Cadelspy trójai


2015. szeptember 18. 13:20

CH azonosító

CH-12624

Angol cím

Cadelspy trojan

Felfedezés dátuma

2015.09.17.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Vista, Windows XP

Összefoglaló

A Cadelspy trójai meglehetősen sok változtatást eszközöl a célkeresztjébe kerülő rendszereken. Mind a fájlrendszer, mind a regisztrációs adatbázis szintjén jó pár nyomot hagy maga után. Ugyanakkor a felismerése – megfelelő védelmi eszközök hiányában – mégsem minden esetben egyértelmű, mivel a károkozó a Windows explorer.exe folyamata mögé rejtőzik el. 

Leírás

A Cadelspy alapvetően adatlopásból veszi ki a részét. Ennek során egy hátsó kaput létesít, és várakozik a támadók parancsaira. Az elkövetők egyebek mellett a billentyűleütések folyamatos naplózására utasíthatják a szerzeményüket, de akár rendszer- és alkalmazásinformációkat is bezsebelhetnek. A trójai a megkaparintott adatokat egy távoli kiszolgálóra tölti fel, és ilyen módon juttatja az információkat a támadók kezébe.

Technikai részletek:

1. Létrehozza az alábbi könyvtárakat:
%System%ntinfo32
%System%ntsvc32
%System%ntsvc32update
%System%ntinfo32completedupl
%System%ntinfo32completedp[NUMBER]
%System%_tmp001x86
%System%_tmp001x64

2. Felmásolja a rendszerre a fájljait:
%System%ntsvc322094012403.cfg
%System%ntsvc322094012403.rou
%System%ntsvc32ntsvc32.dll
%System%ntsvc32ntsvcst32.dll
%System%ntinfo32completedp[NUMBER]2094012403-[dátum]-(12-46-51)-006.fjr_0001.ecm
%System%ntinfo32completedupl2094012403-[dátum]-(12-54-51)-045.fjr_0006.ecm

3. Megfertőzi az explorer.exe folyamatot.

4. A regisztrációs adatbázishoz hozzáadja az alábbi bejegyzéseket:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows”LoadAppInit_DLLs” = “1”
HKEY_CURRENT_USERSoftwarentsvc32
HKEY_CURRENT_USERSoftwarentsvc32FLS
HKEY_CURRENT_USERSoftwarentsvc32HDD
HKEY_CURRENT_USERSoftwarentsvc32HST
HKEY_CURRENT_USERSoftwarentsvc32PAP
HKEY_CURRENT_USERSoftwarentsvc32ROU
HKEY_CURRENT_USERSoftwarentsvc32UPL

5. Kitörli az alábbi állományokat:
%Temp%_tmp001x64
%Temp%_tmp001x642094012403.cfg
%Temp%_tmp001x642094012403.rou
%Temp%_tmp001x64ntsvc32.dll
%Temp%_tmp001x64ntsvcst32.dll
%Temp%_tmp001x86
%Temp%_tmp001x862094012403.cfg
%Temp%_tmp001x862094012403.rou
%Temp%_tmp001x86ntsvc32.dll
%Temp%_tmp001x86ntsvcst32.dll

6. Kapcsolódik egy vagy több távoli kiszolgálóhoz.

7. Nyit egy hátsó kaput.

8. Adatokat gyűjt össze, amiket a következő állományokba ment le:
%System%ntinfo32completedp[NUMBER]2094012403-[dátum]-(12-46-51)-006.fjr_0001.ecm
%System%ntinfo32completedupl2094012403-[dátum]-(12-54-51)-045.fjr_0006.ecm

9. Az összegyűjtött adatokat kiszivárogtatja.

Megoldás

  • Ne látogasson nem megbízható weboldalakat és ne kövessen ilyen hivatkozásokat (linkeket) se!
  • Használjon offline biztonsági mentést!
  • Az eltávolításban segítséget nyújthat: Norton Power Eraser (NPE), Norton Bootable Recovery Tool

Támadás típusa

Trójai
backdoor

Hatás

Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: isbk.hu
Egyéb referencia: www.symantec.com

Legfrissebb sérülékenységek
CVE-2018-14933 – NUUO NVRmini Devices OS Command Injection sebezhetősége
CVE-2019-11001 – Reolink Multiple IP Cameras OS Command Injection sebezhetősége
CVE-2021-40407 – Reolink RLC-410W IP Camera OS Command Injection sebezhetősége
CVE-2024-20767 – Adobe ColdFusion Improper Access Control sebezhetősége
CVE-2024-55956 – Cleo Multiple Products Unauthenticated File Upload sebezhetősége
CVE-2024-50623 – Cleo Multiple Products Unrestricted File Upload sebezhetősége
CVE-2024-49138 – Windows Common Log File System Driver Elevation of Privilege sebezhetősége
CVE-2024-11639 – Ivanti CSA sérülékenysége
CVE-2024-42449 – Veeam Service Provider Console sérülékenysége
CVE-2024-42448 – Veeam Service Provider Console sérülékenysége
Tovább a sérülékenységekhez »