אַזהָרָה! TrickBot Trojan משפר טכניקות כדי להימנע מזיהוי
נראה שהטרויאני TrickBot אף פעם לא יוצא מהאופנה. מה שהתחיל בתור טרויאני בנקאי מתוחכם אך חד-ממדי יחסית התפתח לאולר שוויצרי רב-תכליתי של ערכת כלים של תוכנות זדוניות. מחקר חדש על TrickBot מראה שהתוכנה הזדונית גדלה ועולה, הן בכל הנוגע לפעילות שלה והן בהגנה ההולכת וגדלה שלה מפני זיהוי.
חוקרי אבטחה עם Trusteer של IBM בחרו לאחרונה דגימות של TrickBot ופרסמו דוח על הדרכים המורכבות יותר ויותר שבהן התוכנה הזדונית מסתירה את פעילותה ומטפלת בהזרקת הקוד שלה. המאמר מתאר ארבע שיטות שונות שבהן משתמש TrickBot כדי למנוע זיהוי.
תוכן העניינים
הסרת זריקות מקומיות
בעוד שחוקרים עשויים להיות מסוגליםלנתח הזרקות קוד המשמשות את TrickBot המאוחסנות באופן מקומי במכשיר שנפרץ, הדברים הופכים לקשים הרבה יותר כאשר התוכנה הזדונית קוראת לקוד ומזרימה ישירות מהשרתים שלה. TrickBot משתמש במטען JS כדי לתפוס את ההזרקה המתאימה משרתי הפיקוד והבקרה שלו.
אינטראקציה מאובטחת עם Command Server
בעת שליחת בקשות לשרת ה-C2 שלו, TrickBot משתמש ב-HTTPS ומיישם את הדגל "כתובת אתר לא בטוחה" במדיניות המפנה. סביר להניח שהדגל הזה משמש כדי ליידע את שרת C2 על הדף הספציפי שהמשתמש פתח בדפדפן שלו כדי שניתן יהיה להחזיר את הזרקת הקוד המתאימה.
בנוסף, TrickBot יכול לחטוף את פונקציות אימות האישורים של מכשיר הקורבן, לדכא את כל השגיאות שעלולות לנבוע מהתקשורת הזדונית שהבוט מפעיל.
יכולות אנטי-ניפוי באגים
TrickBot הטמיע גם סקריפט חדש נגד איתור באגים. האנטי באגים מחפש קוד השייך ל-TrickBot ששונה ו"ייפה" כדי להפוך אותו לקריאה יותר לבני אדם, אמרו החוקרים של IBM. התוכנה הזדונית משתמשת בפקודות RegEx כדי לבדוק אם הקוד נוקה והומר מ-Base64, עם רווחים ושורות חדשות כדי להפוך אותו למושך יותר.
אם האנטי באגים מגלה שהקוד נבדק על ידי חוקרים ו"ייפה אותו", הוא משיק את התוכנה הזדונית ללולאה שקורסת את הדפדפן מהר מאוד, כאשר הזיכרון עומס יתר על המידה.
קוד מעורפל
כברירת מחדל, הקוד המשמש להזרקה על ידי TrickBot מקודד תמיד באמצעות Base64. בנוסף לכך, התוכנה הזדונית משתמשת בצעדים נוספים כדי להצפין ולטשטש את הקוד שלה.
קוד מת מוזרק גם בין ביטויים לגיטימיים, בדומה למה שעושה תוכנות זדוניות אחרות, כדי להקשות על הבנת המטרה האמיתית של המודולים של התוכנה הזדונית.
הקוד מתקצר ו"מכוער" כדי להפוך אותו לבלתי מובן לעין בלתי מזוינת, אך עדיין שומר על יכולותיו הזדוניות. מחרוזות בפונקציות מועברות למערכים ואז מוצפנות, מה שהופך את עבודת החוקרים לקשה עוד יותר. ערכים המוקצים למשתנים מיוצגים בכוונה לא כמספרים שלמים אלא כ-hex, לעתים קרובות בביטויים אבסורדיים. דוגמה אחת שסופקו על ידי חוקרים היא ערך של אפס שמאוחל בקוד באמצעות המחרוזת (0x130 * 0x11 + -0x17f5 + 0x2e * 0x15, -0x24a5 + 0x68e * -0x4 + 0x3edd, -0x17f1 + -0x49b *0x49b *0x49b) .
TrickBot הוא תחנת כוח בעולם הכלים הזדוניים במשך שנים והוא לא מראה סימנים ממשיים של האטה או היעלמות. היו ניסיונות להוריד את התשתית הזדונית שלו, אבל ההצלחה הייתה מוגבלת מאוד ונראה שהתוכנה הזדונית עדיין חזקה, שנים לאחר השקתה הראשונית.