Для справки: Задача стилера - вытащить из системы жертвы ценные данные, в первую очередь — пароли.
статья взята отсюда: https://habr.com/ru/post/500852/
----------------------------
Что если я Вам скажу, что единственной функцией одного из компонентов антивирусного ПО, имеющего доверенную цифровую подпись, является сбор всех Ваших учетных данных сохраненных в популярных Интернет-браузерах? А если я скажу что ему без разницы в чьих интересах их собирать? Наверное подумаете что я брежу. А давайте посмотрим как на самом деле?
Разбираемся
Живет себе и здравствует такая антивирусная компания как Avira GmbH & Co. KG. Выпускает различные продукты связанные с информационной безопасностью. В ассортименте даже есть бесплатные продукты для домашнего использования.
Установим себе интереса ради бесплатную версию, посмотреть что умеет продукт немецких коллег. Пробегаем взглядом по интерфейсу – ничего необычного. Не находим никакого упоминания еще одного из продуктов компании – Avira Password Manager.
А давайте заглянем в компонент с ничем не привлекающим внимание именем «Avira.PWM.NativeMessaging.exe»? Он скомпилирован для платформы .NET и никак не обфусцирован, поэтому загружаем его в dnSpy и свободно изучаем код программы.
Программа консольная и она ожидает команд в стандартном потоке ввода. Главная функция при помощи «Read» считывает данные с потока, проверяет формат и передает команду в функцию «ProcessMessage». Та же, в свою очередь, проверяет что переданная команда является "fetchChromePasswords" или "fetchCredentials" (хотя какая разница если дальнейшее поведение одинаковое?) и тогда начинается самое интересное – вызов функции «RetrieveBrowserCredentials». Интересно даже… что может делать функция с таким именем?
Да ничего необычного, просто собирает в один список все учетные записи пользователя, сохраненные им при работе с Интернет-браузерами «Chrome», «Opera» (на базе Chromium), «Firefox» и «Edge» (на базе Chromium) и возвращает данные в виде JSON-объекта.
Ну а затем выводит собранные данные в консоль:
Суть проблемы
- Компонент собирает пользовательские учетные данные;
- Компонент не верифицирует вызывающую программу (например, по наличию у неё цифровой подписи самого производителя);
- Компонент имеет «доверенную» цифровую подпись и не вызывает подозрение у других производителей антивирусного ПО;
- Компонент работает как отдельное приложение.
IoC
SHA1: 13c95241e671b98342dba51741fd02621768ecd5.
По данной проблеме был заведен CVE-2020-12680.
Об этой проблеме мною 07.04.2020 было направлено письмо в адрес support@avira.com и info@avira.com с полным описанием. Ответных писем, включая от автоматических систем не поступало. Спустя месяц описываемый компонент всё так же распространяется в дистрибутиве Avira Free Antivirus.
Veliant7 мая 2020 в 11:14
Это интересно
+7
|
|||
Последние откомментированные темы:
-
образ .wim
(5)
odes90
,
07.01.2022
-
С наступающим Новым годом, друзья!!!
(6)
Профессор
,
01.01.2022
-
Sordum - набор бесплатных утилит
(23)
Павлыч
,
19.12.2021
-
Не загружалась windows 7.
(12)
Leovolf
,
02.12.2021
-
Группе 10 лет!
(18)
Palermo
,
15.09.2021
-
Заморочки обновления
(9)
dman
,
24.08.2021
-
Проблема с Hamachi, Internet Download Manager и интернетом.
(15)
Leovolf
,
15.08.2021
-
Windows 11
(15)
Leovolf
,
13.07.2021
-
Полосы и артифакты на мониторе ноутбука Самсунг
(12)
Erik
,
07.06.2021
-
Можно ли проверить доступ к образу пока еще все живет...
(3)
Aлeксандр
,
06.06.2021
-
Просьба помощи!
(6)
odes90
,
30.05.2021
-
С праздником, дорогие одногруппники, с Днём Великой Победы!!!
(9)
Доктор Буги
,
11.05.2021
-
С праздником весны, дорогие женщины!!!
(3)
Grahtatan
,
08.03.2021
-
Поздравляем наших любимых женщин, а в группе особенно!
(6)
pljazhnik
,
06.03.2021
20241117225631