Mindenestől lopja el a címtárakat a Trickbot trójai

​A Trickbot trójai egy új modul révén már teljes címtárakat is képes kiszivárogtatni a tartományvezérlő szerverekről.
 

A Trickbot trójai továbbra is rohamosan fejlődik, és napjaink egyik legtöbb kárt okozó, széles körben terjedő programjának számít. A legtöbbször az Emotet nevű botnet, illetve az ahhoz tartozó károkozó terjeszti elektronikus levelek, valamint azokhoz csatolt - általában - Word fájlok révén. Amikor felkerül egy számítógépre, akkor arról adatokat kezd kiszivárogtatni.
 
Léteznek "általános célú" összetevői, amelyek más kémprogramok esetében is megtalálhatók, de a moduláris felépítése miatt speciálisabb adatok eltulajdonítására is rávehető. Így például készültek már hozzá olyan modulok, amelyek sütik (cookie-k) webböngészőkből történő kigyűjtésére, böngészési előzmények lekérdezésére vagy akár OpenSSH kulcsok megszerzésére alkalmasak. A legújabb szerzemény pedig az Active Directory-ra hangolódott rá.
 
Az új, ADll nevű modul felfedezése Nemes Sándor nevéhez fűződik. A szakember szerint az újdonság célja, hogy komplett Active Directory adatbázisokat szivárogtasson ki.
 
A Windows-os címtárszolgáltatás legfontosabb adatfájljai alapértelmezetten a C:\Windows\NTDS mappába kerülnek, ahol helyet kap a kulcsfontosságú szerepet betöltő, ntds.dit fájl is. Ez azonban a tartományvezérlő működése során folyamatosan használatban van, így azt nem olyan egyszerű megkaparintani egy vírus számára. A Trickbot új modulja sem csak úgy egyszerűen lemásolja ezt az állományt, hanem a ntdsutil eszközt hívja segítségül, amelyet ifm (Install from Media) opcióval futtat. Ez egy teljesen legális funkció, aminek segítségével a címtárak telepíthetők a tartományvezérlők között. A Trickbot pedig ezt fordítja a saját javára, és az így képződő állományt lementi a Windows átmeneti fájlok tárolására szolgáló mappájába. Emellett kiexportálja a regisztrációs adatbázis legfontosabb bejegyzéseit (akár a teljes SAM, Security és SYSTEM hive-okat) annak érdekében, hogy a Windows által használt, BootKey alapú titkosítás dekódolásához szükséges információk is meglegyenek. Majd minden fájlt összetömörít, és feltölt egy távoli kiszolgálóra.
 
Az adattolvajok pedig a hozzájuk kerülő fájl kicsomagolását követően - akár egyszerű PowerShell parancsok, scriptek segítségével - hozzáférhetnek az eltulajdonított címtárban lévő felhasználói és erőforrás adatokhoz, valamint egyéb információkhoz, amiket aztán további támadásokhoz, károkozásokhoz használhatnak fel.
 
A Trickbotot és a legújabb modulját a legtöbb antivírus alkalmazás már felismeri, így biztonsági szempontból ezúttal is lényeges a vírusvédelem naprakészen tartása.