News - TrickBot sử dụng cách Bypass mới để vượt qua UAC của Win 10 và chạy một cách lặng lẽ | VN-Zoom | Cộng đồng Chia Sẻ Kiến Thức Công Nghệ và Phần Mềm Máy Tính

Adblocker detected! Please consider reading this notice.

We've detected that you are using AdBlock Plus or some other adblocking software which is preventing the page from fully loading.

We need money to operate the site, and almost all of it comes from our online advertising.

If possible, please support us by clicking on the advertisements.

Please add vn-z.vn to your ad blocking whitelist or disable your adblocking software.

Thread starter Hamano Kaito
Ngày gửi 31/1/20
Nhập từ khóa

trickbot

News TrickBot sử dụng cách Bypass mới để vượt qua UAC của Win 10 và chạy một cách lặng lẽ

Hamano Kaito 31/1/20

TrickBot Trojan đã chuyển sang cách Bypass (vượt qua) UAC của Windows 10 mới để có thể tự thực thi với các đặc quyền nâng cao mà không hiển thị bất kỳ lời nhắc nhỡ từ Kiểm soát tài khoản người dùng.

Windows sử dụng một cơ chế bảo mật được gọi là KIỂM SOÁT TÀI KHOẢN NGƯỜI DÙNG (được viết tắt thành UAC) sẽ hiển thị một bảng nhắc nhỡ mỗi khi có chương trình chạy với các đặc quyền quản trị viên.

Khi bảng nhắc nhỡ này được hiển thị, bảng sẽ hỏi người dùng đã đăng nhập nếu người dùng muốn cho phép chương trình thực hiện thay đổi, và nếu chương trình được đánh dấu là đáng ngờ hoặc không được nhận dạng thì sẽ cho phép người dùng ngăn chặn chương trình thực thi (Chạy)

Bảng Nhắc Nhỡ Từ UAC Của Windows

Để bỏ qua UAC này thì chỉ những chương trình mà Microsoft cho là hợp pháp và được sử dụng bởi hệ điều hành mới có thể khởi chạy từ chương trình khác (để dễ hiểu là những dịch vụ của Windows). Vì những chương trình đó không được microsoft ưu tiên cao cảnh giác, nên có thể phải mất một thời gian trước khi phát hiện và sửa chữa lỗi đó, nếu có.
Để tránh bị phát hiện, các nhà phát triển phần mềm độc hại đôi khi sử dụng cách Bypass UAC để phần mềm độc hại có thể chạy với các đặc quyền quản trị viên, nhưng sẽ không hiển thị bảng nhắc nhỡ từ UAC để cảnh báo người dùng.

TrickBot dùng cách vượt qua (Bypass) UAC bằng cách sử dụng Wsreset.exe

Gần đây, chúng tôi đã báo cáo rằng TrickBot đã bắt đầu sử dụng Bypass UAC Windows 10 bằng cách sử dụng chương trình Microsoft fodhelper.exe để thực thi hợp pháp.

Tuần này, ReaQta đã phát hiện ra rằng, TrickBot hiện đã và đang chuyển sang một đường vòng khác là sử dụng chương trình Wsreset.exe để Bypass UAC

Wsreset.exe. là một chương trình Windows hợp pháp được sử dụng để đặt lại bộ nhớ đệm cho Windows Store.

Khi được thực thi, Wsreset.exe. sẽ đọc một lệnh từ giá trị mặc định của khóa Registry HKCU\Software\Classes\AppX82a6gwre4fdg3bt635tn5ctqjf8msdd2\Shell\open\command và thực thi nó.

Khi lệnh thực hiện, nó sẽ không hiển thị bảng nhắc nhỡ từ UAC và người dùng sẽ không thể biết rằng chương trình đã được thực thi.

TrickBot hiện đang khai thác Bypass UAC này để khởi chạy với các đặc quyền nâng cao, nhưng sẽ không hiển thị bảng đăng nhập hoặc là bảng nhắc nhỡ từ UAC.

Dòng lệnh đã được thêm bởi TrickBot
Nguồn từ : ReaQta

Điều này sẽ cho pháp Trojan chạy âm thầm trong chế độ nền trong khi nó thu thập thông tin đăng nhập đã lưu, khóa SSH, lịch sử duyệt web, cookie và còn hơn thế nữa.

TrickBot đặc biệt nguy hiểm vì nó có thể lây lan theo đường truyền trên mạng và nếu có quyền truy cập của quản trị viên vào bộ điều khiển của miền, nó có thể đánh cắp cơ sở dữ liệu Active Directory để có thêm thông tin đăng nhập trên mạng.

Cuối cùng, TrickBot được biết là một lớp vỏ đảo ngược dành cho tác nhân từ Ryuk Ransomware để họ có thể mã hóa toàn bộ mạng nếu bị xâm nhập.

Nguồn | https://www.bleepingcomputer.com/ne...-new-windows-10-uac-bypass-to-launch-quietly/
Nguồn tiếp cận | https://malwaretips.com/