Ho l'ordine di capire il malware, ho provato a creare un esempio di giocattolo da solo.
Tuttavia, non capisco come il malware si installi sul computer come un servizio, senza le credenziali dell'utente.
Dopo aver esaminato gli esempi di servizio su MSDN (C ++), ho bisogno di fornire le credenziali dell'utente per creare un servizio di avvio automatico.
Quali tecniche utilizza il malware? Qualcuno può dare dei chiarimenti e fornirmi qualche link?
Il malware spesso viene insaccato su dispositivi di installazione per altri software. Quando l'utente avvia il programma di installazione di un software che ritengono legittimo, si aspetta che venga richiesto di concedere i diritti di amministratore. L'installer utilizzerà quindi questi diritti di amministratore per installare sia il programma legittimo che il malware.
Questo può facilmente accadere quando si ottiene software da fonti discutibili o illegali.
Un metodo ipotetico di cui non ho mai sentito parlare nella pratica, ma che in teoria sarebbe possibile essere un malware che aspetta che l'utente scarichi qualsiasi forma di installazione e quindi modifichi l'installer per installare anche il malware in modo permanente. Ciò richiederebbe all'utente di scaricare un programma di installazione del software durante la stessa sessione in cui è stato infettato da un malware nello spazio utente, quindi non credo che questo metodo di propagazione sarebbe molto efficace.
I malware possono essere installati dagli account degli utenti con privilegi di amministratore completi o in account standard da programmi che sfruttano l'escalation dei privilegi.
L'escalation dei privilegi è un exploit di un sistema operativo o un'applicazione che acquisisce un accesso elevato alle risorse normalmente protette da un'applicazione o utente. Ciò offre a un'applicazione più privilegi di quanto previsto e può quindi fornire i privilegi per eseguire azioni non autorizzate.
Molte versioni precedenti di Windows hanno creato utenti predefiniti come amministratori. Ancora oggi, molti utenti usano questi account admin come login di default.
Se determinate funzionalità di sicurezza non sono protette o configurate correttamente ( Controllo account utente ), e / o un utente è in esecuzione come utente di tipo Amministratore o tramite escalation di privilegi, è piuttosto banale installare qualsiasi programma come servizio : o come servizio con un nome, o più di nascosto, come un programma che gira sotto svchost.exe, dove verrà inserito in un particolare gruppo di servizio, che viene quindi lanciato da svchost.exe.
La maggior parte degli attacchi di "phishing" via email si basano su queste vulnerabilità: il pacchetto UPS notifiche recapitate ", Better Business Ufficio , ecc.
Leggi altre domande sui tag windows malware privilege-escalation