Varování! TrickBot Trojan zlepšuje techniky, jak se vyhnout detekci

Zdá se, že trojan TrickBot nikdy nevyjde z módy. To, co začalo jako sofistikovaný, ale relativně jednorozměrný bankovní trojan, se vyvinulo do víceúčelového švýcarského armádního nože sady malwarových nástrojů. Nový výzkum TrickBot ukazuje, že malware byl na vzestupu, a to jak z hlediska jeho aktivity, tak i jeho stále rostoucí ochrany proti odhalení.

Bezpečnostní výzkumníci s IBM's Trusteer rozebrali nedávno zachycené vzorky TrickBot a zveřejnili zprávu o stále složitějších způsobech, jak malware skrývá svou aktivitu a zpracovává vkládání kódu. Článek nastiňuje čtyři různé metody, které TrickBot používá, aby se vyhnul detekci.

Odstranění lokálních injekcí

Zatímco výzkumníci mohou být schopnianalyzovat vkládání kódu používané TrickBotem, které jsou uloženy lokálně na napadeném zařízení, věci se stanou mnohem obtížnějšími, když malware požaduje kód a vkládá jej přímo ze svých serverů. TrickBot používá buď zavaděč JS, aby získal příslušnou injekci ze svých příkazových a řídicích serverů.

Bezpečná interakce s Command Serverem

Při odesílání požadavků na svůj server C2 TrickBot používá HTTPS a implementuje příznak „unsafe-url“ do zásady odkazujícího zdroje. Tento příznak se pravděpodobně používá k informování serveru C2 o konkrétní stránce, kterou uživatel otevřel ve svém prohlížeči, aby bylo možné vrátit příslušné vložení kódu.

Kromě toho může TrickBot unést funkce ověření certifikátu zařízení oběti, čímž potlačí všechny chyby, které by mohly vzniknout ze škodlivé komunikace, kterou bot spouští.

Anti-debugging schopnosti

TrickBot také implementoval nový skript proti ladění. Anti-debugger hledá kód patřící TrickBotu, který byl pozměněn a „zkrášlen“, aby byl čitelnější pro lidi, uvedli výzkumníci IBM. Malware používá příkazy RegEx ke kontrole kódu, který byl vyčištěn a převeden z Base64, s přidáním mezer a nových řádků, aby byl atraktivnější.

Pokud anti-debugger zjistí, že kód byl retušován výzkumníky a "zkrášlen", spustí malware do smyčky, která velmi brzy zhroutí prohlížeč, protože se přetíží paměť.

Zavádějící kód

Ve výchozím nastavení je kód používaný pro injekci TrickBotem vždy kódován pomocí Base64. Kromě toho malware používá další kroky k zašifrování a zamlžení svého kódu.

Mrtvý kód je také vložen mezi legitimní výrazy, podobně jako to dělá jiný malware, aby bylo obtížnější určit skutečný účel modulů malwaru.

Kód je zkrácen a „ošklivě“ tak, aby byl pouhým okem nesrozumitelný, ale přesto si zachoval své škodlivé schopnosti. Řetězce ve funkcích jsou přesunuty do polí a poté zašifrovány, což práci výzkumníků ještě ztíží. Hodnoty přiřazené proměnným jsou záměrně reprezentovány nikoli jako celá čísla, ale jako hex, často v absurdních výrazech. Jedním příkladem poskytnutým výzkumníky je nulová hodnota inicializovaná v kódu pomocí řetězce (0x130 * 0x11 + -0x17f5 + 0x2e * 0x15, -0x24a5 + 0x68e * -0x4 + 0x3edd, -0x17f1 + -0x99b * 0x2) .

TrickBot je už léta elektrárnou ve světě škodlivých nástrojů a nevykazuje žádné skutečné známky zpomalení nebo odchodu. Objevily se pokusy zničit jeho zákeřnou infrastrukturu, ale úspěch byl velmi omezený a zdá se, že malware je stále silný i roky po svém prvním spuštění.