偽の Windows Speech / ナレーター を使った脆弱性

ハッカーが、Windowsの正規のナレーターアプリケーションをトロイの木馬バージョンに置き換える方法を発見しました。これにより、攻撃されたシステムで最高特権が得られます。さらに、攻撃者はPcShareバックドアをシステムにインストールします。

ナレーター 画面上のテキストを発声するためのアプリケーション。視覚障害者向けのアプリケーションは1999年にWindows 2000で初めて登場し、その後、すべてのバージョンのオペレーティングシステムに付属しています。

ナレーターは、システムで承認する前に実行できることに注意してください。さらに、このアプリケーションはwinlogon.exe承認プロセスの特権を継承します。これは常に最大の特権（システム）で開始されます。トロイの木馬を使用することにより、サイバー犯罪者は認証をバイパスしてシステムをリモートで制御できます。ログインやパスワードを入力する必要はありません。

偽のナレーターを使用すると、攻撃者はシステムでの許可なしにWindowsコマンドコンソールにアクセスできます。ただし、システムにインストールするには、最初にシステムの管理者権限を取得する必要があります。

そのため、中国のオープンソースPcShareバックドアが使用されます。この脆弱性のニーズに合わせて特別に変更されました。特に、制御サーバーからのコマンドを受信する追加のチャネル暗号化と、プロキシバイパス機能が実装されました。さらに、冗長な機能はすべて削除されました。つまり、このバージョンのバックドアの作成者は、この問題に非常に徹底的に取り組みました。

バックドアは、スプーフィングされたファイルNvSmartMax.dll-NVIDIA Smart Maximize Helper Hostのアプリケーションコンポーネントを使用してシステムに入力されます。これは、NVIDIAグラフィックスドライバーに付属するサービスで、このDLLの主な目的は、バックドアの主要な「スタッフィング」を含むファイルであるNvSmartMax.datを解読してダウンロードすることです。

 BlackBerry / Cylanceの専門家は、攻撃者は同じバージョンのバックドアを使用しているが、特定の目的でDLLを変更する場合があると指摘しました。

 PcShare自体はメモリにのみ存在し、暗号化されていない形式ではハードディスクに書き込まれません。

専門家は、ファイルサイズを削減するためにこのバージョンのPcShareからオーディオおよびビデオブロードキャスト機能が削除され、キーロガー機能も削除されたと指摘しています。SSH / Telnetサーバーの機能、自動更新、新しいモジュールのロードとアンロードについてはそのままです。

 このマルウェアの助けを借りて、攻撃者は管理者権限でシステム内の多くの操作をリモートで実行できるようになります。 ただし、これは最高レベルの特権ではありません。最高レベルはSYSTEMですが偽の「スクリーンアナウンサー」の助けを借りれば達成できます。
 サイランスの専門家によると、ナレーターの偽バージョンは数年間開発されており、攻撃者は被害者への長期的なスパイ行為を期待しているとのことです。
 攻撃の主催者は中国にいる可能性が最も高いです。PcShareバックドア自体とそのコンポーネントを含む、使用されるプログラムのほとんどは中国起源のもので、GitHubと中国のハッキングフォーラムで入手できます。
攻撃の主な標的は、東南アジアにあるテクノロジー企業でした。 「公開ツールを使用すると、リソースを大幅に節約できます」と、SEC Consult Servicesの情報セキュリティの専門家であるAnastasia Melnikova氏は述べています。
「さらに、公開ツールが使用されている場合、どのAPTグループが攻撃の背後にあるかを確実に判断することは困難になります。」