تحذير! يعمل برنامج TrickBot Trojan على تحسين الأساليب لتجنب الاكتشاف

لا يبدو أن حصان طروادة TrickBot يخرج عن الموضة أبدًا. ما بدأ كتروجان مصرفي متطور وأحادي البعد نسبيًا تطور إلى سكين سويسري متعدد الأغراض لمجموعة أدوات البرمجيات الخبيثة. يُظهر بحث جديد في TrickBot أن البرامج الضارة كانت في تصاعد مستمر ، سواء عندما يتعلق الأمر بنشاطها أو بالحماية المتزايدة باستمرار ضد الاكتشاف.

اختار باحثو الأمن في Trusteer التابع لشركة IBM عينات تم اعتراضها مؤخرًا من TrickBot ونشروا تقريرًا عن الطرق المتزايدة التعقيد التي يخفي بها البرنامج الضار نشاطه ويتعامل مع عمليات حقن الشفرات الخاصة به. تحدد الورقة أربع طرق مختلفة يستخدمها TrickBot لتجنب الكشف.

إزالة الحقن الموضعية

في حين أن الباحثين قد يكونون قادرين علىتحليل حقن التعليمات البرمجية التي يستخدمها TrickBot والتي يتم تخزينها محليًا على الجهاز المخترق ، فإن الأمور تصبح أكثر صعوبة عندما تستدعي البرامج الضارة تعليمات برمجية ويتم حقنها مباشرة من خوادمها. يستخدم TrickBot محمل JS للحصول على الحقن المناسب من خوادم القيادة والتحكم الخاصة به.

تفاعل آمن مع خادم الأوامر

عند إرسال الطلبات إلى خادم C2 الخاص به ، يستخدم TrickBot HTTPS وينفذ علامة "url غير الآمن" في سياسة المُحيل. من المحتمل أن تُستخدم هذه العلامة لإعلام خادم C2 بالصفحة المحددة التي فتحها المستخدم في متصفحه بحيث يمكن إرجاع حقنة الكود ذات الصلة.

بالإضافة إلى ذلك ، يمكن لـ TrickBot اختطاف وظائف التحقق من الشهادة للجهاز الضحية ، ومنع جميع الأخطاء التي قد تنشأ من الاتصال الضار الذي يقوم الروبوت بتشغيله.

قدرات مكافحة التصحيح

قام TrickBot أيضًا بتطبيق برنامج نصي جديد لمكافحة تصحيح الأخطاء. قال باحثو آي بي إم إن برنامج مكافحة المصحح يبحث عن الكود الخاص بـ TrickBot الذي تم تغييره و "تجميله" لجعله أكثر قابلية للقراءة للبشر. تستخدم البرامج الضارة أوامر RegEx للتحقق من التعليمات البرمجية التي تم تنظيفها وتحويلها من Base64 ، مع إضافة مسافات وخطوط جديدة لجعلها أكثر جاذبية.

إذا اكتشف برنامج مكافحة المصحح أن الكود قد تم لمسه من قبل الباحثين و "تجميله" ، فإنه يطلق البرامج الضارة في حلقة تعطل المتصفح قريبًا جدًا ، مع زيادة تحميل الذاكرة.

كود التشويش

بشكل افتراضي ، يتم دائمًا ترميز الكود المستخدم للحقن بواسطة TrickBot باستخدام Base64. بالإضافة إلى ذلك ، يستخدم البرنامج الضار خطوات إضافية لتشفير وإخفاء رمزه.

يتم أيضًا إدخال التعليمات البرمجية الميتة بين التعبيرات المشروعة ، على غرار ما تفعله البرامج الضارة الأخرى ، لجعل تحديد الغرض الحقيقي لوحدات البرامج الضارة أكثر صعوبة.

تم اختصار الشفرة و "قبحها" لجعلها غير مفهومة بالعين المجردة ، لكنها لا تزال تحتفظ بقدراتها الخبيثة. يتم نقل السلاسل في الوظائف إلى مصفوفات ثم يتم تشفيرها ، مما يجعل وظائف الباحثين أكثر صعوبة. يتم تمثيل القيم المخصصة للمتغيرات بشكل هادف ليس كأعداد صحيحة ولكن كعرافة ، غالبًا بتعبيرات سخيفة. أحد الأمثلة التي قدمها الباحثون هو أن قيمة الصفر تتم تهيئتها في الكود باستخدام السلسلة (0x130 * 0x11 + -0x17f5 + 0x2e * 0x15، -0x24a5 + 0x68e * -0x4 + 0x3edd، -0x17f1 + -0x99b * 0x3 + 0x34c2) .

لقد كان TrickBot قوة في عالم الأدوات الخبيثة لسنوات ولا يظهر أي علامات حقيقية على التباطؤ أو الابتعاد. كانت هناك محاولات لتدمير بنيتها التحتية الخبيثة ، لكن النجاح كان محدودًا للغاية ويبدو أن البرامج الضارة لا تزال قوية ، بعد سنوات من إطلاقها الأولي.