Троян GootKit сам выписывает себе «проходку» внутрь Windows 10

Опубликовано at 16:42
390 0

Успешность вируса сегодня во многом определяется тем, насколько хорошо он умеет обходить средства кибезащиты, в том числе, встроенные системные. Поскольку Защитник Windows (Windows Defender) совершенствуется и все глубже интегрируется в Windows 10, авторы вредоносных программ ищут пути обхода этого встроенного антивируса.

Специалистов заинтересовал известный банковский троян GootKit, который регуляро обновляется и в новой версии использует обход UAC и команды WMIC для занесения своего файла в «белый список» Защитника Windows.

Основная задача GootKit — выкрасть учетные данные от онлайн-банкинга. Для этого троян перенаправляет жертв на поддельные сайты, замаскированные под банковские.  Для этого он пытается обойти детектирование Windows Defender, исключив путь к своему файлу из списка проверяемых.

Алгоритм работы вредоноса:

GootKit проверяет, работает ли Защитник Windows в системе. Для этого выполняется следующая команда: WMIC /Node:localhost /Namespace:\\root\SecurityCenter2 Path AntiVirusProduct Get displayName,productState /format:list

Если антивирус активирован, троян выполняет команду, создающую определённое значение в реестре Windows, что помогает файлу C:\Windows\system32\fodhelper.exe обойти UAC.

Создаётся значение в реестре HKCU\\Software\\Classes\\ms-settings\\shell\\open\\command «DelegateExecute»=0. Оно необходимо для обхода контроля учетных записей. Создаётся значение HKCU\\Software\\Classes\\ms-settings\\shell\\open\\command, указывающее на команду, которая занесёт путь к вредоносному файлу в «белый список».

Сама команда: WMIC /Namespace:\\root\Microsoft\Windows\Defender class MSFT_MpPreference call Add ExclusionPath=\»‘ + excludeDir + ‘\». Выполняется C:\Windows\System32\fodhelper.exe, что запускает вышеозначенную WMIC-команду. При этом никаких уведомлений со стороны UAC не выводится. Вредонос пингует loopback-адрес 7 раз, чтобы создать определённую задержку. Удаляется значение с командой WMIC из реестра. После этого Защитник Windows уже не будет проверять файл трояна.

В интернете, в том числе и на Securelist, можно найти ранние упоминания GootKit в контексте вредоносных программ — в качестве компонента ботов и троянцев, — но впервые детальный анализ бота GootKit был опубликован исследователями около 2014 года. Это была первая попытка описать бота как самостоятельную вредоносную программу, зловред был обозначен как «новый многофункциональный бэкдор». Авторы исследования высказали предположения о заимствовании функциональности бота у других троянцев, а также дали описание некоторых ключевых особенностей GootKit.

В сентябре 2016 года была обнаружена новая версия зловреда, которая имела характерную и легко узнаваемую особенность – дополнительную проверку переменной окружения «crackme» в теле загрузчика. В ранних версиях эта особенность отсутствовала.

В отличие от своих конкурентов, этот банкер никогда не сдавался внаем как услуга (Malware-as-a-Service), а его исходники ни разу не попали в общий доступ. По свидетельству X-Force, операторы GootKit строго контролируют сроки проведения атак и списки потенциальных жертв, большинство которых составляют клиенты европейских банков, в том числе юрлица.

Распространяется GootKit с помощью эксплойт-паков — Angler, Neutrino. Кражу учетных данных онлайн-банкинга зловред осуществляет с помощью веб-инжектов, подменяя контент в браузере на лету. Его авторы прилагают массу усилий, чтобы уберечь свое детище от обнаружения, и с этой целью постоянно совершенствуют исходный код.

Читайте также по этой теме на АКБ:

Найден способ обойти любой антивирус через образ диска

Как трояны нагло используют официальные сервисы: 3 свежих истории

Вирус-трансформер втирает очки гибкими интерфейсами

Подписываемся, следим @CyberAgency

Related Post

Как избежать горя от ума: базовые правила IoT-безопасности

Опубликовано - 12.04.2018 0
Профессиональная шутка специалистов по кибербезопасности гласит: S в аббревиатуре IoT означает “Security”. При всей перспективности умных устройств, их уязвимость для…

Правительственные хакеры украли телефоны пользователей Twitter

Опубликовано - 05.02.2020 0
Неизвестная группировка хакеров (возможно иранских) похитили неизвестное количество телефонных номеров пользователей соцсети. Подозрительная активность была зафиксирована после того, как эксперты…