Bifrost (trojský kůň) - Bifrost (Trojan horse)
 | Tento článek obsahuje a seznam doporučení, související čtení nebo externí odkazy, ale jeho zdroje zůstávají nejasné, protože mu chybí vložené citace. (Dubna 2009) (Zjistěte, jak a kdy odstranit tuto zprávu šablony) |
| Běžné jméno | Bifrost |
|---|---|
| Technický název | Bifrost |
| Aliasy | (Chyba zabezpečení systému Windows Metafile související: Backdoor-CEP, Bifrost), Backdoor-CKA, Agent.MJ |
| Rodina | Bifrose |
| Klasifikace | trojský |
| Typ | Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows XP, Windows Server 2003, Windows 7, Windows 10 |
| Podtyp | Zadní dveře |
| Izolace | 2004 – dosud |
| Bod izolace | Neznámý |
| Místo původu | Švédsko |
| Autoři | ksv |
Bifrost je zadní dveře trojský kůň rodina více než 10 variant, které mohou infikovat Windows 95 až Windows 10 (i když v moderních systémech Windows je po Windows XP jeho funkčnost omezená). Bifrost používá typickou konfiguraci serveru, tvůrce serveru a klientského backdooru, aby umožnil vzdálenému útočníkovi, který klienta používá, provést libovolný kód na kompromitovaném počítači (který spouští server, jehož chování lze ovládat editorem serveru).
Součást serveru (velikost přibližně 20–50 kilobajtů, v závislosti na variantě) klesne na C: Program FilesBifrostserver.exe s výchozím nastavením a při spuštění se připojí k předdefinovanému IP adresa na TCP přístav 81, čeká na příkazy vzdáleného uživatele, který používá klientskou komponentu. Lze však změnit instalační adresář i port TCP.
TCP spojení je šifrováno heslem (výchozí: „pass“), ale také to lze změnit.
Lze předpokládat, že jakmile budou všechny tři komponenty funkční, může vzdálený uživatel na napadeném počítači libovolně spustit libovolný kód. Součásti serveru lze také přetáhnout do C: Windows a změnit atributy souborů na „Pouze pro čtení“ a „Skryté“. Příležitostní uživatelé nemusí ve výchozím nastavení vidět adresáře kvůli „skrytým“ atributům nastaveným v adresáři. Zdá se, že některým antivirovým programům (například AVG - 17. února 2010) tento soubor úplně chybí.
Komponenta pro vytváření serveru má následující schopnosti:
- Vytvořte serverovou komponentu
- Změňte součásti serveru přístav číslo a / nebo IP adresa
- Změňte název spustitelného souboru součásti serveru
- Změňte název souboru Registr Windows spouštěcí položka
- Zahrnout rootkit skrýt procesy serveru
- Zahrnout rozšíření pro přidání funkcí (přidá serveru 22 759 bajtů)
- Použití vytrvalost (ztěžuje odstranění serveru z infikovaného systému)
Komponenta klienta má následující funkce:
- Process Manager (procházení nebo ukončení běžících procesů)
- Správce souborů (Procházet, nahrávat, stahovat nebo mazat soubory)
- Správce oken (Procházet, zavírat, maximalizovat / minimalizovat nebo přejmenovat okna)
- Získejte informace o systému
- Extrahujte hesla ze stroje
- Logování klávesových zkratek
- Snímání obrazovky
- Zachycení webové kamery
- Odhlášení, restart nebo vypnutí počítače
- Editor registru
- Vzdálený shell
28. Prosince 2005 Využívat Windows WMF byl použit k vypuštění nových variant Bifrostu do strojů. Nějaký řešení a neoficiální opravy byly publikovány před Microsoftem oznámil a vydal oficiální opravu 5. ledna 2006. Exploit WMF je třeba považovat za extrémně nebezpečný.
Starší varianty Bifrostu používaly různé porty, např. 1971, 1999; měl jiné užitečné zatížení, např. C: Winntsystem32system.exe; a / nebo napsal jinak Registr Windows klíče.
Bifrost byl navržen v době, kdy Windows UAC (představeno s Windows Vista ) ještě nebyl představen. Z tohoto důvodu se Bifrost nemůže nainstalovat na moderní systémy Windows, pokud není spuštěn s oprávněními správce.
Viz také
externí odkazy
- BackDoor-CEP od společnosti McAfee pokrývá chování serveru varianty Bifrost s využitím WMF
- BackDoor-CEP.cfg od společnosti McAfee pokrývá chování editorů klientů a serverů u uvedené varianty Bifrost
- Backdoor-CKA od společnosti McAfee
- Zadní vrátka od společnosti Symantec
- Backdoor.Bifrose.C od společnosti Symantec
- Troj / Bifrose-AJ, autorem Sophos