В исследованиях вредоносного ПО часто разбирается метод первоначального заражения системы, так как именно он позволяет модифицировать протоколы защиты. Что происходит после взлома компьютера, в деталях анализируется не так часто. На вопрос «Что могут сделать злоумышленники после получения полных прав?» обычно можно просто ответить: «Да все что угодно». Свежее исследование «Лаборатории Касперского» подробно описывает «функциональность после взлома» на примере модулей трояна Trickbot. Trickbot отслеживается с 2016 года, он также является наследником банковского трояна Dyre, существовавшего с 2014 года. Задачей последнего была кража данных для доступа к финансовым сервисам при помощи атаки Man-in-the-browser. Несмотря на то что теперь основной задачей Trickbot является предоставление доступа другому вредоносному ПО (для шифрования данных и последующего требования выкупа у организаций), прямое похищение информации по-прежнему остается в списке задач. В 2021 году большинство случаев детектирования Trickbot пришлись на США, Австралию и Китай.
Всего в исследовании приведены имена более чем 50 модулей, из них половина разбирается подробно (остальные известные вредоносные программы имеют дублирующую функциональность). Модули доступны на командных серверах Trickbot, при необходимости они загружаются и выполняются на взломанной системе. Приведем примеры вредоносной функциональности из статьи:
— Выгружается база данных Active Directory.
— Полный перехват веб-трафика, проводится атака типа «человек в браузере». Данный модуль также содержит VNC-сервер для удаленного доступа к атакованной системе.
— Обратный прокси-сервер для перенаправления трафика через взломанную систему.
— Кража файлов cookie из браузеров Chrome, Firefox, Internet Explorer, Microsoft Edge.
— Сбор групповых политик.
— Кража сохраненных паролей из браузеров, а также из установленных приложений. Среди «поддерживаемых» программ — Microsoft Outlook, OpenVPN, KeePass, Filezilla, Putty, Anyconnect и др.
— Кража финансовых данных с перенаправлением пользователя на фишинговую страницу либо с перенаправлением всего трафика пользователей на вредоносный веб-сервер.
— Поиск адресов электронной почты в файлах, сохраненных на компьютере.
— Сетевой сканер на основе открытого проекта Masscan. Еще один модуль собирает данные о компьютерах в локальной сети.
— Рассылка спама через клиент Microsoft Outlook. Данный модуль унаследован из банковского трояна Dyre.
— Поиск серверов с веб-почтой Outlook Web Access. Есть функциональность брутфорс-атаки с парами «логин — пароль», присылаемыми с командного сервера злоумышленников.
— Проверка защиты UEFI/BIOS от записи. В исследованном модуле пока нет возможности модификации UEFI.
— Поиск открытых RDP-серверов и брутфорс-атака на них.
— Распространение Trickbot по локальной сети. Вредоносный код трояна при передаче с C2-сервера маскируется под картинку в формате PNG.
Помимо функциональности «после взлома», в анализе модулей Trickbot также упоминаются два эксплойта, для уязвимостей EternalRomance и EternalBlue. Обе уязвимости известны с 2017 года, актуальны для реализации протокола SMB в Windows. Подробная информация о работе вредоносных модулей, с примерами имен файлов, помогает при расследовании инцидентов в корпоративных сетях.
Что еще произошло:
Взломан репозиторий популярной библиотеки UAParser.js для разбора строк user-agent, отправляемых браузером. Вместе с библиотекой какое-то время распространялось вредоносное ПО для Windows и Linux: майнер криптовалют и средство для кражи персональных данных.
Свежий серьезный баг обнаружен и закрыт в решениях SD-WAN компании Cisco.
Опубликовано исследование о распространении вредоносных файлов через чат-серверы Discord.
Google Threat Analysis Group рассказывает о черном рынке украденных каналов на Youtube, с примерами атак на владельцев.
Twitter заблокировал два аккаунта, использовавшихся для атак на специалистов по безопасности.
Свежий релиз Google Chrome 95 закрывает 19 уязвимостей. В нем также полностью удалена поддержка протокола FTP.
