Контакты
Подписка 2024
DCAP и DLP
13 марта. Защита корпоративных данных: достаточно ли внедрить DCAP и DLP?
Регистрируйтесь и участвуйте в онлайн-конференции!

Таинственные злоумышленники проделали в Windows «общедоступную дыру» для захвата чужих ПК

30/09/19

взлом пк

Неизвестные злоумышленники используют комбинацию из общедоступного бэкдора с открытым исходным кодом и модифицированного приложения Windows для получения административных, а затем и системных привилегий в атакованной системе.
Хакеры нашли способ подменять легитимное приложение Narrator (он же в русском варианте «Экранный диктор») в Windows троянизированной версией, что обеспечивает им максимальные привилегии в атакованной системе. Кроме этого, злоумышленники устанавливают в систему бэкдор PcShare.

Экранный диктор — приложение для озвучивания текста на экране; оно предназначено для слепых и слабовидящих людей. Приложение впервые появилось в Windows 2000 в 1999 г., и с тех пор сопровождает все версии операционной системы.

Необходимо отметить, что «Экранный диктор» можно запускать до авторизации в системе. Мало того, это приложение, как и наследует привилегии процесса авторизации winlogon.exe, который всегда запускается с максимальными привилегиями (System). Благодаря использованию троянца злоумышленники могут удалённо контролировать систему в обход всякой авторизации — им не надо вводить ни логины, ни пароли.

Использование фальшивого экранного диктора позволяет злоумышленникам получать доступ к командной консоли Windows без авторизации в системе. Впрочем, для его установки в систему потребуется сначала получить административные права в системе.

Как раз для этого используется китайский бэкдор с открытыми исходниками PcShare. Он специально был модифицирован для нужд данной кампании: в частности, реализовано дополнительное шифрование канала, по которому поступают команды от контрольного сервера, а также функции обхода прокси. Кроме того, была удалена вся избыточная функциональность, - то есть, создатели этой версии бэкдора подошли к делу весьма основательно.

Бэкдор заносится в систему с помощью подменённого файла NvSmartMax.dll — компонента приложения NVIDIA Smart Maximize Helper Host. Это служба, поставляемая с графическими драйверами NVIDIA Основное назначение данного DLL — расшифровать и загрузить NvSmartMax.dat — файл в котором и содержится основная «начинка» бэкдора.

Эксперты компании BlackBerry/Cylance отметили, что злоумышленники используют один и тот же вариант самого бэкдора, но временами модифицируют DLL под конкретные цели.

Сам по себе PcShare существует только в памяти, в нешифрованном виде он на жёсткий диск не записывается.

Эксперты указывают, что из данной версии PcShare убраны функции аудио- и видеотрансляции, также удалена функциональность кейлоггера — видимо, с целью уменьшения размеров файла. Функции SSH/Telnet-сервера, автообновления, загрузки и выгрузки новых модулей — всё это осталось на месте.

С помощью этого вредоноса злоумышленники получают возможность удалённо производить массу операций в системе с правами администратора.

Но это не высший уровень привилегий: высшим является SYSTEM, и как раз его можно добиться с помощью поддельного «Экранного диктора».

По словам экспертов Cylance, поддельная версия «Экранного диктора» разрабатывается на протяжении уже нескольких лет, и, по-видимому, злоумышленники рассчитывают на долгосрочный шпионаж за жертвами.

Организаторы атак, скорее всего, располагаются в Китае. Большая часть используемых программ, включая сам бэкдор PcShare и его компоненты, - китайского происхождения, доступные на GitHub и китайских хакерских форумах. Основными объектами атак стали технологические компании, располагающиеся в Юго-Восточной Азии.

«Использование общедоступных инструментов позволяет значительно экономить на ресурсах, - отмечает Анастасия Мельникова, эксперт по информационной безопасности компании SEC Consult Services. - Кроме того, это сильно затрудняет атрибуцию: невозможно определить сколько-нибудь достоверно, какая APT-группировка стоит за атаками, когда используются общедоступные инструменты, невозможно».

Источник:
CNews.ru

Темы:Windowsбэкдорвзлом ПКАнастасия Мельникова
Российские платформы виртуализации
21 марта. Российские платформы виртуализации: безопасность, производительность, совместимость
Регистрируйтесь и участвуйте!

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
14 марта. Автоматизация реагирования на инциденты по информационной безопасности
Участвуйте!

Еще темы...

More...