Kasidet.XXRO trójai


2015. november 17. 08:19

CH azonosító

CH-12780

Angol cím

BKDR_KASIDET.XXRO

Felfedezés dátuma

2015.11.15.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Windows XP, Windows Vista, Windows 7. Windows 8, Windows 10

Összefoglaló

A Kasidet.XXRO trójai viszonylag nagy káoszt képes okozni az általa kompromittált rendszereken. Különféle ütemezett feladatok létrehozásával és a regisztrációs adatbázis manipulálásával gondoskodik arról, hogy zavartalanul tudjon futni a rendszereken. Ehhez azonban arra is szüksége van, hogy a célkeresztbe állított számítógép ne virtuális környezetben fusson, vagy ne sandboxban legyen. A trójai különösen érzékeny a VMware, valamint a VirtualBox megoldásokra. Ha ezek jelenlétét észleli, akkor rögtön leáll, azt feltételezve, hogy az adott rendszer a leleplezését szolgálja.

A Kasidet.XXRO egy olyan hátsó kaput hoz létre, amelyen keresztül az alábbi feladatok kezdeményezhetők:

  • fájlok letöltése
  • fájlműveletek
  • a regisztrációs adatbázis módosítása
  • a trójai frissítése
  • elosztott szolgáltatásmegtagadási támadások kezdeményezése
  • billentyűleütések naplózása
  • a vágólap tartalmának lementése.

Leírás

1. Létrehozza a következő könyvtárat:
%Application Data%WlVjY2kx

2. Létrehozza az alábbi állományokat:
%Windows%TasksWlVjY2kx.job
%Windows%kernel32.dll
%Systems%TasksWlVjY2kx
%Application Data%WlVjY2kx[véletlenszerű fájlnév].exe

3. Egy mutex segítségével biztosítja, hogy egyszerre csak egy példányban fusson.

4. A regisztrációs adatbázishoz hozzáadja a következő értékeket:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun[véletlenszerű fájlnév].exe = “%Application Data%WlVjY2kx[véletlenszerű fájlnév].exe”
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun[véletlenszerű fájlnév].exe = “%Application Data%WlVjY2kx[véletlenszerű fájlnév].exe”

5. Csatlakozik távoli vezérlőszerverekhez.

6. Nyit egy hátsó kaput, és fogadja a támadók parancsait.

7. Rendszerinformációkat gyűjt össze, beleértve az operációs rendszerre, valamint a futó védelmi szoftverekre vonatkozó paramétereket is.

8. Feltérképezi a memóriát és bank-, illetve hitelkártyákra vonatkozó adatokat gyűjt össze. Az alábbi folyamatokra különösen figyel:
smss.exe
csrss.exe
winlogon.exe
lsass.exe
spoolsv.exe
devenv.exe

9. Megfertőzi, illetve manipulálja az alábbi alkalmazásokat:
Firefox
Chrome
Internet Explorer
Debugger

10. Leállítja a működését, ha sandboxra, illetve virtualizációs megoldásokra utaló jeleket észlel.

Megoldás

Ne látogasson nem megbízható weboldalakat és ne kövessen ilyen hivatkozásokat (linkeket) se

Támadás típusa

Deny of service (Szolgáltatás megtagadás)
Information disclosure (Információ/adat szivárgás)
Manipulation of data
Security bypass (Biztonsági szabályok megkerülése)
System access (Rendszer hozzáférés)
backdoor

Hatás

Loss of availability (Elérhetőség elvesztése)
Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: www.trendmicro.com
Egyéb referencia: isbk.hu

Legfrissebb sérülékenységek
CVE-2019-11001 – Reolink Multiple IP Cameras OS Command Injection sebezhetősége
CVE-2021-40407 – Reolink RLC-410W IP Camera OS Command Injection sebezhetősége
CVE-2024-20767 – Adobe ColdFusion Improper Access Control sebezhetősége
CVE-2024-55956 – Cleo Multiple Products Unauthenticated File Upload sebezhetősége
CVE-2024-50623 – Cleo Multiple Products Unrestricted File Upload sebezhetősége
CVE-2024-49138 – Windows Common Log File System Driver Elevation of Privilege sebezhetősége
CVE-2024-11639 – Ivanti CSA sérülékenysége
CVE-2024-42449 – Veeam Service Provider Console sérülékenysége
CVE-2024-42448 – Veeam Service Provider Console sérülékenysége
CVE-2024-42327 – Zabbix SQLi sérülékenysége
Tovább a sérülékenységekhez »