चेतावनी! ट्रिकबॉट ट्रोजन डिटेक्शन से बचने के लिए तकनीकों में सुधार करता है
ट्रिकबॉट ट्रोजन कभी भी फैशन से बाहर नहीं जाता है। एक परिष्कृत लेकिन अपेक्षाकृत एक-आयामी बैंकिंग ट्रोजन के रूप में जो शुरू हुआ वह एक मैलवेयर टूलकिट के बहुउद्देश्यीय स्विस-आर्मी चाकू में विकसित हुआ। ट्रिकबॉट में नए शोध से पता चलता है कि मैलवेयर ऊपर और ऊपर रहा है, जब इसकी गतिविधि की बात आती है और पता लगाने के खिलाफ इसकी बढ़ती सुरक्षा।
आईबीएम के ट्रस्टी के साथ सुरक्षा शोधकर्ताओं ने ट्रिकबॉट के हाल ही में इंटरसेप्ट किए गए नमूनों को अलग किया और तेजी से अधिक जटिल तरीकों पर एक रिपोर्ट प्रकाशित की जिसमें मैलवेयर अपनी गतिविधि को छुपाता है और इसके कोड इंजेक्शन को संभालता है। पेपर चार अलग-अलग तरीकों की रूपरेखा तैयार करता है जो ट्रिकबॉट पहचान से बचने के लिए उपयोग करता है।
विषयसूची
स्थानीय इंजेक्शन हटाना
हालांकि शोधकर्ता ट्रिकबॉट द्वारा उपयोग किए गए कोड इंजेक्शन का विश्लेषण करने में सक्षम हो सकते हैं जो स्थानीय रूप से समझौता किए गए डिवाइस पर संग्रहीत होते हैं, जब मैलवेयर कोड के लिए कॉल करता है और सीधे अपने सर्वर से इंजेक्ट करता है तो चीजें बहुत अधिक कठिन हो जाती हैं। ट्रिकबॉट अपने कमांड और कंट्रोल सर्वर से उचित इंजेक्शन लेने के लिए या तो जेएस लोडर का उपयोग करता है।
कमांड सर्वर के साथ सुरक्षित बातचीत
अपने C2 सर्वर को अनुरोध भेजते समय, ट्रिकबॉट HTTPS का उपयोग करता है और रेफ़रलकर्ता नीति में "असुरक्षित-यूआरएल" ध्वज को लागू करता है। इस ध्वज का उपयोग संभवतः C2 सर्वर को उस विशिष्ट पृष्ठ के बारे में सूचित करने के लिए किया जाता है जिसे उपयोगकर्ता ने अपने ब्राउज़र में खोला है ताकि संबंधित कोड इंजेक्शन वापस किया जा सके।
इसके अतिरिक्त, ट्रिकबॉट पीड़ित डिवाइस के प्रमाणपत्र सत्यापन कार्यों को हाईजैक कर सकता है, उन सभी त्रुटियों को दबा सकता है जो बॉट द्वारा ट्रिगर किए जा रहे दुर्भावनापूर्ण संचार से उत्पन्न हो सकती हैं।
एंटी-डिबगिंग क्षमताएं
ट्रिकबॉट ने एक नई एंटी-डिबगिंग स्क्रिप्ट भी लागू की है। आईबीएम के शोधकर्ताओं ने कहा कि एंटी-डीबगर ट्रिकबॉट से संबंधित कोड की तलाश करता है जिसे बदल दिया गया है और इसे मनुष्यों के लिए और अधिक पठनीय बनाने के लिए "सुशोभित" किया गया है। मैलवेयर कोड की जांच करने के लिए RegEx कमांड का उपयोग करता है जिसे साफ किया गया है और बेस 64 से परिवर्तित किया गया है, इसे और अधिक आकर्षक बनाने के लिए रिक्त स्थान और नई लाइनों को जोड़ा गया है।
यदि एंटी-डीबगर को पता चलता है कि कोड को शोधकर्ताओं द्वारा छुआ गया है और "सुशोभित" किया गया है, तो यह मैलवेयर को एक लूप में लॉन्च करता है जो ब्राउज़र को बहुत जल्द क्रैश कर देता है, क्योंकि मेमोरी ओवरलोड हो जाती है।
अस्पष्ट कोड
डिफ़ॉल्ट रूप से, ट्रिकबॉट द्वारा इंजेक्शन के लिए उपयोग किया जाने वाला कोड हमेशा बेस 64 का उपयोग करके एन्कोड किया जाता है। इसके अलावा, मैलवेयर अपने कोड को एन्क्रिप्ट और अस्पष्ट करने के लिए अतिरिक्त चरणों का उपयोग करता है।
अन्य मैलवेयर के समान वैध अभिव्यक्तियों के बीच में डेड कोड भी डाला जाता है, जिससे मैलवेयर के मॉड्यूल के वास्तविक उद्देश्य का पता लगाना कठिन हो जाता है।
कोड को छोटा कर दिया गया है और इसे नग्न आंखों के लिए अस्पष्ट बनाने के लिए "बदसूरत" किया गया है, लेकिन फिर भी इसकी दुर्भावनापूर्ण क्षमताओं को बरकरार रखा गया है। फ़ंक्शंस में स्ट्रिंग्स को सरणियों में ले जाया जाता है और फिर एन्क्रिप्ट किया जाता है, जिससे शोधकर्ताओं का काम और भी कठिन हो जाता है। चरों को निर्दिष्ट मान उद्देश्यपूर्ण रूप से पूर्णांकों के रूप में नहीं बल्कि हेक्स के रूप में, अक्सर बेतुके भावों में दर्शाए जाते हैं। शोधकर्ताओं द्वारा प्रदान किया गया एक उदाहरण स्ट्रिंग (0x130 * 0x11 + -0x17f5 + 0x2e * 0x15, -0x24a5 + 0x68e * -0x4 + 0x3edd, -0x17f1 + -0x99b * 0x3 + 0x34c2) का उपयोग करके कोड में शून्य का मान है। .
ट्रिकबॉट वर्षों से दुर्भावनापूर्ण टूल की दुनिया में एक पावरहाउस रहा है और यह धीमा होने या दूर जाने का कोई वास्तविक संकेत नहीं दिखाता है। इसके दुर्भावनापूर्ण बुनियादी ढांचे को खत्म करने का प्रयास किया गया है, लेकिन सफलता बहुत सीमित रही है और ऐसा लगता है कि मैलवेयर अभी भी मजबूत हो रहा है, इसके शुरुआती लॉन्च के वर्षों बाद भी।