Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Регистрируйтесь на онлайн-конференцию!

Таинственные злоумышленники проделали в Windows «общедоступную дыру» для захвата чужих ПК

30/09/19

взлом пк

Неизвестные злоумышленники используют комбинацию из общедоступного бэкдора с открытым исходным кодом и модифицированного приложения Windows для получения административных, а затем и системных привилегий в атакованной системе.
Хакеры нашли способ подменять легитимное приложение Narrator (он же в русском варианте «Экранный диктор») в Windows троянизированной версией, что обеспечивает им максимальные привилегии в атакованной системе. Кроме этого, злоумышленники устанавливают в систему бэкдор PcShare.

Экранный диктор — приложение для озвучивания текста на экране; оно предназначено для слепых и слабовидящих людей. Приложение впервые появилось в Windows 2000 в 1999 г., и с тех пор сопровождает все версии операционной системы.

Необходимо отметить, что «Экранный диктор» можно запускать до авторизации в системе. Мало того, это приложение, как и наследует привилегии процесса авторизации winlogon.exe, который всегда запускается с максимальными привилегиями (System). Благодаря использованию троянца злоумышленники могут удалённо контролировать систему в обход всякой авторизации — им не надо вводить ни логины, ни пароли.

Использование фальшивого экранного диктора позволяет злоумышленникам получать доступ к командной консоли Windows без авторизации в системе. Впрочем, для его установки в систему потребуется сначала получить административные права в системе.

Как раз для этого используется китайский бэкдор с открытыми исходниками PcShare. Он специально был модифицирован для нужд данной кампании: в частности, реализовано дополнительное шифрование канала, по которому поступают команды от контрольного сервера, а также функции обхода прокси. Кроме того, была удалена вся избыточная функциональность, - то есть, создатели этой версии бэкдора подошли к делу весьма основательно.

Бэкдор заносится в систему с помощью подменённого файла NvSmartMax.dll — компонента приложения NVIDIA Smart Maximize Helper Host. Это служба, поставляемая с графическими драйверами NVIDIA Основное назначение данного DLL — расшифровать и загрузить NvSmartMax.dat — файл в котором и содержится основная «начинка» бэкдора.

Эксперты компании BlackBerry/Cylance отметили, что злоумышленники используют один и тот же вариант самого бэкдора, но временами модифицируют DLL под конкретные цели.

Сам по себе PcShare существует только в памяти, в нешифрованном виде он на жёсткий диск не записывается.

Эксперты указывают, что из данной версии PcShare убраны функции аудио- и видеотрансляции, также удалена функциональность кейлоггера — видимо, с целью уменьшения размеров файла. Функции SSH/Telnet-сервера, автообновления, загрузки и выгрузки новых модулей — всё это осталось на месте.

С помощью этого вредоноса злоумышленники получают возможность удалённо производить массу операций в системе с правами администратора.

Но это не высший уровень привилегий: высшим является SYSTEM, и как раз его можно добиться с помощью поддельного «Экранного диктора».

По словам экспертов Cylance, поддельная версия «Экранного диктора» разрабатывается на протяжении уже нескольких лет, и, по-видимому, злоумышленники рассчитывают на долгосрочный шпионаж за жертвами.

Организаторы атак, скорее всего, располагаются в Китае. Большая часть используемых программ, включая сам бэкдор PcShare и его компоненты, - китайского происхождения, доступные на GitHub и китайских хакерских форумах. Основными объектами атак стали технологические компании, располагающиеся в Юго-Восточной Азии.

«Использование общедоступных инструментов позволяет значительно экономить на ресурсах, - отмечает Анастасия Мельникова, эксперт по информационной безопасности компании SEC Consult Services. - Кроме того, это сильно затрудняет атрибуцию: невозможно определить сколько-нибудь достоверно, какая APT-группировка стоит за атаками, когда используются общедоступные инструменты, невозможно».

Источник:
CNews.ru

Темы:Windowsбэкдорвзлом ПКАнастасия Мельникова
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...