Спецпроекты

Таинственные злоумышленники проделали в Windows «общедоступную дыру» для захвата чужих ПК

2204
Безопасность Администратору Пользователю Техника

Неизвестные злоумышленники используют комбинацию из общедоступного бэкдора с открытым исходным кодом и модифицированного приложения Windows для получения административных, а затем и системных привилегий в атакованной системе.

Экранный диктор с сюрпризами

Хакеры нашли способ подменять легитимное приложение Narrator (он же в русском варианте «Экранный диктор») в Windows троянизированной версией, что обеспечивает им максимальные привилегии в атакованной системе. Кроме этого, злоумышленники устанавливают в систему бэкдор PcShare.

Экранный диктор — приложение для озвучивания текста на экране; оно предназначено для слепых и слабовидящих людей. Приложение впервые появилось в Windows 2000 в 1999 г., и с тех пор сопровождает все версии операционной системы.

Необходимо отметить, что «Экранный диктор» можно запускать до авторизации в системе. Мало того, это приложение, как и наследует привилегии процесса авторизации winlogon.exe, который всегда запускается с максимальными привилегиями (System). Благодаря использованию троянца злоумышленники могут удалённо контролировать систему в обход всякой авторизации — им не надо вводить ни логины, ни пароли.

«Общедоступный бэкдор»

Использование фальшивого экранного диктора позволяет злоумышленникам получать доступ к командной консоли Windows без авторизации в системе. Впрочем, для его установки в систему потребуется сначала получить административные права в системе.

winwinwin600.jpg
Комбинация из общедоступного бэкдора с открытым исходным кодом и стандартного приложения позволяет получить административные и системные привилегии в Windows

Как раз для этого используется китайский бэкдор с открытыми исходниками PcShare. Он специально был модифицирован для нужд данной кампании: в частности, реализовано дополнительное шифрование канала, по которому поступают команды от контрольного сервера, а также функции обхода прокси. Кроме того, была удалена вся избыточная функциональность, - то есть, создатели этой версии бэкдора подошли к делу весьма основательно.

Бэкдор заносится в систему с помощью подменённого файла NvSmartMax.dll — компонента приложения NVIDIA Smart Maximize Helper Host. Это служба, поставляемая с графическими драйверами NVIDIA Основное назначение данного DLL — расшифровать и загрузить NvSmartMax.dat — файл в котором и содержится основная «начинка» бэкдора.

Эксперты компании BlackBerry/Cylance отметили, что злоумышленники используют один и тот же вариант самого бэкдора, но временами модифицируют DLL под конкретные цели.

Сам по себе PcShare существует только в памяти, в нешифрованном виде он на жёсткий диск не записывается.

Административные и системные привилегии

Эксперты указывают, что из данной версии PcShare убраны функции аудио- и видеотрансляции, также удалена функциональность кейлоггера — видимо, с целью уменьшения размеров файла. Функции SSH/Telnet-сервера, автообновления, загрузки и выгрузки новых модулей — всё это осталось на месте.

С помощью этого вредоноса злоумышленники получают возможность удалённо производить массу операций в системе с правами администратора.

Но это не высший уровень привилегий: высшим является SYSTEM, и как раз его можно добиться с помощью поддельного «Экранного диктора».

По словам экспертов Cylance, поддельная версия «Экранного диктора» разрабатывается на протяжении уже нескольких лет, и, по-видимому, злоумышленники рассчитывают на долгосрочный шпионаж за жертвами.

Организаторы атак, скорее всего, располагаются в Китае. Большая часть используемых программ, включая сам бэкдор PcShare и его компоненты, - китайского происхождения, доступные на GitHub и китайских хакерских форумах. Основными объектами атак стали технологические компании, располагающиеся в Юго-Восточной Азии.

«Использование общедоступных инструментов позволяет значительно экономить на ресурсах, - отмечает Анастасия Мельникова, эксперт по информационной безопасности компании SEC Consult Services. - Кроме того, это сильно затрудняет атрибуцию: невозможно определить сколько-нибудь достоверно, какая APT-группировка стоит за атаками, когда используются общедоступные инструменты, невозможно».



Тема месяца

Обзор: Телеком 2019

Рейтинги CNews

Крупнейшие телекоммуникационные компании России 2019 Крупнейшие поставщики ИТ в телеком 2019

Технология месяца

СУБД уходят в облака. Как это получилось, и какое будущее их ждет?

Среди самых популярных СУБД – и «чисто облачные», и облачные версии «обычных» решений