image

Hackers kapen bedrijfsnetwerk via 'StickyKeys'

dinsdag 21 augustus 2012, 12:30 door Redactie, 5 reacties

Het gebruik van de StickyKeys-functie in Windows om administrator-rechten te krijgen wordt nog altijd bij echte aanvallen toegepast. Dat meldt beveiligingsbedrijf Mandiant in een analyse van de Hikit-rootkit, die bij een niet nader genoemde organisatie werd aangetroffen. Tijdens het onderzoek werd duidelijk dat de aanvallers al volledige administrator-rechten voor het gehele Windows domein hadden en talloze systemen hadden gecompromitteerd.

Mandiant ontdekte dat de aanvallers onder andere de StickKeys-techniek hadden toegepast, waarbij het bestand 'sethc.exe' door een kopie van 'cmd.exe' wordt overschreven, waardoor ongeauthenticeerde toegang tijdens RDP-logons mogelijk is. Door te zoeken naar aangepaste sethc.exe bestanden werden verschillende besmette systemen ontdekt en verdachte bestanden ontdekt.

Groepen
Verder onderzoek wees uit dat de aanvallers de Microsoft Distributed Transaction Coordinator service gebruikten om de uiteindelijke backdoor te starten. Een techniek die goed blijkt te werken. Het beveiligingsbedrijf zou inmiddels verschillende groepen hebben geïdentificeerd die zich met gerichte aanvallen bezighouden en deze techniek toepassen om verschillende malware te laden. Wat de malware precies doet maakt het binnenkort bekend.

Reacties (5)
21-08-2012, 12:44 door Anoniem
Zo heb je er nog meer denk aan; interactive service detection.
Ik zeg schaf eens een debugging voor dummies aan microsoft.
21-08-2012, 13:02 door Righard J. Zwienenberg
Verder onderzoek --> https://blog.mandiant.com/archives/3155

Oops... Expired Certificate...

Verlopen op 21 Aug 2012 :-)
21-08-2012, 13:16 door Anoniem
Door sethc.exe door cmd.exe te vervangen kun je SYSTEM-rechten verkrijgen.

Je moet echter al superuser / TrustedInstaller zijn om sethc.exe te overschrijven. Of fysieke toegang hebben. Ik snap dit verhaal dus niet.

Iemand hier met een toelichting? Thanks!
21-08-2012, 16:43 door Anoniem
Al hebben ze gisteren een nieuw certificaat aangevraagd dat nu al actief is t/m 2013 ;)
22-08-2012, 09:03 door Anoniem
@Anoniem 13:16; Nou, USB heeft DMA op windows, dan kun je al alles doen. Dit is sinds MSDOS met die floppydrives weetje nog?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.