به سرقت رفتن اعتبارنامه‌های Active Directory توسط تروجان TrickBot

به سرقت رفتن اعتبارنامه‌های Active Directory توسط تروجان TrickBot

تاریخ ایجاد

تروجان #TrickBot (نوعی بدافزار تغییر شکل داده شده) که از سال 2016 ظهور پیدا کرده، اخیراً به سرقت اعتبارنامه‌های Active Directory می‌پردازد. کارشناسان تخمین می‌زنند که این تروجان تاکنون امنیت 250 میلیون اکانت ایمیل را به خطر انداخته باشد. TrickBot پیش‌تر به جای دور زدن مکانیسم امنیتی Windows Defender بطور کلی این سرویس را در سیستم‌های کاربران ویندوز 10 غیرفعال می‌کرد. TrickBot اساساً یک تروجان بانکی است و بطور کلی از طریق ارسال ایمیل‌های صورتحساب منتشر می‌شود و معمولا بصورت یک فایل word یا Excel آلوده به ایمیل‌ها پیوست می‌شود. یکی دیگر از راه‌های انتشار این تروجان بهره‌برداری از آسیب‌پذیری‌های موجود در پروتکل SMB است که اشتراک‌گذاری و دسترسی به فایل‌ها را بین چند سیستم برای کاربران ویندوز فراهم می‌کند.

درباره‌ی ماژول جدید این تروجان
ماژول جدید تروجان TrickBot،معروف به «ADII» که توسط یک محقق امنیتی در Virus Total به نام Sandor Nemes تشخیص داده شد با اجرای یک سری دستورات، اطلاعات Active Directory ویندوز را به سرقت می‌برد.
پایگاه داده Active Directory ویندوز به‌صورت پیش فرض در آدرس C:\Windows\NTDS در domain controller (که در اینجا یک سرور درنظر گرفته شده) تولید و ذخیره می‌شود. همه‌ی اطلاعات شامل پسوردها، کامپیوترها، کاربران و گروه‌های Active Directory ویندوز در فایلی به نام "ntds.dit" در پایگاه داده مذکور ذخیره می‌شود. از آنجایی که همه این اطلاعات حساس هستند، ویندوز با استفاده از یک BootKey که در کامپوننت سیستمی در تنظیمات Registry نگهداری می‌شود، اطلاعات حساس را رمزنگاری می‌کند. مدیرانی که وظیفه نگهداری و کار با این پایگاه داده را به عهده دارند با ابزار مخصوصی به نام ntdsutil با آن ارتباط برقرار می‌کنند چرا که بطور معمول امکان دسترسی به BootKey وجود ندارد.

TrickBot چگونه اعتبارنامه‌های Active Directory را به سرقت می‌برد؟
معمولا مدیران شبکه برای نسخه برداری از اطلاعات Active Directory از دستور "install from media" که با عنوان "ifm" نیز شناخته می‌شود، استفاده می‌کنند. اجرای این دستور به راه‌اندازی Domain Controllerهای جدید می‌انجامد. ماژول جدید «ADII» با استفاده از دستور ifm یک کپی از پایگاه داده Active Directory تولید می‌کند؛ پس از آنکه کپی پایگاه داده در پوشه%Temp% ذخیره شد، بات کپی را برمی‌دارد. اطلاعات موجود در کپی پایگاه داده می‌تواند در آلوده کردن دیگر سیستم‌های همان شبکه و آلودگی آنها به عنوان بدافزارهای دیگر به تروجان TrickBot کمک کند.

برچسب‌ها