Para entender el malware, he intentado crear yo mismo un ejemplo de juguete.
Sin embargo, no entiendo cómo el malware se instala en la computadora como un servicio, sin las credenciales del usuario.
Habiendo examinado ejemplos de servicio en MSDN (C ++), necesito dar credenciales de usuario para crear un servicio de inicio automático.
¿Qué técnicas emplea el malware? ¿Alguien puede dar una aclaración y proporcionarme algunos enlaces?
El malware a menudo viene empaquetado en los instaladores para otro software. Cuando el usuario inicia el instalador de un software que considera legítimo, espera que se le solicite la concesión de derechos de administrador. El instalador utilizará estos derechos de administrador para instalar tanto el programa legítimo como el malware.
Esto puede suceder fácilmente cuando obtiene software de fuentes dudosas o ilegales.
Un método hipotético del que nunca escuché en la práctica, pero que sería posible en teoría podría ser un malware que espera a que el usuario descargue cualquier forma de instalador y luego lo modifique para que también lo instale de forma permanente. Esto requeriría que el usuario descargue un instalador de software durante la misma sesión en la que se infectó con un malware en el espacio de usuario, por lo que no creo que este método de propagación sea muy efectivo.
Las cuentas de usuarios que se ejecutan con privilegios de administrador completos pueden instalar malware, o en cuentas estándar mediante programas que explotan la escalada de privilegios.
La escalada de privilegios es una vulnerabilidad de un sistema operativo o aplicación que adquiere un acceso elevado a los recursos que normalmente están protegidos desde una aplicación o usuario. Eso le otorga a la aplicación más privilegios de los previstos, y luego puede proporcionar privilegios para realizar acciones no autorizadas.
Muchas versiones heredadas de Windows crearon usuarios predeterminados como administradores. Incluso hoy en día, muchos usuarios utilizan estas cuentas de administrador como sus inicios de sesión predeterminados.
Si ciertas funciones de seguridad no están protegidas o configuradas correctamente ( Control de cuentas de usuario ), y / o un usuario se está ejecutando como usuario de tipo Administrador, o mediante una escalada de privilegios, es bastante trivial para instalar cualquier programa como un servicio : ya sea como un servicio con nombre, o más sigilosamente, como un programa que se ejecuta en svchost.exe, donde se ubicará en un grupo de servicios en particular, que luego se iniciará mediante svchost.exe.
La mayoría de los ataques de "phishing" de correo electrónico se basan en estas vulnerabilidades: El UPS " paquete Notificaciones entregadas ", Better Business Oficina , etc.
Lea otras preguntas en las etiquetas malware windows privilege-escalation