تروجان #TrickBot (نوعی بدافزار تغییر شکل داده شده) که از سال 2016 ظهور پیدا کرده، اخیراً به سرقت اعتبارنامههای Active Directory میپردازد. کارشناسان تخمین میزنند که این تروجان تاکنون امنیت 250 میلیون اکانت ایمیل را به خطر انداخته باشد. TrickBot پیشتر به جای دور زدن مکانیسم امنیتی Windows Defender بطور کلی این سرویس را در سیستمهای کاربران ویندوز 10 غیرفعال میکرد. TrickBot اساساً یک تروجان بانکی است و بطور کلی از طریق ارسال ایمیلهای صورتحساب منتشر میشود و معمولا بصورت یک فایل word یا Excel آلوده به ایمیلها پیوست میشود. یکی دیگر از راههای انتشار این تروجان بهرهبرداری از آسیبپذیریهای موجود در پروتکل SMB است که اشتراکگذاری و دسترسی به فایلها را بین چند سیستم برای کاربران ویندوز فراهم میکند.
دربارهی ماژول جدید این تروجان
ماژول جدید تروجان TrickBot،معروف به «ADII» که توسط یک محقق امنیتی در Virus Total به نام Sandor Nemes تشخیص داده شد با اجرای یک سری دستورات، اطلاعات Active Directory ویندوز را به سرقت میبرد.
پایگاه داده Active Directory ویندوز بهصورت پیش فرض در آدرس C:\Windows\NTDS در domain controller (که در اینجا یک سرور درنظر گرفته شده) تولید و ذخیره میشود. همهی اطلاعات شامل پسوردها، کامپیوترها، کاربران و گروههای Active Directory ویندوز در فایلی به نام "ntds.dit" در پایگاه داده مذکور ذخیره میشود. از آنجایی که همه این اطلاعات حساس هستند، ویندوز با استفاده از یک BootKey که در کامپوننت سیستمی در تنظیمات Registry نگهداری میشود، اطلاعات حساس را رمزنگاری میکند. مدیرانی که وظیفه نگهداری و کار با این پایگاه داده را به عهده دارند با ابزار مخصوصی به نام ntdsutil با آن ارتباط برقرار میکنند چرا که بطور معمول امکان دسترسی به BootKey وجود ندارد.
TrickBot چگونه اعتبارنامههای Active Directory را به سرقت میبرد؟
معمولا مدیران شبکه برای نسخه برداری از اطلاعات Active Directory از دستور "install from media" که با عنوان "ifm" نیز شناخته میشود، استفاده میکنند. اجرای این دستور به راهاندازی Domain Controllerهای جدید میانجامد. ماژول جدید «ADII» با استفاده از دستور ifm یک کپی از پایگاه داده Active Directory تولید میکند؛ پس از آنکه کپی پایگاه داده در پوشه%Temp% ذخیره شد، بات کپی را برمیدارد. اطلاعات موجود در کپی پایگاه داده میتواند در آلوده کردن دیگر سیستمهای همان شبکه و آلودگی آنها به عنوان بدافزارهای دیگر به تروجان TrickBot کمک کند.
- 6