Внимание! Trojan TrickBot подобрява техниките за избягване на откриване
Изглежда, че троянският конец TrickBot никога не излиза от мода. Това, което започна като сложен, но сравнително едноизмерен банков троянец, се превърна в многофункционален швейцарско-армейски нож от инструментариум за злонамерен софтуер. Ново проучване на TrickBot показва, че зловредният софтуер се увеличава и нараства, както по отношение на неговата активност, така и по отношение на неговата непрекъснато нарастваща защита срещу откриване.
Изследователи по сигурността с Trusteer на IBM разделиха наскоро прихванати проби от TrickBot и публикуваха доклад за все по-сложните начини, по които зловредният софтуер крие своята дейност и се справя с инжекциите на код. Документът очертава четири различни метода, които TrickBot използва, за да избегне откриването.
Съдържание
Премахване на локални инжекции
Въпреки че изследователите може да са в състояние даанализират инжекциите на код, използвани от TrickBot, които се съхраняват локално на компрометираното устройство, нещата стават много по-трудни, когато зловредният софтуер изисква код и инжектира директно от своите сървъри. TrickBot използва или JS зареждане, за да вземе подходящата инжекция от своите командни и контролни сървъри.
Сигурно взаимодействие с командния сървър
Когато изпраща заявки до своя C2 сървър, TrickBot използва HTTPS и внедрява флага "unsafe-url" в политиката за препращане. Този флаг вероятно се използва за информиране на C2 сървъра за конкретната страница, която потребителят е отворил в своя браузър, така че съответното инжектиране на код да може да бъде върнато.
Освен това TrickBot може да отвлече функциите за проверка на сертификата на устройството жертва, като потиска всички грешки, които могат да възникнат от злонамерената комуникация, която ботът задейства.
Възможности за отстраняване на грешки
TrickBot е внедрил и нов скрипт за отстраняване на грешки. Анти-дебъгерът търси код, принадлежащ на TrickBot, който е променен и "разкрасен", за да го направи по-четим за хората, казаха изследователите на IBM. Зловредният софтуер използва команди на RegEx, за да провери за код, който е почистен и преобразуван от Base64, с добавени интервали и нови редове, за да го направи по-привлекателен.
Ако анти-дебъгерът установи, че кодът е бил коригиран от изследователи и е „разкрасен“, той стартира зловредния софтуер в цикъл, който срива браузъра много скоро, тъй като паметта се претоварва.
Обфусциращ код
По подразбиране кодът, използван за инжектиране от TrickBot, винаги се кодира с помощта на Base64. В допълнение към това, зловредният софтуер използва допълнителни стъпки, за да криптира и прикрива кода си.
Мъртвият код също се инжектира между легитимни изрази, подобно на това, което прави другият зловреден софтуер, за да се направи по-трудно определянето на истинската цел на модулите на зловредния софтуер.
Кодът се съкращава и „углуява“, за да го направи неразбираем с просто око, но въпреки това запазва своите злонамерени възможности. Низовете във функциите се преместват в масиви и след това се криптират, което прави работата на изследователите още по-трудна. Стойностите, присвоени на променливи, са целенасочено представени не като цели числа, а като шестнадесетичен, често в абсурдни изрази. Един пример, предоставен от изследователите, е стойност на нула, която се инициализира в кода с помощта на низа (0x130 * 0x11 + -0x17f5 + 0x2e * 0x15, -0x24a5 + 0x68e * -0x4 + 0x3edd, -0x17f1 + -0x39b +2 * 0) .
TrickBot е мощен център в света на злонамерените инструменти от години и не показва реални признаци на забавяне или изчезване. Имаше опити да се премахне злонамерената му инфраструктура, но успехът беше много ограничен и изглежда, че зловредният софтуер все още е силен, години след първоначалното му стартиране.