به سرقت رفتن اعتبارنامههای ACTIVE DIRECTORY توسط تروجان TRICKBOT
تروجان TrickBot (نوعی بدافزار تغییر شکل داده شده) که از سال 2016 ظهور پیدا کرده، اخیراً به سرقت اعتبارنامههای Active Directory میپردازد.
_1.jpg)
به سرقت رفتن اعتبارنامههای ACTIVE DIRECTORY توسط تروجان TRICKBOTتروجان TrickBot (نوعی بدافزار تغییر شکل داده شده) که از سال 2016 ظهور پیدا کرده، اخیراً به سرقت اعتبارنامههای Active Directory میپردازد. کارشناسان تخمین میزنند که این تروجان تاکنون امنیت 250 میلیون اکانت ایمیل را به خطر انداخته باشد. TrickBot پیشتر به جای دور زدن مکانیسم امنیتی Windows Defender به طور کلی این سرویس را در سیستمهای کاربران ویندوز 10 غیرفعال میکرد. TrickBot اساساً یک تروجان بانکی است و به طور کلی از طریق ارسال ایمیلهای صورتحساب منتشر میشود و معمولاً بهصورت یک فایل word یا Excel آلوده به ایمیلها پیوست میشود. یکی دیگر از راههای انتشار این تروجان بهرهبرداری از آسیبپذیریهای موجود در پروتکل SMB است که اشتراکگذاری و دسترسی به فایلها را بین چند سیستم برای کاربران ویندوز فراهم میکند.
|
 |
|
دربارهی ماژول جدید این تروجان ماژول جدید تروجان TrickBot، معروف به «ADII» که توسط یک محقق امنیتی در Virus Total به نام Sandor Nemes تشخیص داده شد با اجرای یک سری دستورات، اطلاعات Active Directory ویندوز را به سرقت میبرد. پایگاه داده Active Directory ویندوز بهصورت پیشفرض در آدرس C:WindowsNTDS در domain controller (که در اینجا یک سرور در نظر گرفته شده) تولید و ذخیره میشود. همهی اطلاعات شامل پسوردها، کامپیوترها، کاربران و گروههای Active Directory ویندوز در فایلی به نام “ntds.dit” در پایگاه داده مذکور ذخیره میشود. از آنجایی که همه این اطلاعات حساس هستند، ویندوز با استفاده از یک BootKey که در مؤلفه سیستمی در تنظیمات Registry نگهداری میشود، اطلاعات حساس را رمزنگاری میکند. مدیرانی که وظیفه نگهداری و کار با این پایگاه داده را به عهده دارند با ابزار مخصوصی به نام ntdsutil با آن ارتباط برقرار میکنند چرا که به طور معمول امکان دسترسی به BootKey وجود ندارد.
چگونه TrickBot اعتبارنامههای Active Directory را به سرقت میبرد؟ معمولاً مدیران شبکه برای نسخهبرداری از اطلاعات Active Directory از دستور “install from media” که با عنوان “ifm” نیز شناخته میشود، استفاده میکنند. اجرای این دستور به راهاندازی Domain Controllerهای جدید میانجامد. ماژول جدید «ADII» با استفاده از دستور ifm یک کپی از پایگاه داده Active Directory تولید میکند؛ پس از آنکه کپی پایگاه داده در پوشه %Temp% ذخیره شد، بات کپی را برمیدارد. اطلاعات موجود در کپی پایگاه داده میتواند در آلوده کردن دیگر سیستمهای همان شبکه و آلودگی آنها به عنوان بدافزارهای دیگر به تروجان TrickBot کمک کند.
منبع: مرکز ماهر |