Tinba.B


2014. október 2. 13:04

CH azonosító

CH-11680

Angol cím

Tinba.B

Felfedezés dátuma

2014.10.01.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Microsoft

Összefoglaló

A Tinba.B Windows-os folyamatokat fertőz meg, amelyek mögül a háttérben, folyamatosan figyelemmel kíséri a hálózati aktivitást. 

Leírás

A Tinba.B Windows-os folyamatokat fertőz meg, amelyek mögül a háttérben, folyamatosan figyelemmel kíséri a hálózati aktivitást. Az adatlopáshoz pedig Windows és Internet Explorer által biztosított API-kat sem rest felhasználni.

A Tinba.B trójai működése erősen függ attól, hogy a terjesztői milyen utasításokkal látják el egy távoli vezérlőszerveren keresztül. A károkozó a kiszolgálójáról egy konfigurációs állományt szerez be, amelyben arról kap információkat, hogy mely domainek, IP-címek esetében kell a hálózati adatforgalmat lementenie, illetve feldolgoznia.

Amennyiben a vezérlőszerverét elvesztené, vagy a konfigurációs fájlban nem kap megfelelő információkat arra vonatkozóan, hogy hová kell az összegyűjtött adatokat továbbítania, akkor egy DGA (Domain Generation Algorithm) algoritmus segítségével domain neveket generál, amelyek alapján megpróbál távoli szerverekhez kapcsolódni.

Technikai részletek:

1. Létrehozza a következő állományt:

%UserProfile%Application Data[…]bin.exe

2. A regisztrációs adatbázishoz hozzáadja az alábbi értéket:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”[…]” = “%UserProfile%Application Data[…]bin.exe”

3. A regisztrációs adatbázisban módosítja a következő bejegyzést:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet SettingsZones3″1609″ = “0”

4. Konfigurációs állományokat tölt le az alábbiak szerint:
%UserProfile%Application Data[…]cfg.dat
%UserProfile%Application Data[…]web.dat

5. Megfertőzi a következő folyamatokat:
winver.exe
explorer.exe

6. Monitorozza a hálózati adatforgalmat azon domainek esetében, amelyek naplóinformációkat tartalmaznak.

7. Windows és Internet Explorer API-kat használ fel. 

8. Az összegyűjtött adatokat lementi az alábbiak szerint:
%UserProfile%Application Data[…]log.dat
%UserProfile%Application Data[…]ntf.dat

9. A fenti adatfájlokat időközönként feltölti a vezérlőszerverére.

10. Letölt, és elindít egy kártékony programot:
%UserProfile%Application Data[…].exe

Támadás típusa

Unspecified (Nem részletezett)

Hatás

Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Gyártói referencia: www.symantec.com

Legfrissebb sérülékenységek
CVE-2024-50330 – Ivanti Endpoint Manager SQL injection sérülékenysége
CVE-2021-41277 – Metabase GeoJSON API Local File Inclusion Sebezhetőség
CVE-2024-9465 – Palo Alto Networks Expedition SQL Injection sérülékenysége
CVE-2024-9463 – Palo Alto Networks Expedition OS Command Injection sérülékenység
CVE-2024-10914 – D-Link DNS-320, DNS-320LW, DNS-325, DNS-340L NAS termékek sérülékenysége
CVE-2024-49019 – Active Directory Certificate Services jogosultsági szint emelését lehetővé tévő sérülékenysége
CVE-2024-49040 – Microsoft Exchange Server Spoofing sebezhetősége
CVE-2024-43451 – NTLM Hash Sebezhetőség
CVE-2024-49039 – Windows Task Scheduler jogosultsági szint emelésre kihasználható sérülékenysége
CVE-2024-20418 – Cisco Unified Industrial Wireless Software for Cisco Ultra-Reliable Wireless Backhaul (URWB) Access Pointok sérülékenysége
Tovább a sérülékenységekhez »