Programmi dannosi che sfruttano le vulnerabilità di Windows [chiuso]

2

Mi chiedevo se la maggior parte dei virus e dei worm venissero creati per sfruttare le vulnerabilità del sistema Windows (non un'app di terze parti), inoltre mi piacerebbe vedere un rapporto.

In Windows un utente normale è sempre (la maggior parte delle volte) con diritti di amministratore, diciamo che l'utente esegue un virus / worm, dopo che è stato eseguito con diritti di amministratore, perché il virus / worm avrebbe bisogno di sfruttare un vulnerabilità? È già stato eseguito, basta controllare user == admin e infettare solo Windows.

La domanda è:

Perché un cattivo potrebbe creare un virus per sfruttare il sistema?

EDIT:

Bene, so di UAC ma come ho detto, alcuni utenti non sono istruiti, quindi non è sufficiente essere utenti Admin, l'idea di un virus è ottenere i diritti SYSTEM

Ora quale è lo scopo di un virus? perché non essere solo un keylogger o il cattivo ragazzo è solo un troll?

Tutto ciò deriva dal fatto che pensavo che i programmi antivirus rubassero informazioni sensibili all'utente, come keylogging o qualcosa del genere, perché ha bisogno di sfruttare una vulnerabilità? Trovo troppo complicato dipendere da una vulnerabilità, sapendo che le vulnerabilità sono state sradicate con gli aggiornamenti

    
posta tttony 21.07.2015 - 02:54
fonte

2 risposte

2

L'obiettivo di un malware è rimanere sul tuo sistema il più a lungo possibile. Per fare ciò ci vuole un certo numero di passaggi, e spesso solo avere privilegi amministrativi dell'utente non è sufficiente. Guadagnare l'esecuzione è solo un passo. Se il malware è abbastanza fortunato perché l'utente possa eseguirlo, non può presumere che abbia diritti di amministratore. In tal caso, è necessario lo sfruttamento di una vulnerabilità. Può controllare le autorizzazioni di Windows, ma le autorizzazioni dell'account in Windows sono una materia complicata .

Al punto di avere credenziali di amministratore degli utenti, il malware può spesso scrivere file e valori di registro. Ci sono molte tecniche di persistenza che possono essere usate, ma scrivendo chiavi di registro o l'esecuzione di file all'avvio è tra le più facili da rilevare e rimuovere. Per i sistemi operativi moderni è necessario andare oltre con i privilegi di livello SYSTEM.

Il semplice fatto di essere un amministratore non ti dà accesso totale al sistema e il livello successivo sarebbe sfruttare una vulnerabilità per consentire l'accesso a livello di sistema. Ciò darebbe all'attaccante un controllo sufficiente per installare un rootkit a un livello inferiore. I rootkit assumono molte forme e nei sistemi operativi moderni è sempre più difficile installare questi tipi di malware all'interno di processo di avvio .

Sfruttare le vulnerabilità assume molte forme. Non tutte le vulnerabilità portano all'esecuzione di codice remoto. Alcuni di loro possono portare a perdite di indirizzo di memoria che sono utili per sconfiggere ASLR, e alcuni danno solo un'escalation in privilegio. Il malware utilizza le vulnerabilità per il suo scopo specifico e tutte collegate tra loro possono creare un fastidioso software da eliminare.

    
risposta data 21.07.2015 - 14:24
fonte
1

Non presumere che l'utente abbia sempre diritti di amministratore. Questo potrebbe essere il caso sui computer di casa, ma sulle reti aziendali, gli utenti potrebbero essere utenti senza privilegi.

Sul motivo per cui un virus deve espellere una vulnerabilità specifica:

  1. Molti utenti non sono abbastanza stupidi da scaricare un virus sul proprio computer e quindi eseguirlo.
  2. Anche se lo facessero, allora l'UAC mostrerebbe un ovvio avvertimento che il programma voleva cambiare le impostazioni importanti del sistema.
risposta data 21.07.2015 - 13:39
fonte

Leggi altre domande sui tag