Mindenestől lopja el a címtárakat a Trickbot trójai

​A Trickbot trójai egy új modul révén már teljes címtárakat is képes kiszivárogtatni a tartományvezérlő szerverekről.
 

A Trickbot trójai továbbra is rohamosan fejlődik, és napjaink egyik legtöbb kárt okozó, széles körben terjedő programjának számít. A legtöbbször az Emotet nevű botnet, illetve az ahhoz tartozó károkozó terjeszti elektronikus levelek, valamint azokhoz csatolt - általában - Word fájlok révén. Amikor felkerül egy számítógépre, akkor arról adatokat kezd kiszivárogtatni.
 
Léteznek "általános célú" összetevői, amelyek más kémprogramok esetében is megtalálhatók, de a moduláris felépítése miatt speciálisabb adatok eltulajdonítására is rávehető. Így például készültek már hozzá olyan modulok, amelyek sütik (cookie-k) webböngészőkből történő kigyűjtésére, böngészési előzmények lekérdezésére vagy akár OpenSSH kulcsok megszerzésére alkalmasak. A legújabb szerzemény pedig az Active Directory-ra hangolódott rá.
 
Az új, ADll nevű modul felfedezése Nemes Sándor nevéhez fűződik. A szakember szerint az újdonság célja, hogy komplett Active Directory adatbázisokat szivárogtasson ki.
 
A Windows-os címtárszolgáltatás legfontosabb adatfájljai alapértelmezetten a C:\Windows\NTDS mappába kerülnek, ahol helyet kap a kulcsfontosságú szerepet betöltő, ntds.dit fájl is. Ez azonban a tartományvezérlő működése során folyamatosan használatban van, így azt nem olyan egyszerű megkaparintani egy vírus számára. A Trickbot új modulja sem csak úgy egyszerűen lemásolja ezt az állományt, hanem a ntdsutil eszközt hívja segítségül, amelyet ifm (Install from Media) opcióval futtat. Ez egy teljesen legális funkció, aminek segítségével a címtárak telepíthetők a tartományvezérlők között. A Trickbot pedig ezt fordítja a saját javára, és az így képződő állományt lementi a Windows átmeneti fájlok tárolására szolgáló mappájába. Emellett kiexportálja a regisztrációs adatbázis legfontosabb bejegyzéseit (akár a teljes SAM, Security és SYSTEM hive-okat) annak érdekében, hogy a Windows által használt, BootKey alapú titkosítás dekódolásához szükséges információk is meglegyenek. Majd minden fájlt összetömörít, és feltölt egy távoli kiszolgálóra.
 
Az adattolvajok pedig a hozzájuk kerülő fájl kicsomagolását követően - akár egyszerű PowerShell parancsok, scriptek segítségével - hozzáférhetnek az eltulajdonított címtárban lévő felhasználói és erőforrás adatokhoz, valamint egyéb információkhoz, amiket aztán további támadásokhoz, károkozásokhoz használhatnak fel.
 
A Trickbotot és a legújabb modulját a legtöbb antivírus alkalmazás már felismeri, így biztonsági szempontból ezúttal is lényeges a vírusvédelem naprakészen tartása.
Vélemények
 
  1. 4

    A McAfee Network Security Manager egy biztonsági hibát tartalmaz.

  2. 3

    Az Apache Guacamole fejlesztői két biztonsági résről számoltak be.

  3. 1

    A Devilshadow trójai sok funkcióval képes támogatni a kiberbűnözők által végrehajtott károkozásokat.

 
Partnerhírek
Az ESET kutatói feltérképezték a katonai és diplomáciai célpontokat támadó InvisiMole csoport működését

Az InvisiMole új kampányát vizsgálva az ESET kutatóinak sikerült feltárniuk a csoport frissített eszközkészletét, valamint a Gamaredon hackercsoporttal való szoros együttműködésük részleteit is.

​LinkedIn-en keresztül támadó hackereket lepleztek le az ESET kutatói

Álláshirdetésnek álcázott adathalász támadásokat lepleztek le az ESET kutatói, melyek vélhetően az észak- koreai illetőségű Lazarus csoporthoz köthetők.

hirdetés
Közösség