Összefoglaló
A Drigo érdekes módját választotta annak, hogy a terjesztőit értékes információkkal lássa el. Ugyan adatlopásra specializálódott, azonban nem szokványos módon próbál bizalmas adatokhoz hozzájutni. A károkozó dokumentumok, Excel fájlok, PowerPoint prezentációk eltulajdonítására alkalmas. A terjesztői pedig úgy gondolták, hogy az ilyen típusú állományok tárolásához nem saját szervert alkalmaznak, hanem inkább igénybe veszik a Google szolgáltatásait. Ennek megfelelően a trójai egy előre meghatározott Drive fiókba tölti fel az összegyűjtött fájlokat. A Drigo alapvetően nagyon kevés módosítást eszközöl a számítógépeken. Azokon mindössze néhány új könyvtárat és fájlt hoz létre, majd a regisztrációs adatbázis kiegészítésével gondoskodik arról, hogy a Windows minden újraindításakor automatikusan betöltődhessen. Amint a kezdeti feladataival végez, akkor rögtön nekilát a számára érdekes állományok felkutatásához.
Leírás
1. Létrehozza a következő mappákat, amelyekbe bemásolja a saját állományát:
C:recycled
%UserProfile%PrintHoodHood
2. A regisztrációs adatbázist kiegészíti az alábbi értékkel:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”[fájlnév]” = “C:[elérési útvonal][fájlnév].exe”
3. Összegyűjti az alábbi kiterjesztésekkel rendelkező állományokat:
.doc
.docx
.xls
.xlsx
.ppt
.pptx
.pdf
.txt
4. A fenti állományokat feltölti a Google Drive-ra.
Támadás típusa
Information disclosure (Információ/adat szivárgás)Security bypass (Biztonsági szabályok megkerülése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.symantec.com
Egyéb referencia: www.microsoft.com