Menu dostępności

jak za pomocą wbudowanego w Windows polecenia „netsh.exe” oraz skompilowanej własnej biblioteki DLL możemy uzyskać narzędzie do uruchamiania malware

Uruchamianie malware za pomocą wbudowanego w Windows narzędzia do modyfikacji ustawień sieciowych netsh.exe

Do opisania w dzisiejszym artykule nowego LOLBina zainspirował nas Grzegorz Tworek. Pokazał on, jak za pomocą wbudowanego w Windows polecenia „netsh.exe” oraz skompilowanej własnej biblioteki DLL możemy uzyskać narzędzie do uruchamiania malware lub dowolnych poleceń.

O LOLBinach pisaliśmy ostatnio w artykule pod koniec kwietnia. Wymieniliśmy wtedy aż siedem nowych sposobów na uruchomienie własnego malware. Dzisiejszy zdecydowanie dodajemy do tej listy i opisujemy poniżej.

Co to jest netsh.exe?

netsh.exe to popularne w świecie administratorów Windows i sieciowców narzędzie skryptowe wiersza poleceń, które umożliwia wyświetlanie lub modyfikowanie konfiguracji sieciowej aktualnie uruchomionego komputera. Poleceń netsh można używać w plikach wsadowych lub skryptach. Za pomocą netsh jesteśmy w stanie konfigurować komputery zdalne oraz lokalne.

netsh.exe i uruchomienie malware?

Jedną z ciekawych możliwości netsh jest współdziałanie z innymi składnikami systemu operacyjnego za pomocą plików bibliotek dołączanych dynamicznie (DLL).

Każda pomocnicza biblioteka DLL netsh zapewnia rozbudowany zestaw funkcji zwanych kontekstem, który jest grupą poleceń specyficznych dla roli lub funkcji serwera sieciowego. Te konteksty rozszerzają funkcjonalność narzędzia netsh, zapewniając obsługę konfiguracji i monitorowania dla jednej lub większej liczby usług, narzędzi czy protokołów.

W celu załadowania takiej biblioteki do netsh wystarczy uruchomić poniższą komendę:

netsh.exe add helper <nazwa_biblioteki>
netsh.exe - uruchamianie

I tutaj się zatrzymamy, ponieważ Grzegorz zauważył możliwość utworzenia własnej biblioteki DLL, która mogłaby być wykorzystana przez malware do uruchamiania dowolnych komend. Taki autorski backdoor w systemie.

netsh.exe - własna biblioteka dll
Źródło: Twitter

Aby powyższe mogło zadziałać, konieczne jest spełnienie jednego warunku – na takiej końcówce musimy posiadać uprawnienia administratora lokalnego, ponieważ ze zwykłego użytkownika nie możemy załadować biblioteki DLL do netsh.exe.

netsh.exe - własna biblioteka dll - uruchamianie

Konfiguracja złośliwej biblioteki

Grzegorz na portalu GitHub zamieścił napisany w języku C kod źródłowy przykładowej biblioteki „netshrun.dll”, którą możemy wykorzystać do rozszerzenia poleceń w netsh.exe.

Posiada ona funkcję „RunStartHelper”, definiującą polecenie „run”, którym możemy wystartować (uruchomić) dowolną komendę.

netsh.exe - własna biblioteka dll - przykład

Na przykład pisząc „start calc.exe”, uruchomimy na ekranie kalkulator.

netsh.exe - własna biblioteka dll - przykład - kalkulator

Możemy oczywiście używać innych poleceń, co stwarza ogromne możliwości dla cyberprzestępców.

Podsumowanie

Opisany powyżej LOLBin to na pewno nowy interesujący sposób na uruchamianie instrukcji malware, który może zainspirować badaczy bezpieczeństwa do wyszukiwania kolejnych (w końcu Windows to niewyczerpana kopalnia takich odkryć). Choć wymaga uprawnień administracyjnych do systemu, z pewnością nie będzie stosowany w atakach na komputery, za to może być wykorzystywany w fazie posteksploitacyjnej ataku do utworzenia przyczółku na komputerze.

Wbudowane polecenie „netsh.exe” z pewnością będzie maskowało aktywność uruchamianych komend na Windows. Warto dodać to polecenie do monitorowanych w systemach bezpieczeństwa w firmach.

Popularne

FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

16 czerwca, czyli zaledwie pięć dni po rozpoczęciu Mistrzostw Świata 2026, badaczka cyberbezpieczeństwa działająca pod pseudonimem „BobDaHacker” opisała na swoim blogu lukę odkrytą w systemach FIFA. Według...
External MFA w Microsoft Entra ID – koniec Custom Controls

External MFA w Microsoft Entra ID – koniec Custom Controls

MFA, czyli uwierzytelnianie wieloskładnikowe, opiera się na prostej zasadzie: samo hasło nie wystarcza. Po wpisaniu loginu i hasła użytkownik musi jeszcze potwierdzić swoją tożsamość drugim składniki...
Ośmioletnia luka w Samsung KNOX. Miliony urządzeń Galaxy były narażone na ataki!

Ośmioletnia luka w Samsung KNOX. Miliony urządzeń Galaxy były narażone na ataki!

Badacze odkryli ośmioletnią lukę bezpieczeństwa, dotyczącą niemal wszystkich urządzeń Samsung od Galaxy S9 do S25. Została sklasyfikowana jako podatność o wysokim stopniu zagrożenia – CVSS 7.8. Luka...
Krytyczna luka w Oracle E-Business Suite już wykorzystywana przez cyberprzestępców. Zagrożone systemy finansowe przedsiębiorstw!

Krytyczna luka w Oracle E-Business Suite już wykorzystywana przez cyberprzestępców. Zagrożone systemy finansowe przedsiębiorstw!

Administratorzy korzystający z Oracle E-Business Suite powinni jak najszybciej zweryfikować stan swoich systemów. Eksperci ds. cyberbezpieczeństwa potwierdzili bowiem aktywne wykorzystywanie krytycznej pod...
USBLITER8. Niezałatana podatność, która podważa zaufanie do USB

USBLITER8. Niezałatana podatność, która podważa zaufanie do USB

Przez lata wydawało się, że bezpieczeństwo urządzeń USB jest tematem dobrze zrozumianym. Owszem, pojawiały się ataki wykorzystujące firmware, fałszywe klawiatury czy modyfikowane pendrive'y, ale więks...