Как оказалось, появление функции блокировки экрана в арсенале банковского трояна TrickBot — отнюдь не попытка придать ему свойства вымогателя. Проведенный в Fortinet анализ показал, что новый модуль нужен этому банкеру для успешной кражи паролей пользователей новейших Windows.

Модификация TrickBot с компонентом screenLocker_x86.dll была впервые обнаружена в середине прошлого месяца. Тогда этот модуль, предназначенный для блокировки экрана, еще не работал, и проверить его в действии не представлялось возможным.

Исследователи высказали предположение, что авторы активно развивающегося зловреда решили подзаработать вымогательством и будут двигаться дальше в этом направлении, реализуя функциональность шифрования файлов. Подобные случаи «гибридизации» банкеров нередки, но более характерны для мобильных платформ — достаточно вспомнить  таких Android-троянов, как Xbot, Lokibot, Faketoken, Svpeng.

Время шло, однако новых версий TrickBot не появлялось. Вместо этого, как обнаружили в Fortinet, на зараженные машины начал раздаваться новый компонент-дроппер — squlDll. Выяснилось, что он загружает уже знакомые исследователям модули для сбора email-адресов с локальных серверов SQL, а также screenLocker и легитимную утилиту Mimikatz, предназначенную для извлечения из памяти паролей, хешей, PIN-кодов и т. п.

Тестирование показало, что блокировщик экрана, используемый TrickBot, не имеет отношения к вымогательству. Эта функциональность является частью хитроумной схемы кражи учетных данных, сохраняемых на компьютере Windows для так называемой дайджест-аутентификации.

Особенностью протокола WDigest, по которому осуществляется аутентификация пользователя Windows на веб-сервере, является использование пароля в открытом виде. Идентификаторы WDigest сохраняются в памяти системного процесса lsass.exe, и на Windows XP, например, их не составляет труда получить с помощью Mimikatz.

В ОС более новых версий Microsoft предусмотрела возможность запрета хранения паролей в памяти LSA. Так, в Windows 8.1 и Windows Server 2012 R2 появился ключ реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest\UseLogonCredential со значением, по умолчанию установленным на 0. Если изменить это значение на 1, пароли будут сохраняться.

Аналогичной переменой значения ключа Negotiate в той же ветке реестра можно запретить или разрешить метод аутентификации WDigest. Эту же защиту Microsoft бэкпортировала на Windows 7, 8 и Windows Server 2008 R2 / 2012, однако чтобы ею воспользоваться, нужно установить обновление KB2871997, а потом выставить ключи реестра.

Оказалось, что TrickBot вначале включает поддержку WDigest, изменяя или добавляя запись реестра, а затем использует блокировку экрана, чтобы заставить пользователя повторно войти в аккаунт. Вернув жертву на страницу логина и вынудив ее вновь пройти аутентификацию, зловред пускает в ход Mimikatz. При этом TrickBot расшифровывает утилиту и загружает ее прямо в память — так он меньше наследит в системе.

По словам исследователей, подобные манипуляции с записями в реестре обновленный зловред производит лишь на Windows 8/Server 2012 или новее, на других ОС Microsoft модуль screenLocker ему не нужен.

Категории: Аналитика, Вредоносные программы