/@secnewsgr

#secnews #europol

Η Europol και οι αρχές επιβολής του νόμου από εννέα χώρες εξάρθρωσαν τη "Ghost", μια πλατφόρμα κρυπτογραφημένων επικοινωνιών, η οποία χρησιμοποιούνταν από εγκληματίες για διακίνηση ναρκωτικών, ξέπλυμα βρώμικου χρήματος και άλλες παράνομες δραστηριότητες.

Η πλατφόρμα Ghost διέθετε προηγμένες λειτουργίες ασφάλειας και ανωνυμοποίησης, επιτρέποντας την αγορά συνδρομών με κρυπτονομίσματα. Προσέφερε τρία επίπεδα κρυπτογράφησης και ένα σύστημα αυτοκαταστροφής μηνυμάτων, το οποίο εξαφάνιζε μηνύματα και ύποπτα στοιχεία από τις συσκευές των αποστολέων και των παραληπτών.

Μάθετε περισσότερα: https://www.secnews.gr/620188/europol-eksarthrothike-platforma-epikoinonion-ghost/

00:00 Εισαγωγή
00:16 Πληροφορίες για την πλατφόρμα Ghost
00:57 Έρευνα, εξάρθρωση, συλλήψεις
01:43 Κρυπτογραφημένες επικοινωνίες και προκλήσεις
02:05 Σημασία εξάρθρωσης

Follow us:
Facebook: https://www.facebook.com/SecNews
Instagram: https://www.instagram.com/secnews.gr/
X (Twitter): https://twitter.com/Secnews_GR
TikTok: https://www.tiktok.com/@secnewsgr

1

YouTube Video VVVDWG45SzRBbWhLQjFZMjNHbjY5YWV3LkVYMmtleXdBU0dB

Europol: Εξάρθρωσε την πλατφόρμα Ghost - Σύλληψη εγκληματιών

SecNewsTV 17 hours ago

Αυτή η εναλλακτική ροή δεδομένων “Zone.Identifier” περιλαμβάνει τη ζώνη ασφαλείας URL από την οποία προέρχεται το αρχείο, τον σύνδεσμο παραπομπής και τη διεύθυνση URL στο αρχείο.

Όταν ένας χρήστης επιχειρεί να ανοίξει ένα αρχείο που έχει επισημανθεί από το Mark-of-the-Web, τα Windows θα εμφανίσουν μια προειδοποίηση ότι το αρχείο πρέπει να αντιμετωπίζεται με προσοχή.

Το Microsoft Office χρησιμοποιεί επίσης το MoTW για να προσδιορίσει εάν το αρχείο πρέπει να ανοίξει σε Προστατευμένη προβολή, με αποτέλεσμα την απενεργοποίηση των μακροεντολών.

Η ομάδα πληροφοριών απειλών της HP ανέφερε πρόσφατα ένα zero-day, που επιτρέπει στους παράγοντες απειλών να μολύνουν συσκευές με ransomware Magniber χρησιμοποιώντας αρχεία JavaScript.

Δείτε ακόμα: 900 servers παραβιάστηκαν με τη χρήση μιας ευπάθειας zero-day Zimbra

Δεν πρόκειται για αρχεία JavaScript που χρησιμοποιούνται συνήθως σε όλους σχεδόν τους ιστότοπους, αλλά για αρχεία .JS που διανέμονται από παράγοντες απειλών ως συνημμένα ή λήψεις που μπορούν να εκτελεστούν εκτός ενός προγράμματος περιήγησης ιστού.

Τα αρχεία JavaScript που διανέμονται από τους παράγοντες απειλών Magniber, υπογράφονται ψηφιακά χρησιμοποιώντας ένα ενσωματωμένο μπλοκ υπογραφής με κωδικοποίηση base64, σύμφωνα με τη Microsoft.

JavaScript

Αφού το zero-day αναλύθηκε από τον Will Dormann, έναν ανώτερο αναλυτή ευπάθειας στο ANALYGENCE, ανακάλυψε ότι οι εισβολείς υπέγραψαν αυτά τα αρχεία με ένα κλειδί με κακή μορφή.

Όταν ήταν υπογεγραμμένο με αυτόν τον τρόπο, παρόλο που το αρχείο JS είχε ληφθεί από το Διαδίκτυο και έλαβε επισήμανση από το MoTW, η Microsoft δεν εμφανίζει προειδοποίηση ασφαλείας και το σενάριο εκτελείται αυτόματα για να εγκαταστήσει το Magniber ransomware.

Χρησιμοποιώντας αυτήν την τεχνική, οι φορείς απειλών μπορούν να παρακάμψουν τις κανονικές προειδοποιήσεις ασφαλείας που εμφανίζονται κατά το άνοιγμα των ληφθέντων αρχείων JS και να εκτελέσουν αυτόματα το σενάριο.

Ο Dormann είπε ότι οι φορείς απειλών θα μπορούσαν να τροποποιήσουν οποιοδήποτε αρχείο με υπογραφή Authenticode, συμπεριλαμβανομένων των εκτελέσιμων αρχείων (.EXE), για να παρακάμψουν τις προειδοποιήσεις ασφαλείας του MoTW.

Δείτε επίσης: Microsoft Exchange: Ο μετριασμός zero-day μπορεί να παρακαμφθεί

Για να γίνει αυτό, ο Dormann λέει ότι ένα υπογεγραμμένο εκτελέσιμο αρχείο μπορεί να τροποποιηθεί χρησιμοποιώντας έναν επεξεργαστή hex, για να αλλάξει μερικά από τα byte στο τμήμα υπογραφής του αρχείου και έτσι να καταστρέψει την υπογραφή.

Μόλις καταστραφεί η υπογραφή, τα Windows δεν θα ελέγξουν το αρχείο χρησιμοποιώντας το SmartScreen, σαν να μην υπήρχε επισήμανση MoTW και θα του επιτρέψουν να εκτελεστεί.

Absenta Mia
Absenta Miahttps://www.secnews.gr
Being your self, in a world that constantly tries to change you, is your greater achievement
spot_img

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS