Zbot.C trójai


2015. október 19. 10:10

CH azonosító

CH-12705

Angol cím

Zbot.C

Felfedezés dátuma

2015.10.18.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Microsoft Windows

Összefoglaló

A Zbot trójai legújabb variánsa alapvető céljait tekintve nem hozott újdonságot az elődjeihez képest, mivel továbbra is az adatlopást tartja szem előtt.

Leírás

A kártékony program különféle típusú információk megszerzésére alkalmas. Így például a webböngészőkben, az FTP-kliensekben, illetve a levelezőszoftverekben eltárolt hitelesítő adatokat is kigyűjti. Ezek mellett egy hátsó kapun keresztül lehetőséget biztosít a támadók számára az alábbi feladatok elvégzésére:

  • billentyűleütések naplózása
  • képernyőképek készítése
  • proxy indítása
  • VNC-alapú kapcsolat kiépítése.

A Zbot.C trójai meglehetősen sok módosítást hajt végre, mind a fájlrendszer, mind a regisztrációs adatbázis szintjén. Ennek során egyebek mellett az Internet Explorer zónabeállításait is manipulálja.

Technikai részletek:

1. Létrehozza a következő állományokat, mappákat:
%UserProfile%Application Datator
%UserProfile%Application Datatorlock
%UserProfile%Application Datatorstate
%UserProfile%Application Data[véletlenszerű karakterek]
%UserProfile%Application Data[véletlenszerű karakterek]
%UserProfile%Application Data[véletlenszerű karakterek][véletlenszerű karakterek].[véletlenszerű karakterek]
%UserProfile%Application Data[véletlenszerű karakterek][véletlenszerű karakterek].tmp
%UserProfile%Application Data[véletlenszerű karakterek][véletlenszerű karakterek].exe
%UserProfile%Local SettingsApplication DataIdentities{91FD83EF-B9F6-410E-97DC-5C667AC85868}MicrosoftOutlook ExpressSent Items.dbx

2. A regisztrációs adatbázishoz hozzáadja az alábbi bejegyzéseket:
HKEY_CURRENT_USERSoftwareMicrosoftWupaby”Ilpyvi” = “[…]”
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”{8691AC89-341E-AFD0-36CE-AE6C3F798526}” = “%UserProfile%Application Data[véletlenszerű karakterek][véletlenszerű karakterek].exe”
HKEY_CURRENT_USERSoftwareMicrosoftWABWAB4″FirstRun” = “1”
HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerPrivacy”CleanCookies” = “0”
HKEY_CURRENT_USERSoftwareMicrosoftInternet Account ManagerAccounts”ConnectionSettingsMigrated” = “1”

3. Manipulálja a következő állományokat, amennyiben azok léteznek:
%UserProfile%Local SettingsApplication DataIdentities{91FD83EF-B9F6-410E-97DC-5C667AC85868}MicrosoftOutlook ExpressFolders.dbx
%UserProfile%Local SettingsApplication DataIdentities{91FD83EF-B9F6-410E-97DC-5C667AC85868}MicrosoftOutlook ExpressInbox.dbx
%UserProfile%Local SettingsApplication DataIdentities{91FD83EF-B9F6-410E-97DC-5C667AC85868}MicrosoftOutlook ExpressOffline.dbx

4. A regisztrációs adatbázisban módosítja a következő értékeket:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionUnreadMail[USER NAME]@[NETWORK DOMAIN]”TimeStamp” = “[…]”
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet SettingsZones4″1609″ = “0”
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet SettingsZones4″1406″ = “0”
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet SettingsZones3″1609″ = “0”
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet SettingsZones3″1406″ = “0”
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet SettingsZones2″1609″ = “0”
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet SettingsZones1″1609″ = “0”
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet SettingsZones1″1406″ = “0”
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet SettingsZones”1609″ = “0”
HKEY_CURRENT_USERIdentities{91FD83EF-B9F6-410E-97DC-5C667AC85868}SoftwareMicrosoftOutlook Express5.0″Compact Check Count” = “2”

5. Nyit egy hátsó kaput, és várakozik a támadók parancsaira.

6. Kigyűjti azokat az adatokat, amelyeket az alábbi alkalmazások tárolnak:
FAR
Core FTP
FTP Commander
Total Commander
Smart FTP
WS_FTP

7. További adatokat gyűjt webböngészőkből és a levelezőkliensekből.

8. A megszerzett adatokat kiszivárogtatja.

Megoldás

  • Ne látogasson nem megbízható weboldalakat és ne kövessen ilyen hivatkozásokat (linkeket) se!
  • Használjon offline biztonsági mentést!

Támadás típusa

Information disclosure (Információ/adat szivárgás)

Hatás

Loss of confidentiality (Bizalmasság elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: isbk.hu

Legfrissebb sérülékenységek
CVE-2019-11001 – Reolink Multiple IP Cameras OS Command Injection sebezhetősége
CVE-2021-40407 – Reolink RLC-410W IP Camera OS Command Injection sebezhetősége
CVE-2024-20767 – Adobe ColdFusion Improper Access Control sebezhetősége
CVE-2024-55956 – Cleo Multiple Products Unauthenticated File Upload sebezhetősége
CVE-2024-50623 – Cleo Multiple Products Unrestricted File Upload sebezhetősége
CVE-2024-49138 – Windows Common Log File System Driver Elevation of Privilege sebezhetősége
CVE-2024-11639 – Ivanti CSA sérülékenysége
CVE-2024-42449 – Veeam Service Provider Console sérülékenysége
CVE-2024-42448 – Veeam Service Provider Console sérülékenysége
CVE-2024-42327 – Zabbix SQLi sérülékenysége
Tovább a sérülékenységekhez »