Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library |
Как оказалось, новая функция нужна агрессивному банкеру для успешной кражи паролей на новейших Windows.
Как оказалось, появление функции блокировки экрана в арсенале банковского трояна TrickBot — отнюдь не попытка придать ему свойства вымогателя. Проведенный в Fortinet анализ показал, что новый модуль нужен этому банкеру для успешной кражи паролей пользователей новейших Windows.
Модификация TrickBot с компонентом screenLocker_x86.dll была впервые обнаружена в середине прошлого месяца. Тогда этот модуль, предназначенный для блокировки экрана, еще не работал, и проверить его в действии не представлялось возможным.
Исследователи высказали предположение, что авторы активно развивающегося зловреда решили подзаработать вымогательством и будут двигаться дальше в этом направлении, реализуя функциональность шифрования файлов. Подобные случаи «гибридизации» банкеров нередки, но более характерны для мобильных платформ — достаточно вспомнить таких Android-троянов, как Xbot, Lokibot, Faketoken, Svpeng.
Время шло, однако новых версий TrickBot не появлялось. Вместо этого, как обнаружили в Fortinet, на зараженные машины начал раздаваться новый компонент-дроппер — squlDll. Выяснилось, что он загружает уже знакомые исследователям модули для сбора email-адресов с локальных серверов SQL, а также screenLocker и легитимную утилиту Mimikatz, предназначенную для извлечения из памяти паролей, хешей, PIN-кодов и т. п.
Тестирование показало, что блокировщик экрана, используемый TrickBot, не имеет отношения к вымогательству. Эта функциональность является частью хитроумной схемы кражи учетных данных, сохраняемых на компьютере Windows для так называемой дайджест-аутентификации.
Особенностью протокола WDigest, по которому осуществляется аутентификация пользователя Windows на веб-сервере, является использование пароля в открытом виде. Идентификаторы WDigest сохраняются в памяти системного процесса lsass.exe, и на Windows XP, например, их не составляет труда получить с помощью Mimikatz.
В ОС более новых версий Microsoft предусмотрела возможность запрета хранения паролей в памяти LSA. Так, в Windows 8.1 и Windows Server 2012 R2 появился ключ реестра HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersWDigestUseLogonCredential со значением, по умолчанию установленным на 0. Если изменить это значение на 1, пароли будут сохраняться.
Аналогичной переменой значения ключа Negotiate в той же ветке реестра можно запретить или разрешить метод аутентификации WDigest. Эту же защиту Microsoft бэкпортировала на Windows 7, 8 и Windows Server 2008 R2 / 2012, однако, чтобы ею воспользоваться, нужно установить обновление KB2871997, а потом выставить ключи реестра.
Оказалось, что TrickBot вначале включает поддержку WDigest, изменяя или добавляя запись реестра, а затем использует блокировку экрана, чтобы заставить пользователя повторно войти в аккаунт. Вернув жертву на страницу логина и вынудив ее вновь пройти аутентификацию, зловред пускает в ход Mimikatz. При этом TrickBot расшифровывает утилиту и загружает ее прямо в память — так он меньше наследит в системе.
По словам исследователей, подобные манипуляции с записями в реестре обновленный зловред производит лишь на Windows 8/Server 2012 или новее, на других ОС Microsoft модуль screenLocker ему не нужен.
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |