Dè ma dh’ innis mi dhut gur e an aon ghnìomh aig aon de na co-phàirtean bathar-bog antivirus aig a bheil ainm-sgrìobhte didseatach earbsach na teisteanasan agad uile a tha air an stòradh ann am brobhsairean eadar-lìn mòr-chòrdte a chruinneachadh? Dè ma chanas mi nach eil e gu diofar dha cò aig a bheil ùidh ann a bhith gan cruinneachadh? Is dòcha gu bheil thu a’ smaoineachadh gu bheil mi meallta. Feuch am faic sinn mar a tha e dha-rìribh?
Tuigse
A 'fuireach agus a' fuireach ann an leithid de chompanaidh antivirus mar . A’ dèanamh diofar thoraidhean co-cheangailte ri tèarainteachd fiosrachaidh. Tha eadhon bathar an-asgaidh airson cleachdadh dachaigh.
Nach biodh ùidh againn anns an dreach an-asgaidh agus faic dè as urrainn dha toradh ar co-obraichean Gearmailteach a dhèanamh. Bheir sinn sùil thairis air an eadar-aghaidh - chan eil dad annasach. Cha lorg sinn iomradh sam bith air fear eile de thoraidhean na companaidh - Manaidsear Facal-faire Avira.
Bheir sinn sùil air a’ phàirt leis an ainm nach tarraing aire “Avira.PWM.NativeMessaging.exe"? Tha e air a chur ri chèile airson an àrd-ùrlar .NET agus chan eil e obfuscated ann an dòigh sam bith, agus mar sin bidh sinn ga luchdachadh a-steach dnSpy agus gu saor a 'sgrùdadh còd a' phrògraim.
Is e prògram tòcan a th’ anns a’ phrògram agus tha dùil aige ri òrdughan anns an t-sruth inntrigidh àbhaisteach. Prìomh ghnìomh a' cleachdadh "Leugh" a' leughadh dàta bhon t-sruth, a' sgrùdadh an fhòrmat agus a' dol seachad air an àithne dhan ghnìomh"Pròiseas Teachdaireachd" Bidh an aon rud, an uair sin, a’ dèanamh cinnteach gu bheil an àithne tar-chuir “Luchdaich a-nuasChromePasswords"no"faigh teisteanasan" (ged dè an diofar a nì e ma tha an giùlan eile mar an ceudna?) agus an uairsin tòisichidh am pàirt as inntinniche - a 'gairm an gnìomh"RetrieveBrowserCredentials" Tha e eadhon inntinneach ... dè as urrainn gnìomh leis an ainm sin a dhèanamh?
Chan eil dad neo-àbhaisteach, bidh e dìreach a’ cruinneachadh ann an aon liosta a h-uile cunntas cleachdaiche a chaidh a shàbhaladh nuair a bhios tu ag obair le brobhsairean eadar-lìn “Chrome”, “Opera” (stèidhichte air Chromium), “Firefox” agus “Edge” (stèidhichte air Chromium) agus a ’tilleadh an dàta mar a nì JSON.
Uill, an uairsin bidh e a’ taisbeanadh an dàta cruinnichte don consol:
Beart na duilgheadas
- Bidh am pàirt a 'cruinneachadh teisteanasan luchd-cleachdaidh;
- Chan eil am pàirt a’ dearbhadh a’ phrògram gairm (mar eisimpleir, le ainm-sgrìobhte didseatach bhon neach-dèanamh fhèin);
- Tha ainm-sgrìobhte didseatach “earbsach” aig a’ phàirt agus chan eil e a’ togail amharas am measg luchd-saothrachaidh bathar-bog antivirus eile;
- Bidh am pàirt a’ ruith mar thagradh air leth.
IoC
SHA1: 13c95241e671b98342dba51741fd02621768ecd5.
Chaidh CVE-2020-12680 a thoirt seachad airson a’ chùis seo.
Air 07.04.2020/XNUMX/XNUMX chuir mi litir mun duilgheadas seo gu: [post-d fo dhìon] и [post-d fo dhìon] le làn thuairisgeul. Cha robh litrichean freagairt ann, a’ gabhail a-steach bho shiostaman fèin-ghluasadach. Mìos an dèidh sin, tha am pàirt a chaidh a mhìneachadh fhathast air a sgaoileadh ann an sgaoileadh Avira Free Antivirus.
Source: www.habr.com