Новости Таинственные злоумышленники проделали в Windows «общедоступную дыру» для захвата чужих ПК

Специальный корреспондент
Собака

Собака

Пресс-служба
Команда форума
Private Club
Регистрация
13/10/15
Сообщения
54.900
Репутация
62.390
Реакции
277.090
RUB
0

Неизвестные злоумышленники используют комбинацию из общедоступного бэкдора с открытым исходным кодом и модифицированного приложения Windows для получения административных, а затем и системных привилегий в атакованной системе.



Экранный диктор с сюрпризами

Хакеры нашли способ подменять легитимное приложение Narrator (он же в русском варианте «Экранный диктор») в Windows троянизированной версией, что обеспечивает им максимальные привилегии в атакованной системе. Кроме этого, злоумышленники устанавливают в систему бэкдор PcShare.


Экранный диктор — приложение для озвучивания текста на экране; оно предназначено для слепых и слабовидящих людей. Приложение впервые появилось в Windows 2000 в 1999 г., и с тех пор сопровождает все версии операционной системы.


Необходимо отметить, что «Экранный диктор» можно запускать до авторизации в системе. Мало того, это приложение, как и наследует привилегии процесса авторизации winlogon.exe, который всегда запускается с максимальными привилегиями (System). Благодаря использованию троянца злоумышленники могут удалённо контролировать систему в обход всякой авторизации — им не надо вводить ни логины, ни пароли.

«Общедоступный бэкдор»

Использование фальшивого экранного диктора позволяет злоумышленникам получать доступ к командной консоли Windows без авторизации в системе. Впрочем, для его установки в систему потребуется сначала получить административные права в системе.


winwinwin600.jpg

Комбинация из общедоступного бэкдора с открытым исходным кодом и стандартного приложения позволяет получить административные и системные привилегии в Windows

Как раз для этого используется китайский бэкдор с открытыми исходниками PcShare. Он специально был модифицирован для нужд данной кампании: в частности, реализовано дополнительное шифрование канала, по которому поступают команды от контрольного сервера, а также функции обхода прокси. Кроме того, была удалена вся избыточная функциональность, - то есть, создатели этой версии бэкдора подошли к делу весьма основательно.


Бэкдор заносится в систему с помощью подменённого файла NvSmartMax.dll — компонента приложения NVIDIA Smart Maximize Helper Host. Это служба, поставляемая с графическими драйверами NVIDIA Основное назначение данного DLL — расшифровать и загрузить NvSmartMax.dat — файл в котором и содержится основная «начинка» бэкдора.


Эксперты компании BlackBerry/Cylance отметили, что злоумышленники используют один и тот же вариант самого бэкдора, но временами модифицируют DLL под конкретные цели.


Сам по себе PcShare существует только в памяти, в нешифрованном виде он на жёсткий диск не записывается.

Административные и системные привилегии

Эксперты указывают, что из данной версии PcShare убраны функции аудио- и видеотрансляции, также удалена функциональность кейлоггера — видимо, с целью уменьшения размеров файла. Функции SSH/Telnet-сервера, автообновления, загрузки и выгрузки новых модулей — всё это осталось на месте.


С помощью этого вредоноса злоумышленники получают возможность удалённо производить массу операций в системе с правами администратора.


Но это не высший уровень привилегий: высшим является SYSTEM, и как раз его можно добиться с помощью поддельного «Экранного диктора».


По словам экспертов Cylance, поддельная версия «Экранного диктора» разрабатывается на протяжении уже нескольких лет, и, по-видимому, злоумышленники рассчитывают на долгосрочный шпионаж за жертвами.


Организаторы атак, скорее всего, располагаются в Китае. Большая часть используемых программ, включая сам бэкдор PcShare и его компоненты, - китайского происхождения, доступные на GitHub и китайских хакерских форумах. Основными объектами атак стали технологические компании, располагающиеся в Юго-Восточной Азии.


«Использование общедоступных инструментов позволяет значительно экономить на ресурсах, - отмечает Анастасия Мельникова, эксперт по информационной безопасности компании SEC Consult Services. - Кроме того, это сильно затрудняет атрибуцию: невозможно определить сколько-нибудь достоверно, какая APT-группировка стоит за атаками, когда используются общедоступные инструменты, невозможно».
 
Сверху Снизу