Mindenestől lopja el a címtárakat a Trickbot trójai
A Trickbot trójai egy új modul révén már teljes címtárakat is képes kiszivárogtatni a tartományvezérlő szerverekről.A Trickbot trójai továbbra is rohamosan fejlődik, és napjaink egyik legtöbb kárt okozó, széles körben terjedő programjának számít. A legtöbbször az Emotet nevű botnet, illetve az ahhoz tartozó károkozó terjeszti elektronikus levelek, valamint azokhoz csatolt - általában - Word fájlok révén. Amikor felkerül egy számítógépre, akkor arról adatokat kezd kiszivárogtatni.
Léteznek "általános célú" összetevői, amelyek más kémprogramok esetében is megtalálhatók, de a moduláris felépítése miatt speciálisabb adatok eltulajdonítására is rávehető. Így például készültek már hozzá olyan modulok, amelyek sütik (cookie-k) webböngészőkből történő kigyűjtésére, böngészési előzmények lekérdezésére vagy akár OpenSSH kulcsok megszerzésére alkalmasak. A legújabb szerzemény pedig az Active Directory-ra hangolódott rá.
Az új, ADll nevű modul felfedezése Nemes Sándor nevéhez fűződik. A szakember szerint az újdonság célja, hogy komplett Active Directory adatbázisokat szivárogtasson ki.
A Windows-os címtárszolgáltatás legfontosabb adatfájljai alapértelmezetten a C:\Windows\NTDS mappába kerülnek, ahol helyet kap a kulcsfontosságú szerepet betöltő, ntds.dit fájl is. Ez azonban a tartományvezérlő működése során folyamatosan használatban van, így azt nem olyan egyszerű megkaparintani egy vírus számára. A Trickbot új modulja sem csak úgy egyszerűen lemásolja ezt az állományt, hanem a ntdsutil eszközt hívja segítségül, amelyet ifm (Install from Media) opcióval futtat. Ez egy teljesen legális funkció, aminek segítségével a címtárak telepíthetők a tartományvezérlők között. A Trickbot pedig ezt fordítja a saját javára, és az így képződő állományt lementi a Windows átmeneti fájlok tárolására szolgáló mappájába. Emellett kiexportálja a regisztrációs adatbázis legfontosabb bejegyzéseit (akár a teljes SAM, Security és SYSTEM hive-okat) annak érdekében, hogy a Windows által használt, BootKey alapú titkosítás dekódolásához szükséges információk is meglegyenek. Majd minden fájlt összetömörít, és feltölt egy távoli kiszolgálóra.
Az adattolvajok pedig a hozzájuk kerülő fájl kicsomagolását követően - akár egyszerű PowerShell parancsok, scriptek segítségével - hozzáférhetnek az eltulajdonított címtárban lévő felhasználói és erőforrás adatokhoz, valamint egyéb információkhoz, amiket aztán további támadásokhoz, károkozásokhoz használhatnak fel.
A Trickbotot és a legújabb modulját a legtöbb antivírus alkalmazás már felismeri, így biztonsági szempontból ezúttal is lényeges a vírusvédelem naprakészen tartása.
-
Az IBM QRadar SIEM-hez egy biztonsági javítás érkezett.
-
A Fortinet FortiNAC-F kapcsán egy biztonsági hibára derült fény.
-
A Firefox legújabb kiadása számos sebezhetőséget orvosolt.
-
A CrushFTP fejlesztői egy biztonsági rést foltoztak be.
-
A GNU C Library kapcsán egy veszélyes biztonsági résre derült fény.
-
A Microsoft Edge legújabb verziója számos sebezhetőséget szüntet meg.
-
Kritikus fontosságú hibajavítás vált elérhetővé a ChromeOS-hez.
-
A ClamAV kapcsán egy közepes veszélyeségű sebezhetőségre derült fény.
-
Az IBM két sebezhetőségről számolt be a WebSphere Application Server kapcsán.
-
Az Oracle 71 hibajavítást adott ki az Oracle Linux operációs rendszerhez.
Minden szülő legrosszabb rémálma felvenni egy ismeretlen számról érkező hívást, és azt hallani, hogy a gyermeke segítségért kiált.
Az online társkeresés elterjedésével alapjaiban változott meg az emberek közötti kapcsolatteremtés.