[xakep.ru] Атаки на Windows. Заражение, обход защит, повышение привилегий

Windows — популярнейшая пользовательская ОС, что делает ее мишенью для специалистов по безопасности в шляпах всех цветов. «Хакер» писал о дырах в винде и их эксплуатации на протяжении всей своей истории. В этой подборке мы собрали наиболее актуальные и важные статьи о методах атак на машины с Windows — от макросов в документах до изощренных способов обхода защит.

Темы статей в этой подборке следуют по тому же пути, что и сама атака: сначала мы обсудим заражение и обход антивирусов, затем взаимодействие с разными защитными механизмами, повышение привилегий, дальнейшие действия в системе и, наконец, заметание следов.

В статье «Как заразить Windows» дан обзор способов, которые вирусописатели используют при заражении Windows 7 и Windows 10. Материал «Дырявый Word» подробнее рассказывает о сокрытии нагрузки в документах, а «Обфускация PowerShell» — о том, как скрипты на PowerShell скрываются от глаз антивируса.


В материале с вызывающим названием «F#ck AMSI» мы глубоко ныряем в устройство Windows Anti-Malware Scan Interface (интерфейса, через который антивирусы работают с файлами) и обсуждаем обход этой проверки. Статья «Скрытая нагрузка» расскажет тебе о кодировании нагрузки при помощи Meterpreter.

Локальное повышение привилегий от юзера до админа может быть как частью хакерской атаки, так и почти безобидной манипуляцией с излишне ограниченным в возможностях офисным компьютером. Мы выбрали сразу три обзорные статьи на эту тему: «Вскрываем Windows. Легкие способы получить права админа на рабочем компьютере», «Стань админом! 11 техник атак с повышением привилегий в Windows» и «Повышаем пользовательские привилегии в Windows».

На страже безопасности Windows стоит технология User Account Control. О том, как ее обходят хакеры, ты узнаешь в статьях «Практика разбитых окон» и «FUCK UAC», а из материала «Windows 10 против шифровальщиков» — об особенностях механизма Exploit Guard, который появился в Windows 10. Технология шифрования диска BitLocker тоже не осталась без внимания. Об атаках на нее читай в статье «Изучаем и вскрываем BitLocker».

Дальше идут четыре материала из разных областей, но связанные с эксплуатацией Windows: «Ядовитый ярлык» — эксплуатация интересного бага с ярлыками Windows; «Прятки по хардкору» — создание драйвера ядра в качестве метода сокрытия процессов; «Критичный процесс» — создание и принудительное завершение критических процессов в Windows; «Когда винда не видна» — установка (или переустановка) Windows через средства удаленного доступа.

Напоследок в статье «Заметаем следы в Windows 10» обсуждаются методы, которыми зачищают следы присутствия в системе.