Trojan Notorious TrickBot Sekarang Mencuri Windows Kredensial Direktori Aktif

3 1 minute read

rickBot trojan yang sebelumnya mendatangkan malapetaka pada Windows pengguna dengan menonaktifkan Windows Pembela dan pengidapnya kini telah dimodifikasi untuk mencuri Windows Kredensial Direktori Aktif. Sifat baru dari trojan terkenal ini membuatnya lebih mematikan sejauh menyangkut keamanan.

Mempengaruhi Windows pengontrol domain, modul baru TrickBot trojan yang dijuluki "ADll" mengeksekusi serangkaian perintah untuk mencuri Windows Informasi Direktori Aktif. Modul baru telah ditemukan oleh Sandor Nemes, seorang peneliti keamanan dari Virus Total.

Bagaimana Windows Kredensial Direktori Aktif Disimpan?

Ketika server bertindak sebagai pengontrol domain, database Active Directory dibuat dan disimpan ke default C: Windows NTDS folder pada pengontrol domain.

Informasi termasuk kata sandi, pengguna, komputer, dan grup Windows Direktori aktif disimpan dalam file bernama ntds.dit di dalam basis data ini. Karena ini adalah informasi yang sangat sensitif, Windows mengenkripsi itu menggunakan BootKey yang disimpan dalam komponen Sistem dari Registry.

Operasi file standar tidak dapat mengakses BootKey dan alat khusus yang disebut ntdsutil, digunakan oleh administrator melakukan pemeliharaan database digunakan untuk bekerja dengannya ntds.dit basis data.

Bagaimana TrickBot Mencuri Kredensial Direktori Aktif?

Untuk membuat dump Direktori Aktif, administrator menggunakan perintah bernama ifm (instal dari media). Perintah ini menciptakan media instalasi untuk mengatur Pengontrol Domain baru.

Modul ADll TrickBot trojan baru menyalahgunakan ifm perintah untuk membuat salinan Windows Database direktori aktif. Seluruh database dibuang ke % Temp% map. Bot kemudian mengirimkan informasi yang dikumpulkan kepada penulis.

Data yang dipanen dapat digunakan untuk menginfeksi lebih banyak komputer di jaringan dan dapat digunakan oleh malware lain seperti Ryuk ransomware yang selalu mencari kerentanan seperti itu.

Untuk mempelajari lebih lanjut tentang bagaimana trojan TrickBot dan malware lainnya dapat mengeksploitasi layanan Active Directory, Anda dapat menonton video ini oleh Vitali Kremez dari SentinelLabs:

Name	Domain	Purpose	Expiry	Type
wpl_user_preference	apsachieveonline.org	WP GDPR Cookie Consent Preferences	1 year	HTTP
YSC	youtube.com	YouTube session cookie.	Session	HTTP
AWSALB	api.intentiq.com	Amazon Web Services Load Balancer cookie.	7 days	HTTP

Name	Domain	Purpose	Expiry	Type
VISITOR_INFO1_LIVE	youtube.com	YouTube cookie.	Session	HTTP
GPS	youtube.com	Google advertising domain	Session	HTTP

Name	Domain	Purpose	Expiry	Type
uid	tynt.com	Generic AddThis tracking cookie.	1 year	HTTP
bkdc	bluekai.com	BlueKai tracking cookie.	Session	HTTP
bku	bluekai.com	BlueKai tracking cookie.	Session	HTTP
IDE	doubleclick.net	Google advertising cookie used for user tracking and ad targeting purposes.	1 day	HTTP
_cc_dc	crwdcntrl.net	Lotame tracking cookie.	6 months	HTTP
_cc_id	crwdcntrl.net	Lotame tracking cookie.	6 months	HTTP
_cc_cc	crwdcntrl.net	Lotame tracking cookie.	6 months	HTTP
_cc_aud	crwdcntrl.net	Lotame tracking cookie.	6 months	HTTP
vuid	vimeo.com	Vimeo tracking cookie	2 years	HTTP

Name	Domain	Purpose	Expiry	Type
CountUid	histats.com	---	1 year	---
HstCfa4342789	apsachieveonline.org	---	1 year	---
HstCmu4342789	apsachieveonline.org	---	1 year	---
HstCnv4342789	apsachieveonline.org	---	1 year	---
HstCns4342789	apsachieveonline.org	---	1 year	---
m	dtscout.com	---	Session	---
df	dtscout.com	---	3 months	---
l	dtscout.com	---	3 months	---
__stid	sharethis.com	---	1 year	---
__dtsu	apsachieveonline.org	---	3 months	---
33x_ps	33across.com	---	1 year	---
__cfduid	apsachieveonline.org	Generic CloudFlare functional cookie.	1 year	HTTP
HstCla4342789	apsachieveonline.org	---	1 year	---
HstPn4342789	apsachieveonline.org	---	1 year	---
HstPt4342789	apsachieveonline.org	---	1 year	---
b	dtscout.com	---	Session	---
st	dtscout.com	---	Session	---
pxcelPage_c010_C	t.sharethis.com	---	14 days	---
pids	tynt.com	---	3 months	---
pxcelBcnLcy	t.sharethis.com	---	51 years	---
ab	agkn.com	---	1 year	---
IQver	intentiq.com	---	2 years	---
intentIQ	intentiq.com	---	2 years	---
intentIQCDate	intentiq.com	---	2 years	---
AWSALBCORS	api.intentiq.com	---	7 days	---
bkpa	bluekai.com	---	6 months	---

Bagaimana Windows Kredensial Direktori Aktif Disimpan?

Bagaimana TrickBot Mencuri Kredensial Direktori Aktif?

Pos terkait

Cara Membatalkan Root & Kembalikan Saham OnePlus 5 atau 5T Anda ke 100% «OnePlus ::

KT dan SK Telecom untuk mengakhiri layanan WiBro dalam tahun ini

Ulasan Russell Hobs Brew dan Go Coffee Machine

Tata Motors Ziptron Akan Mengambil MG Electric SUV Dan Hyundai Kona