El nuevo módulo de TrickBot denominado "ADII" está configurado para robar las credenciales de Active Directory de Windows.
Identificado por primera vez por Sandor Nemes, un investigador de seguridad de Virus Total, este nuevo módulo de TrickBot denominado "ADII" amplifica aún más la amenaza que posee para la seguridad, roba información de Active Directory de Windows mediante la ejecución de un conjunto de comandos.
Se está creando y almacenando una base de datos de Active Directory en la carpeta predeterminada C: \ Windows \ NTDS en el controlador de dominio, aquí un servidor actúa como controlador de dominio. Ahora, toda la información, incluidas las contraseñas, las computadoras, los usuarios y los grupos de Active Directory de Windows, se guarda en un archivo con el nombre "ntds.dit" en la base de datos. Como toda la información antes mencionada es de naturaleza sensible, Windows recurre a una BootKey que se encuentra en el componente del sistema del Registro y encripta la información con la ayuda de este. Los administradores responsables del mantenimiento de la base de datos utilizan una herramienta especial conocida como "ntdsutil" para trabajar con esa base de datos. Según se informa, las operaciones de archivo estándar no pueden acceder a BootKey.
¿Cómo funciona TrickBot en el robo de credenciales de Active Directory?
Los administradores usan el comando "instalar desde medios", también conocido como "ifm", para crear un volcado de Active Directory. El comando conduce a la creación de un medio de instalación para configurar nuevos controladores de dominio. El nuevo módulo "ADII" explota el comando ifm para producir una copia de la base de datos de Windows Active Directory; después de que la base de datos se haya volcado en la carpeta % Temp%, el bot recopila la información y la transfiere al administrador. Los datos recopilados pueden ser efectivos para infectar más sistemas en la misma red y también podrían ser utilizados por otros tipos de malware en busca de vulnerabilidades similares.
Fuente: e Hacking News
0 Comentarios