Bifrost (cheval de Troie) - Bifrost (Trojan horse)

Bifrost est une famille de chevaux de Troie de porte dérobée de plus de 10 variantes qui peuvent infecter Windows 95 à Windows 10 (bien que sur les systèmes Windows modernes, après Windows XP, ses fonctionnalités soient limitées). Bifrost utilise la configuration typique du serveur, du générateur de serveur et du programme de porte dérobée client pour permettre à un attaquant distant, qui utilise le client, d'exécuter du code arbitraire sur la machine compromise (qui exécute le serveur dont le comportement peut être contrôlé par l'éditeur de serveur).

Le composant serveur (d'une taille d'environ 20 à 50 kilo - octets , selon la variante) est supprimé C:\Program Files\Bifrost\server.exe avec les paramètres par défaut et, lors de l'exécution, se connecte à une adresse IP prédéfinie sur le port TCP 81, en attendant les commandes de l'utilisateur distant qui utilise le composant client. Cependant, le répertoire d'installation et le port TCP peuvent être modifiés.

La connexion TCP est cryptée avec un mot de passe (par défaut: "pass"), mais cela peut également être modifié.

On peut supposer qu'une fois que les trois composants sont opérationnels, l'utilisateur distant peut exécuter du code arbitraire à volonté sur la machine compromise. Les composants du serveur peuvent également être déposés dans C: \ Windows et les attributs de fichier modifiés en «Lecture seule» et «Caché». Les utilisateurs occasionnels peuvent ne pas voir les répertoires par défaut en raison des attributs «cachés» définis sur le répertoire. Certains programmes antivirus (exemple AVG - 17 février 2010) semblent manquer complètement le fichier.

Le composant de création de serveur a les capacités suivantes:

• Créer le composant serveur
• Changer le numéro de port et / ou l'adresse IP du composant serveur
• Changer le nom de l'exécutable du composant serveur
• Changer le nom de l' entrée de démarrage du registre Windows
• Inclure un rootkit pour masquer les processus du serveur
• Inclure des extensions pour ajouter des fonctionnalités (ajoute 22 759 octets au serveur)
• Utiliser la persistance (rend le serveur plus difficile à supprimer du système infecté)

Le composant client a les capacités suivantes:

• Gestionnaire de processus (parcourir ou tuer les processus en cours)
• Gestionnaire de fichiers (parcourir, télécharger, télécharger ou supprimer des fichiers)
• Gestionnaire de fenêtres (Parcourir, fermer, agrandir / réduire ou renommer les fenêtres)
• Obtenir des informations système
• Extraire les mots de passe de la machine
• Enregistrement des frappes
• Capture d'écran
• Capture de webcam
• Déconnexion, redémarrage ou arrêt du bureau
• Éditeur de registre
• Shell à distance

Le 28 décembre 2005, l' exploit Windows WMF a été utilisé pour déposer de nouvelles variantes de Bifrost sur les machines. Certaines solutions de contournement et correctifs non officiels ont été publiés avant que Microsoft annonce et publie un correctif officiel le 5 janvier 2006. L'exploit WMF doit être considéré comme extrêmement dangereux.

Les anciennes variantes de Bifrost utilisaient différents ports, par exemple 1971, 1999; avait une charge utile différente, par exemple C:\Winnt\system32\system.exe ; et / ou écrit différentes clés de registre Windows .

Bifrost a été conçu avant l'introduction de l' UAC, donc Bifrost ne peut pas s'installer sur les systèmes Windows modernes, à moins qu'il ne soit lancé avec des privilèges d'administrateur.

Voir également

• Vulnérabilité du métafichier Windows

Liens externes

• BackDoor-CEP , de McAfee, couvre le comportement du serveur d'une variante de Bifrost abandonnée exploit WMF
• BackDoor-CEP.cfg , de McAfee, couvre le comportement de l'éditeur client et serveur de ladite variante Bifrost
• Backdoor-CKA , par McAfee
• Backdoor.Bifrose , par Symantec
• Backdoor.Bifrose.C , par Symantec
• Troj / Bifrose-AJ , par Sophos