경고! TrickBot 트로이 목마는 탐지를 피하기 위한 기술을 향상시킵니다.

TrickBot 트로이 목마 는 유행을 타지 않는 것 같습니다. 정교하지만 상대적으로 1차원적인 뱅킹 트로이 목마로 시작한 것이 맬웨어 툴킷의 다목적 Swiss-Army 칼로 진화했습니다. TrickBot에 대한 새로운 연구에 따르면 맬웨어의 활동과 탐지에 대한 보호 기능이 계속 증가하고 있습니다.

IBM Trusteer의 보안 연구원들은 최근에 TrickBot 샘플을 가로채서 멀웨어가 활동을 숨기고 코드 삽입을 처리하는 점점 더 복잡해지는 방식에 대한 보고서를 발표했습니다. 이 문서에서는 TrickBot이 탐지를 피하기 위해 사용하는 네 가지 방법에 대해 설명합니다.

국소 주사 제거

연구원들은 감염된 장치에 로컬로 저장된 TrickBot이 사용하는 코드 주입 을 분석할 수 있지만 맬웨어가 코드를 호출하고 서버에서 직접 주입할 때 상황은 훨씬 더 어려워집니다. TrickBot은 JS 로더를 사용하여 명령 및 제어 서버에서 적절한 주입을 가져옵니다.

Command Server와의 안전한 상호 작용

C2 서버에 요청을 보낼 때 TrickBot은 HTTPS를 사용하고 리퍼러 정책에서 "unsafe-url" 플래그를 구현합니다. 이 플래그는 사용자가 브라우저에서 연 특정 페이지에 대해 C2 서버에 알리는 데 사용되어 해당 코드 삽입이 반환될 수 있습니다.

또한 TrickBot은 피해자 장치의 인증서 확인 기능을 가로채어 봇이 트리거하는 악의적인 통신에서 발생할 수 있는 모든 오류를 억제할 수 있습니다.

안티 디버깅 기능

TrickBot은 또한 새로운 안티 디버깅 스크립트를 구현했습니다. 안티 디버거는 TrickBot에 속하는 코드를 찾습니다. 이 코드는 변경되고 "미화"되어 사람이 더 읽기 쉽게 만들 수 있다고 IBM 연구원은 말했습니다. 멀웨어는 RegEx 명령을 사용하여 정리 및 Base64에서 변환된 코드를 확인하며 공백과 새 줄을 추가하여 더 매력적으로 만듭니다.

안티 디버거가 코드가 연구원에 의해 수정되고 "미화"되었음을 알게되면 메모리 과부하로 인해 곧 브라우저를 충돌시키는 루프로 악성 코드를 시작합니다.

난독화 코드

기본적으로 TrickBot에서 주입에 사용되는 코드는 항상 Base64를 사용하여 인코딩됩니다. 이 외에도 멀웨어는 추가 단계를 사용하여 코드를 암호화하고 난독화합니다.

다른 멀웨어와 마찬가지로 적법한 표현 사이에도 데드 코드를 삽입하여 멀웨어 모듈의 진정한 목적을 파악하기 어렵게 만듭니다.

코드는 육안으로 식별할 수 없도록 단축되고 "미화"되지만 여전히 악의적인 기능을 유지합니다. 함수의 문자열은 배열로 이동된 다음 암호화되어 연구원의 작업을 더욱 어렵게 만듭니다. 변수에 할당된 값은 의도적으로 정수가 아닌 16진수로 표현되며 종종 터무니없는 표현으로 나타납니다. 연구원들이 제공한 한 가지 예는 문자열(0x130 * 0x11 + -0x17f5 + 0x2e * 0x15, -0x24a5 + 0x68e * -0x4 + 0x3edd, -0x17f1 + -0x99b)을 사용하여 코드에서 초기화되는 값 0입니다. .

TrickBot은 수년 동안 악성 도구의 세계에서 강자였으며 속도가 느려지거나 사라질 조짐을 보이지 않습니다. 악성 인프라를 제거하려는 시도가 있었지만 성공은 매우 제한적이며 초기 실행 후 몇 년이 지난 후에도 악성 코드가 여전히 강력하게 작동하는 것으로 보입니다.