Tinba.B


2014. október 2. 13:04

CH azonosító

CH-11680

Angol cím

Tinba.B

Felfedezés dátuma

2014.10.01.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Microsoft

Összefoglaló

A Tinba.B Windows-os folyamatokat fertőz meg, amelyek mögül a háttérben, folyamatosan figyelemmel kíséri a hálózati aktivitást. 

Leírás

A Tinba.B Windows-os folyamatokat fertőz meg, amelyek mögül a háttérben, folyamatosan figyelemmel kíséri a hálózati aktivitást. Az adatlopáshoz pedig Windows és Internet Explorer által biztosított API-kat sem rest felhasználni.

A Tinba.B trójai működése erősen függ attól, hogy a terjesztői milyen utasításokkal látják el egy távoli vezérlőszerveren keresztül. A károkozó a kiszolgálójáról egy konfigurációs állományt szerez be, amelyben arról kap információkat, hogy mely domainek, IP-címek esetében kell a hálózati adatforgalmat lementenie, illetve feldolgoznia.

Amennyiben a vezérlőszerverét elvesztené, vagy a konfigurációs fájlban nem kap megfelelő információkat arra vonatkozóan, hogy hová kell az összegyűjtött adatokat továbbítania, akkor egy DGA (Domain Generation Algorithm) algoritmus segítségével domain neveket generál, amelyek alapján megpróbál távoli szerverekhez kapcsolódni.

Technikai részletek:

1. Létrehozza a következő állományt:

%UserProfile%Application Data[…]bin.exe

2. A regisztrációs adatbázishoz hozzáadja az alábbi értéket:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”[…]” = “%UserProfile%Application Data[…]bin.exe”

3. A regisztrációs adatbázisban módosítja a következő bejegyzést:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet SettingsZones3″1609″ = “0”

4. Konfigurációs állományokat tölt le az alábbiak szerint:
%UserProfile%Application Data[…]cfg.dat
%UserProfile%Application Data[…]web.dat

5. Megfertőzi a következő folyamatokat:
winver.exe
explorer.exe

6. Monitorozza a hálózati adatforgalmat azon domainek esetében, amelyek naplóinformációkat tartalmaznak.

7. Windows és Internet Explorer API-kat használ fel. 

8. Az összegyűjtött adatokat lementi az alábbiak szerint:
%UserProfile%Application Data[…]log.dat
%UserProfile%Application Data[…]ntf.dat

9. A fenti adatfájlokat időközönként feltölti a vezérlőszerverére.

10. Letölt, és elindít egy kártékony programot:
%UserProfile%Application Data[…].exe

Támadás típusa

Unspecified (Nem részletezett)

Hatás

Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Gyártói referencia: www.symantec.com

Legfrissebb sérülékenységek
CVE-2024-41713 – Mitel MiCollab Path Traversal sérülékenysége
CVE-2024-55550 – Mitel MiCollab Path Traversal sérülékenysége
CVE-2021-44207 – Acclaim Systems USAHERDS Use of Hard-Coded Credentials sérülékenysége
CVE-2024-12356 – BeyondTrust Privileged Remote Access (PRA) and Remote Support (RS) Command Injection sérülékenysége
CVE-2022-23227 – NUUO NVRmini2 Devices Missing Authentication sérülékenysége
CVE-2024-51818 – Fancy Product Designer SQL injection sérülékenysége
CVE-2024-51919 – Fancy Product Designer ellenőrizetlen fájlfeltöltési sérülékenysége
CVE-2018-14933 – NUUO NVRmini Devices OS Command Injection sebezhetősége
CVE-2019-11001 – Reolink Multiple IP Cameras OS Command Injection sebezhetősége
CVE-2021-40407 – Reolink RLC-410W IP Camera OS Command Injection sebezhetősége
Tovább a sérülékenységekhez »