Autor Tema: UAC Bypass, auto elevando permisos de administrador en malware  (Leído 332 veces)

0 Usuarios y 1 Visitante están viendo este tema.

Conectado Rock Lee

  • Administrador
  • *
  • Mensajes: 1019
  • Sexo: Masculino
  • ar
  • Digitalizando tu Mundo
    • Ver Perfil
    • La nueva era del conocimiento

UAC Bypass, auto elevando permisos de administrador en malware (sin consentimiento del usuario!)

Usualmente, UAC es una primera línea de defensa de Microsoft para evitar que cualquier programa (incluido malware) obtenga permisos de administrador sin consentimiento del usuario. UAC es un sistema de seguridad programado por Microsoft basado en niveles de permisos de usuario; es decir, cuando un usuario administrador quiere ejecutar un archivo que requiere permisos de administrador, se le abre una pequeña ventana tipo pop-up donde se le pide confirmación de que quiere otorgarle permisos de administrador al archivo; y si el usuario es standard, se le solicita la contraseña de administrador para otorgarle dichos permisos al archivo. Esto es algo similar a la técnica utilizada en Linux, su comando "sudo" para poder utilizar correctamente los comandos de consola.

Como la gran mayoría de los malware tienen intenciones maliciosas con y para esto necesitan acceso a archivos y características críticas de Windows, usualmente necesitarán permisos de administrador para hacer sus tareas, volviéndose inútiles si no lo obtienen. Algunas técnicas utilizadas son mostrar la ventana de UAC para conseguir permiso, y si el usuario los deniega, seguir desplegando la ventana infinitas veces hasta que el usuario se canse.

Sin embargo, cibercriminales han descubierto una nueva técnica para esquivar la protección de UAC y auto elevarse permisos de administrador, y es que los programadores del malware "Trickbot" lograron abusar del proceso de Windows "Wsreset.exe".

Wsreset.exe es un proceso del sistema operativo (legítimo de Windows) utilizado para resetear la cache de Windows Store. Y su funcionamiento es bastante sencillo. Al ejecutarse, Wsreset.exe lee un comando del valor default de HKCU\Software\Classes\AppX82a6gwre4fdg3bt635tn5ctqjf8msdd2\Shell\open\command key y lo ejecuta. Al ejecutar dicho comando, Windows no muestra ninguna ventana de UAC y los usuarios no tienen idea de que algo está sucediendo en segundo plano (ya que ningún usuario quiere dar permisos de administrador constantes para resetear cache, y mas cuando no saben ni que es).

Trickbot realiza un exploit sobre UAC gracias a este proceso para ejecutarse a si mismo con privilegios elevados, pero sin que el usuario de sesión sea notificado. Esto le permite al troyano funcionar en segundo plano mientras extrae credenciales de inicio de sesión, tokens (llaves) SSH, historial de navegación, cookies, etc. TrickBot es especialmente peligroso ya que se expande por la red local y si obtiene acceso de administrador sobre un controlador de dominio, puede robarse la base de datos de Active Directory para ganar mas credenciales sobre la red. Ademas, al finalizar su trabajo, este troyano abre las puertas a Ryuk Ransomware para encriptar la red entera.

>>> Autor del Tema <<<

Desconectado magicbone

  • [L0] Ladrón de espacio en la BD
  • Mensajes: 8
  • cl
  • Bienvenidos/as a Bomber Code
    • Ver Perfil
Re:UAC Bypass, auto elevando permisos de administrador en malware
« Respuesta #1 el: 23 Marzo de 2020, 03:47 pm »
Esta bueno, pero ¿Qué comando será?... :O

Conectado Rock Lee

  • Administrador
  • *
  • Mensajes: 1019
  • Sexo: Masculino
  • ar
  • Digitalizando tu Mundo
    • Ver Perfil
    • La nueva era del conocimiento
Re:UAC Bypass, auto elevando permisos de administrador en malware
« Respuesta #2 el: 23 Marzo de 2020, 10:20 pm »
Es raro no este publicado del todo pero mucho hoy en dia no llega al publico en general parte porque genera algun tipo de ganancia y lo usaan de una mala manera, creo se perdio ese sentido de aprender sin joder al otro. Igualmente supongo debe ser algo simple, es windows que se complica en lo mas simple muchas veces mas en las ultimas actualizaciones...


Saludos Familia!

Desconectado magicbone

  • [L0] Ladrón de espacio en la BD
  • Mensajes: 8
  • cl
  • Bienvenidos/as a Bomber Code
    • Ver Perfil
Re:UAC Bypass, auto elevando permisos de administrador en malware
« Respuesta #3 el: 23 Marzo de 2020, 10:55 pm »
Si creo que vale la pena investigarlo, quizás se pueda aplicar la misma técnica para nuestras herramientas, la curiosidad me llama, se ve interesante el método.