Сброс забытого пароля в Windows является очень востребован, так как после того как был успешно забыт пароль переустанавливать систему не очень хочется, да и времени нет. Поэтому будем пытаться, нет не вспоминать и не подбирать пароль, а просто заменим его на другой. Вообще существует несколько способов сбросить или заменить пароль, это с помощью:
- Утилит, программ (Offline NT Password and Registry editor);
- С помощью реестра (Включение учетной записи Администратора или правка пароля);
- С помощью подмены системных файлов (Нечестный способ, неправильный).
Во всех способах необходимо загрузится с загрузочного диска или диска восстановления системы. Я рассмотрю только третий вариант так как он является самым простым и быстрым, как мне кажется.
Смысл данного способа, получить доступ к консольной строке, при открытом окне запроса пароля пользователя (
Sticky Attacks: когда функция залипания клавиш помогает хакерам
Кибер-преступники всегда ищут новые способы преодоления систем защиты, установленных на компьютерах, для того чтобы избежать обнаружения и украсть пользовательские данные. В этом смысле хакеры «Black Hat» всегда обращались к вредоносным атакам (фишинг, сетевые черви или страшные трояны с шифровальщиками как самый страшный пример) для достижения своих целей: проникнуть в компании для кражи учетных записей или огромных объемов данных в обмен на выкуп… По крайней мере, так было до сих пор.
Антивирусная лаборатория PandaLabs недавно обнаружила довольно умное нападение на одну из компаний в Венгрии. Что сделало эту атаку такой особенной? Итак, атака совершенно не использует вредоносное ПО как таковое, но при этом использует скрипты и другие инструменты, принадлежащие самой операционной системе, чтобы обойти сканеры систем безопасности. Это всего лишь еще один пример роста самоуверенности и профессионализма хакеров, который мы наблюдаем у кибер-преступников в последние месяцы.
Анализ атаки без вредоносного ПО
Во-первых, как это уже стало нормой в последних связанных с безопасностью инцидентах, проанализированных в нашей лаборатории, атака начинается с того, что хакеры запускают атаку типа brute-force (подбор пароля) против сервера с включенным протоколом для удаленного рабочего стола (Remote Desktop Protocol, RDP). После того как преступники получают регистрационные данные для входа в систему компьютера, они получают полный доступ к нему.
Затем первое, что сделали хакеры, — это запустили файл sethc.exe с параметром 211 из окна компьютера с командной строкой (CMD). Это позволило им включить в системе функцию залипания клавиш (“Sticky Keys”). Мы уверены, что ранее Вы уже видели такое сообщение:
Далее, они скачали и запустили программу «Traffic Spirit». Данное приложение представляет собой генератор трафика, который в данном случае используется для заработка дополнительных денег с помощью зараженных компьютеров.
Веб-сайт Traffic Spirit
Затем запускается самораспаковывающийся файл, который разархивирует следующие файлы в папке %Windows%cmdacoBin:
• registery.reg
• SCracker.bat
• sys.bat
После этого хакеры приступили к запуску редактора реестра Windows (Regedit.exe) для добавления следующего ключа, содержащегося в файле registery.reg:
Этот ключ предназначен для того, чтобы каждый раз, когда используется функция залипания клавиш (sethc.exe), запускался также файл под названием SCracker.bat. Это пакетный файл, который внедряет очень простую систему аутентификации. При запуске файла отображается следующее окно:
Имя пользователя и пароль извлекаются из двух переменных, которые включены в файл sys.bat:
Таким образом, хакер устанавливает бэкдор на зараженной машине. С его помощью хакер сможет подключаться к данному компьютеру без необходимости вводить какие-либо регистрационные данные, включать функцию залипания клавиш (например, нажав клавишу SHIFT пять раз), и вводить соответствующие имя пользователя и пароль для открытия командной строки:
«Горячие клавиши» в командной строке позволят хакеру получать доступ к определенным папкам, менять цвет консоли, а также использовать другие стандартные команды для командной строки.
Впрочем, атака на этом не остановилась. В своей попытке получить максимум прибыли от данной компании, хакеры установили майнер биткоинов, чтобы извлечь пользу от каждого скомпрометированного компьютера для получения «халявных» денег. Программное обеспечение для майнинга биткоинов предназначено для того, чтобы без ведома жертвы использовать его компьютерные ресурсы для генерации виртуальной валюты. Дешевый и очень эффективный способ для монетизации компьютерных инфекций.
Как функция залипания клавиш помогает кибер-жуликам?
Если хакер действительно может получить доступ к требуемому компьютеру через RDP-соединение, то для чего им нужен бэкдор? Ответ на этот вопрос очень прост: устанавливая бэкдор на пострадавшую машину, даже если жертва поймет, что его система скомпрометирована, и изменит регистрационные данные для подключения к удаленному рабочему столу, то все, что потребуется сделать хакеру, — это нажать клавишу SHIFT пять раз для включения функции залипания клавиш и запуска бэкдора, после чего он снова сможет получить доступ к системе. И помните, что все это делается без единой вредоносной программы на пострадавшем компьютере.
Решение с функциями расширенной информационной безопасности Adaptive Defense 360 компании Panda Security сумело остановить эту направленную атаку благодаря непрерывному мониторингу IT-сети компании, защитив ее от серьезного финансового и репутационного ущерба.
- Sticky Attacks
- киберпреступность
- антивирусная защита
- хакеры
- Black Hat
- adaptive defense 360
- pandalabs
- бэкдор
- кибератака
- Блог компании Panda Security в России и СНГ
- Антивирусная защита
Источник: habr.com