Advarsel! TrickBot Trojan forbedrer teknikker til at undgå registrering
TrickBot-trojaneren ser aldrig ud til at gå af mode. Hvad der startede som en sofistikeret, men relativt endimensionel banktrojaner, udviklede sig til en multifunktionel schweizisk-hærkniv af et malware-værktøjssæt. Ny forskning i TrickBot viser, at malware har været stigende, både når det kommer til dens aktivitet og dens stadigt voksende beskyttelse mod detektion.
Sikkerhedsforskere med IBM's Trusteer udvalgte for nylig prøver af TrickBot og offentliggjorde en rapport om de stadig mere komplekse måder, hvorpå malware skjuler sin aktivitet og håndterer sine kodeindsprøjtninger. Papiret skitserer fire forskellige metoder, som TrickBot bruger for at undgå opdagelse.
Indholdsfortegnelse
Fjernelse af lokale injektioner
Mens forskere muligvis er i stand til atanalysere kodeindsprøjtninger, der bruges af TrickBot, og som er gemt lokalt på den kompromitterede enhed, bliver tingene meget vanskeligere, når malwaren kalder på kode og injicerer direkte fra dens servere. TrickBot bruger enten en JS-indlæser til at få fat i den passende injektion fra dens kommando- og kontrolservere.
Sikker interaktion med kommandoserver
Når TrickBot sender forespørgsler til sin C2-server, bruger HTTPS og implementerer flaget "unsafe-url" i henvisningspolitikken. Dette flag bruges sandsynligvis til at informere C2-serveren om den specifikke side, som brugeren har åbnet i deres browser, så den respektive kodeindsprøjtning kan returneres.
Derudover kan TrickBot kapre certifikatbekræftelsesfunktionerne på offerenheden og undertrykke alle fejl, der måtte opstå fra den ondsindede kommunikation, som botten udløser.
Anti-fejlretningsfunktioner
TrickBot har også implementeret et nyt anti-debugging script. Anti-debuggeren leder efter kode, der tilhører TrickBot, som er blevet ændret og "forskønnet" for at gøre den mere læsbar for mennesker, sagde IBM's forskere. Malwaren bruger RegEx-kommandoer til at tjekke for kode, der er blevet ryddet op og konverteret fra Base64, med mellemrum og nye linjer tilføjet for at gøre det mere attraktivt.
Hvis anti-debuggeren finder ud af, at koden er blevet rettet op af forskere og "forskønnet", lancerer den malwaren i en løkke, der nedbryder browseren meget hurtigt, da hukommelsen overbelastes.
Tilslørende kode
Som standard er den kode, der bruges til injektion af TrickBot, altid kodet ved hjælp af Base64. Ud over dette bruger malwaren ekstra trin til at kryptere og sløre sin kode.
Død kode injiceres også mellem legitime udtryk, svarende til hvad anden malware gør, for at gøre det sværere at finde ud af det sande formål med malwaremodulerne.
Koden er forkortet og "grimt" for at gøre den uforståelig for det blotte øje, men stadig bevare dens ondsindede egenskaber. Strenge i funktioner flyttes til arrays og krypteres derefter, hvilket gør forskernes job endnu sværere. Værdier tildelt variabler er målrettet repræsenteret ikke som heltal, men som hex, ofte i absurde udtryk. Et eksempel givet af forskere er en værdi på nul, der initialiseres i koden ved hjælp af strengen (0x130 * 0x11 + -0x17f5 + 0x2e * 0x15, -0x24a5 + 0x68e * -0x4 + 0x3edd, -0x17f1 + -0x49b *0x39b *0x39b).
TrickBot har været et kraftcenter i verden af ondsindede værktøjer i årevis, og det viser ingen rigtige tegn på at bremse eller forsvinde. Der har været forsøg på at nedbryde dens ondsindede infrastruktur, men succesen har været meget begrænset, og det ser ud til, at malwaren stadig går stærkt, år efter dens første lancering.