Il malware TrickBot usa una nuova tecnica per bypasare i Controlli Account Utente su Windows 10

Il famigerato trojan TrickBot ha implementato una nuova tecnica per bypassare il Controllo Account Utente (UAC) su Windows 10, così da eseguirsi con privilegi di amministrazione senza che l'utente visualizzi alcun alert UAC.

L'UAC è un meccanismo di sicurezza di Windows che mostra prompt di alert ogni volta che un programma viene eseguito coi privilegi di amministrazione. Quando questi prompt sono mostrati, l'utente deve indicare se desidera concedere al programma di effettuare cambiamenti nel sistema oppure, nel caso il programma sia sospetto o sconosciuto, impedirne l'esecuzione. E' evidente come questo sia un problema per i cyber attaccanti, che al contrario, traggono vantaggio dal fatto che la vittima sia e resti totalmente ignara dell'attacco in corso.

Esistono però dei bypass UAC: questi sono presenti nei programmi legittimi di Microsoft e sono usati dal sistema operativo stesso per avviare altri programmi. Windows 10 cioè esegue senza mostrare alcun prompt UAC, quei programmi che sono ritenuti legittimi perchè firmati con certificato digitale Microsoft e salvati in location ritenute sicure (come C:\Windows\System32).

Gli attaccanti cercano quindi di far si che il sistema esegua i malware tramite programmi legittimi così da poter sfruttare il bypass UAC. Questa è l'altra faccia della medaglia: i bypass UAC sono utili, ma anche rischiosi allo stesso tempo. Non sono considerati, però, una priorità da Microsoft, quindi potrebbe volerci del tempo prima che vengano individuati e risolti.

TrickBot implementa due bypass UAC
Qualche tempo fa il ricercatore Vitali Kremez ha individuato una nuova versione del trojan che usa il bypass Fodhelper. Una volta eseguita sul target, questa versione verifica immediatamente se il sistema operativo sia Windows 7 o Windows 10. Se il sistema risulta Windows 7 TrickBot utilizza il bypass CMSTPLUA, se invece il risultato indica Windows 10 verrà adesso usato il bypass UAC Fodhelper.

Fodhelper.exe è la finestra che compare quando si digita "Gestione funzioni opzionali" su "App e Funzionalità" nella schermata di Impostazioni di Windows. Tale tecnica consente al malware "l'auto elevazione" dei privilegi, dato che Microsoft concede automaticamente i privilegi di amministrazione a quei file ritenuti affidabili. Foldhelper è ovviamente uno di questi "binari sicuri". La versione di TrickBot individuata da Kremez utilizza proprio Fodhelper.exe per eseguirsi bypassando l'UAC tramite modifica del registro.

Questa settimana invece è stata individuata una versione di TrickBot che usa un bypass UAC differente: utilizza il programma Wsreset.exe. Questo è un programma legittimo di Windows usato per il reset della cache di Windows Store. Una volta eseguito Wsreset.exe leggerà un comando dal valore di default di
HKCU\Software\Classes\AppX82a6gwre4fdg3bt635tn5ctqjf8msdd2\Shell\open\command key
e lo eseguirà.

Quando il comando è in esecuzione non viene mostrato alcun prompt UAC e l'utente non avrà idea del fatto che quel programma è stato eseguito. E' così che TrickBot sfrutta questo bypass UAC per lanciarsi coi privilegi di amministrazione. Sotto i comandi di registro aggiunti da TrickBot.

A questo punto TrickBot viene eseguito in background e avvia la raccolta di credenziali, cronologia dei browser, cookie ecc...

TrickBot in breve: che cosa è e cenni sull'evoluzione
TrickBot è stato individuato nel Settembre del 2016: le prime analisi lo definirono immediatamente come erede di Dyre, un trojan bancario oggi quasi completamente dismesso. Il legame tra questi due trojan risultò evidente per la similarità di codice e funzioni, ma anche a partire dal loader, denominato TrickLoader in entrambi i casi.

Luglio 2017:
nell'Estate del 2017 fu individuata perfino una versione con comportamenti da worm: il modulo di propagazione di TrickBot era stato infatti implementato con EternalBlue, l'exploit del protocollo SMB che fu alla base della virulenza impressionante dei ransomware WannaCry e Petya.

Gennaio 2018:
TrickBot viene usato come Access-As-A-Service da altri attori. Una volta che una macchina viene infettata da TrickBot e diviene un bot, il malware crea una reverse shell per altri cyber attaccanti, consentendo loro di infltrarsi nel resto della rete e scaricare altri malware.

Marzo 2018:
ennesimo update. Viene aggiunta una componente di blocco dello schermo (screenlocker), evento che ha indotto i ricercatori a prevedere per TrickBot anche un futuro come ransomware, laddove non dovesse arrivare a termine con successo l'esfiltrazione delle informazioni bancarie dalla macchina target.

Gennaio 2019:
TrickBot inizia a fare coppia fissa coi ransomware. Vengono individuate diverse campagne di diffusione del ransomware Ryuk, nelle quali l'accesso ai sistemi è garantito dalle funzionalità di backdoor di TrickBot.

Leave a comment



logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy