Портал VSLineS

Злоумышленники проделали в Windows дыру
Дата: 01.10.2019
Тема: А это вы уже знаете?


winwinwin600.jpgНеизвестные злоумышленники используют комбинацию из общедоступного бэкдора с открытым исходным кодом и модифицированного приложения Windows для получения административных, а затем и системных привилегий в атакованной системе.



Экранный диктор с сюрпризами

Хакеры нашли способ подменять легитимное приложение Narrator (он же в русском варианте «Экранный диктор») в Windows троянизированной версией, что обеспечивает им максимальные привилегии в атакованной системе. Кроме этого, злоумышленники устанавливают в систему бэкдор PcShare.

Экранный диктор — приложение для озвучивания текста на экране; оно предназначено для слепых и слабовидящих людей. Приложение впервые появилось в Windows 2000 в 1999 г., и с тех пор сопровождает все версии операционной системы.

Необходимо отметить, что «Экранный диктор» можно запускать до авторизации в системе. Мало того, это приложение, как и наследует привилегии процесса авторизации winlogon.exe, который всегда запускается с максимальными привилегиями (System). Благодаря использованию троянца злоумышленники могут удалённо контролировать систему в обход всякой авторизации — им не надо вводить ни логины, ни пароли.

«Общедоступный бэкдор»

Использование фальшивого экранного диктора позволяет злоумышленникам получать доступ к командной консоли Windows без авторизации в системе. Впрочем, для его установки в систему потребуется сначала получить административные права в системе.

Комбинация из общедоступного бэкдора с открытым исходным кодом и стандартного приложения позволяет получить административные и системные привилегии в Windows

Как раз для этого используется китайский бэкдор с открытыми исходниками PcShare. Он специально был модифицирован для нужд данной кампании: в частности, реализовано дополнительное шифрование канала, по которому поступают команды от контрольного сервера, а также функции обхода прокси. Кроме того, была удалена вся избыточная функциональность, - то есть, создатели этой версии бэкдора подошли к делу весьма основательно.

Бэкдор заносится в систему с помощью подменённого файла NvSmartMax.dll — компонента приложения NVIDIA Smart Maximize Helper Host. Это служба, поставляемая с графическими драйверами NVIDIA Основное назначение данного DLL — расшифровать и загрузить NvSmartMax.dat — файл в котором и содержится основная «начинка» бэкдора.

Эксперты компании BlackBerry/Cylance отметили, что злоумышленники используют один и тот же вариант самого бэкдора, но временами модифицируют DLL под конкретные цели.

Сам по себе PcShare существует только в памяти, в нешифрованном виде он на жёсткий диск не записывается.




Это статья опубликована на сайте: http://vslines.info
Ссылка на эту статью: http://vslines.info/index.php?name=News&op=article&sid=640