Tinba.B


2014. október 2. 13:04

CH azonosító

CH-11680

Angol cím

Tinba.B

Felfedezés dátuma

2014.10.01.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Microsoft

Összefoglaló

A Tinba.B Windows-os folyamatokat fertőz meg, amelyek mögül a háttérben, folyamatosan figyelemmel kíséri a hálózati aktivitást. 

Leírás

A Tinba.B Windows-os folyamatokat fertőz meg, amelyek mögül a háttérben, folyamatosan figyelemmel kíséri a hálózati aktivitást. Az adatlopáshoz pedig Windows és Internet Explorer által biztosított API-kat sem rest felhasználni.

A Tinba.B trójai működése erősen függ attól, hogy a terjesztői milyen utasításokkal látják el egy távoli vezérlőszerveren keresztül. A károkozó a kiszolgálójáról egy konfigurációs állományt szerez be, amelyben arról kap információkat, hogy mely domainek, IP-címek esetében kell a hálózati adatforgalmat lementenie, illetve feldolgoznia.

Amennyiben a vezérlőszerverét elvesztené, vagy a konfigurációs fájlban nem kap megfelelő információkat arra vonatkozóan, hogy hová kell az összegyűjtött adatokat továbbítania, akkor egy DGA (Domain Generation Algorithm) algoritmus segítségével domain neveket generál, amelyek alapján megpróbál távoli szerverekhez kapcsolódni.

Technikai részletek:

1. Létrehozza a következő állományt:

%UserProfile%Application Data[…]bin.exe

2. A regisztrációs adatbázishoz hozzáadja az alábbi értéket:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”[…]” = “%UserProfile%Application Data[…]bin.exe”

3. A regisztrációs adatbázisban módosítja a következő bejegyzést:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet SettingsZones3″1609″ = “0”

4. Konfigurációs állományokat tölt le az alábbiak szerint:
%UserProfile%Application Data[…]cfg.dat
%UserProfile%Application Data[…]web.dat

5. Megfertőzi a következő folyamatokat:
winver.exe
explorer.exe

6. Monitorozza a hálózati adatforgalmat azon domainek esetében, amelyek naplóinformációkat tartalmaznak.

7. Windows és Internet Explorer API-kat használ fel. 

8. Az összegyűjtött adatokat lementi az alábbiak szerint:
%UserProfile%Application Data[…]log.dat
%UserProfile%Application Data[…]ntf.dat

9. A fenti adatfájlokat időközönként feltölti a vezérlőszerverére.

10. Letölt, és elindít egy kártékony programot:
%UserProfile%Application Data[…].exe

Támadás típusa

Unspecified (Nem részletezett)

Hatás

Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Gyártói referencia: www.symantec.com

Legfrissebb sérülékenységek
CVE-2019-11001 – Reolink Multiple IP Cameras OS Command Injection sebezhetősége
CVE-2021-40407 – Reolink RLC-410W IP Camera OS Command Injection sebezhetősége
CVE-2024-20767 – Adobe ColdFusion Improper Access Control sebezhetősége
CVE-2024-55956 – Cleo Multiple Products Unauthenticated File Upload sebezhetősége
CVE-2024-50623 – Cleo Multiple Products Unrestricted File Upload sebezhetősége
CVE-2024-49138 – Windows Common Log File System Driver Elevation of Privilege sebezhetősége
CVE-2024-11639 – Ivanti CSA sérülékenysége
CVE-2024-42449 – Veeam Service Provider Console sérülékenysége
CVE-2024-42448 – Veeam Service Provider Console sérülékenysége
CVE-2024-42327 – Zabbix SQLi sérülékenysége
Tovább a sérülékenységekhez »