Varoitus! TrickBot Trojan parantaa tekniikoita havaitsemisen välttämiseksi

TrickBot Troijalainen ei näytä koskaan menevän pois muodista. Se, mikä alkoi hienostuneesta mutta suhteellisen yksiulotteisesta pankkitroijalaisesta, kehittyi monikäyttöiseksi Sveitsin armeijan haittaohjelmien työkalupakin veitseksi. Uusi TrickBot-tutkimus osoittaa, että haittaohjelmat ovat olleet kasvussa sekä toiminnan että sen jatkuvasti kasvavan havaitsemissuojan suhteen.

Tietoturvatutkijat IBM:n Trusteerin kanssa poimivat äskettäin siepattuja näytteitä TrickBotista ja julkaisivat raportin yhä monimutkaisemmista tavoista, joilla haittaohjelma piilottaa toimintansa ja käsittelee koodin lisäyksiä. Paperissa esitellään neljä erilaista menetelmää, joita TrickBot käyttää havaitsemisen välttämiseksi.

Paikallisten injektioiden poistaminen

Vaikka tutkijat saattavat pystyäanalysoimaan TrickBotin käyttämiä koodin lisäyksiä, jotka on tallennettu paikallisesti vaarantuneelle laitteelle, asiat muuttuvat paljon vaikeammiksi, kun haittaohjelma pyytää koodia ja ruiskuttaa suoraan palvelimiltaan. TrickBot käyttää joko JS-latainta nappatakseen sopivan injektion komento- ja ohjauspalvelimistaan.

Suojattu vuorovaikutus Command Serverin kanssa

Kun TrickBot lähettää pyyntöjä C2-palvelimelleen, se käyttää HTTPS:ää ja ottaa käyttöön "unsafe-url"-lipun viitekäytännössä. Tätä lippua käytetään todennäköisesti ilmoittamaan C2-palvelimelle tietystä sivusta, jonka käyttäjä on avannut selaimessaan, jotta vastaava koodiinjektio voidaan palauttaa.

Lisäksi TrickBot voi kaapata uhrin laitteen varmenteen vahvistustoiminnot ja estää kaikki virheet, jotka voivat johtua botin käynnistämästä haitallisesta viestinnästä.

Virheenkorjauksen estoominaisuudet

TrickBot on myös ottanut käyttöön uuden virheenkorjauksen skriptin. Anti-debuggeri etsii TrickBotille kuuluvaa koodia, jota on muutettu ja "kaunistettu", jotta se olisi helpompi lukea ihmisille, IBM:n tutkijat sanoivat. Haittaohjelma tarkistaa RegEx-komentojen avulla, onko Base64:stä puhdistettua ja muunnettua koodia, johon on lisätty välilyöntejä ja uusia rivejä, jotta se houkuttelee.

Jos debuggeri saa selville, että koodia on käsitelty ja "kaunistettu", se käynnistää haittaohjelman silmukkaan, joka kaataa selaimen hyvin pian muistin ylikuormituessa.

Hämmentävä koodi

Oletuksena TrickBotin injektioon käyttämä koodi on aina koodattu Base64:llä. Tämän lisäksi haittaohjelma käyttää ylimääräisiä vaiheita koodinsa salaamiseen ja hämärtämiseen.

Kuollutta koodia ruiskutetaan myös laillisten ilmaisujen väliin, kuten muut haittaohjelmat tekevät, jotta haittaohjelman moduulien todellisen tarkoituksen selvittäminen on vaikeampaa.

Koodia on lyhennetty ja "rumattu", jotta se ei ymmärrettäisi paljaalla silmällä, mutta säilyttää silti haitalliset kykynsä. Funktioiden merkkijonot siirretään taulukoihin ja sitten salataan, mikä vaikeuttaa tutkijoiden työtä entisestään. Muuttujille annetut arvot esitetään tarkoituksellisesti ei kokonaislukuina vaan heksadesimaalilukuina, usein absurdein lausekkein. Yksi tutkijoiden tarjoama esimerkki on nolla-arvo, joka alustetaan koodissa käyttämällä merkkijonoa (0x130 * 0x11 + -0x17f5 + 0x2e * 0x15, -0x24a5 + 0x68e * -0x4 + 0x3edd, -0x17f1 + -0x99b *0) .

TrickBot on ollut haitallisten työkalujen maailman voimanpesä vuosia, eikä se osoita todellisia merkkejä hidastumisesta tai katoamisesta. Sen haitallista infrastruktuuria on yritetty purkaa, mutta menestys on ollut hyvin rajallista ja näyttää siltä, että haittaohjelma jatkuu edelleen vahvana vuosia alkuperäisen julkaisunsa jälkeen.