Троян GootKit сам выписывает себе «проходку» внутрь Windows 10

Опубликовано at 16:42
148 0

Успешность вируса сегодня во многом определяется тем, насколько хорошо он умеет обходить средства кибезащиты, в том числе, встроенные системные. Поскольку Защитник Windows (Windows Defender) совершенствуется и все глубже интегрируется в Windows 10, авторы вредоносных программ ищут пути обхода этого встроенного антивируса.

Специалистов заинтересовал известный банковский троян GootKit, который регуляро обновляется и в новой версии использует обход UAC и команды WMIC для занесения своего файла в «белый список» Защитника Windows.

Основная задача GootKit — выкрасть учетные данные от онлайн-банкинга. Для этого троян перенаправляет жертв на поддельные сайты, замаскированные под банковские.  Для этого он пытается обойти детектирование Windows Defender, исключив путь к своему файлу из списка проверяемых.

Алгоритм работы вредоноса:

GootKit проверяет, работает ли Защитник Windows в системе. Для этого выполняется следующая команда: WMIC /Node:localhost /Namespace:\\root\SecurityCenter2 Path AntiVirusProduct Get displayName,productState /format:list

Если антивирус активирован, троян выполняет команду, создающую определённое значение в реестре Windows, что помогает файлу C:\Windows\system32\fodhelper.exe обойти UAC.

Создаётся значение в реестре HKCU\\Software\\Classes\\ms-settings\\shell\\open\\command «DelegateExecute»=0. Оно необходимо для обхода контроля учетных записей. Создаётся значение HKCU\\Software\\Classes\\ms-settings\\shell\\open\\command, указывающее на команду, которая занесёт путь к вредоносному файлу в «белый список».

Сама команда: WMIC /Namespace:\\root\Microsoft\Windows\Defender class MSFT_MpPreference call Add ExclusionPath=\»‘ + excludeDir + ‘\». Выполняется C:\Windows\System32\fodhelper.exe, что запускает вышеозначенную WMIC-команду. При этом никаких уведомлений со стороны UAC не выводится. Вредонос пингует loopback-адрес 7 раз, чтобы создать определённую задержку. Удаляется значение с командой WMIC из реестра. После этого Защитник Windows уже не будет проверять файл трояна.

В интернете, в том числе и на Securelist, можно найти ранние упоминания GootKit в контексте вредоносных программ — в качестве компонента ботов и троянцев, — но впервые детальный анализ бота GootKit был опубликован исследователями около 2014 года. Это была первая попытка описать бота как самостоятельную вредоносную программу, зловред был обозначен как «новый многофункциональный бэкдор». Авторы исследования высказали предположения о заимствовании функциональности бота у других троянцев, а также дали описание некоторых ключевых особенностей GootKit.

В сентябре 2016 года была обнаружена новая версия зловреда, которая имела характерную и легко узнаваемую особенность – дополнительную проверку переменной окружения «crackme» в теле загрузчика. В ранних версиях эта особенность отсутствовала.

В отличие от своих конкурентов, этот банкер никогда не сдавался внаем как услуга (Malware-as-a-Service), а его исходники ни разу не попали в общий доступ. По свидетельству X-Force, операторы GootKit строго контролируют сроки проведения атак и списки потенциальных жертв, большинство которых составляют клиенты европейских банков, в том числе юрлица.

Распространяется GootKit с помощью эксплойт-паков — Angler, Neutrino. Кражу учетных данных онлайн-банкинга зловред осуществляет с помощью веб-инжектов, подменяя контент в браузере на лету. Его авторы прилагают массу усилий, чтобы уберечь свое детище от обнаружения, и с этой целью постоянно совершенствуют исходный код.

Читайте также по этой теме на АКБ:

Найден способ обойти любой антивирус через образ диска

Как трояны нагло используют официальные сервисы: 3 свежих истории

Вирус-трансформер втирает очки гибкими интерфейсами

Подписываемся, следим @CyberAgency

Related Post

Криптобиржу Bancor обнесли на $23,5 млн

Опубликовано - 10.07.2018 0
Неизвестная группировка хакеров взломала технический кошелек биржи Bancor и похитила средства сразу в нескольких криптовалютах. Как сообщают представители биржи, хакеры…