TrickBot Truva Atı Windows Active Directory Kimlik Bilgilerini Hedef Aldı!

Windows Defender‘ı devre dışı bırakarak ve onları enfekte ederek daha önce Windows kullanıcılarına zarar veren TrickBot truva atı, Windows Active Directory kimlik bilgilerini çalmak için değiştirildi.Truva atının bu yeni özelliği ile bilgisayarları daha ölümcül hale getiriyor.

Windows denetleyicilerini etkileyen TrickBot Truva Atı’ının “ADll” adlı yeni modülü, Windows Active Directory bilgilerini çalmak için bir dizi komut yürütüyor. Yeni modül, Virus Total‘in güvenlik araştırmacısı Sandor Nemes tarafından keşfedildi.

Windows Active Directory Kimlik Bilgileri Nasıl Saklanır?

Bir sunucu etki alanı denetleyicisi gibi davrandığında, Active Directory veritabanı oluşturulur ve etki alanı denetleyicisindeki varsayılan C: \ Windows \ NTDS klasörüne kaydedilir.Parolalar, kullanıcılar, bilgisayarlar ve Windows Active Directory gruplarını içeren bilgiler, bu veritabanının içinde ntds.dit adlı bir dosyada depolanır.

Bu son derece hassas bilgiler olduğundan, Windows bunu Kayıt Defterinin Sistem bileşeninde depolanan bir BootKey kullanarak şifreler.Standart dosya işlemleri BootKey‘e erişemez ve veritabanı bakımı yapan yöneticiler tarafından kullanılan ntdsutil adlı özel bir araç ntds.dit veritabanı ile çalışmak için kullanılır.

Active Directory dökümü oluşturmak için yöneticiler ifm (ortamdan yükleme) adlı bir komut kullanır. Bu komut, yeni Etki Alanı Denetleyicilerini ayarlamak için bir yükleme medyası oluşturur.

TrickBot Truva Atı’nın yeni ADll modülü, Windows Active Directory veritabanının bir kopyasını oluşturmak için ifm komutunu kötüye kullanarak çalışır. Tüm veritabanı% Temp% klasörüne dökülür. Bot daha sonra toplanan bilgileri yazara gönderir.

Toplanan veriler ağdaki daha fazla bilgisayarı etkilemek için kullanılabilir ve her zaman bu tür güvenlik açıklarını arayan Ryuk ransomware gibi diğer kötü amaçlı yazılımlar tarafından kullanılabilir.