Код в Windows 10, ответственный за установку изображений на рабочем столе и экране блокировки, может использоваться злоумышленниками для незаметной загрузки вредоносного ПО на скомпрометированную систему.

Подобные файлы, так называемые living-off-the-land binaries (LoLBin), являются частью ОС и выполняют легитимную функцию. Однако их также используют киберпреступники всех мастей для сокрытия вредоносной активности после взлома компьютера. С помощью LoLBin они загружают и устанавливают на взломанную систему вредоносное ПО, а также обходят механизмы безопасности, такие как контроль учетных записей пользователей (UAC) и Windows Defender Application Control (WDAC). Как правило, в атаках используется бесфайловое вредоносное ПО и облачные сервисы с хорошей репутацией.

Как сообщают специалисты компании SentinelOne, расположенный в папке system32 в Windows 10 файл desktopimgdownldr.exe также может использоваться в качестве LoLBin. Этот исполняемый файл является частью поставщика услуг по настройке Personalization CSP, который помимо прочего позволяет пользователям устанавливать изображения рабочего стола и экрана блокировки. В обоих случаях настройками принимаются файлы JPG, JPEG и PNG, хранящиеся локально или удаленно (поддерживается HTTPS/URL).

Как пояснил Гал Кристал (Gal Kristal) из SentinelOne, если запустить desktopimgdownldr.exe с привилегиями администратора, установленное пользователем изображение заблокируется, что вызовет у жертвы подозрения. Однако этого можно избежать, если сразу же после запуска выполнения файла удалить значение реестра. В таком случае жертва ничего не заметит.

Кристал обнаружил, что, хотя для создания файлов в C:Windows и реестре исполняемому файлу требуются привилегия администратора, для загрузки файлов из внешних источников ему достаточно привилегий обычного пользователя. Для этого перед его выполнением нужно изменить локацию в переменной среды %systemroot%. Таким образом атакующий сможет изменить место загрузки и обойти проверку доступа.

Без привилегий администратора запись в реестр невозможна, поэтому изображение экрана блокировки останется без изменений. Если атакующий получит привилегии администратора, он сможет удалить созданные загрузчиком следы присутствия в реестре Windows для Personalization CSP.

Источник: securitylab.ru