Waarschuwing! TrickBot Trojan verbetert technieken om detectie te voorkomen
De TrickBot Trojan lijkt nooit uit de mode te raken. Wat begon als een geavanceerde maar relatief eendimensionale banktrojan, evolueerde naar een multifunctioneel Zwitsers zakmes van een malware-toolkit. Nieuw onderzoek naar TrickBot toont aan dat de malware steeds populairder is geworden, zowel wat betreft zijn activiteit als zijn steeds groter wordende bescherming tegen detectie.
Beveiligingsonderzoekers met IBM's Trusteer hebben onlangs onderschepte voorbeelden van TrickBot uitgezocht en een rapport gepubliceerd over de steeds complexere manieren waarop de malware zijn activiteit verbergt en de code-injecties afhandelt. Het artikel schetst vier verschillende methoden die TrickBot gebruikt om detectie te voorkomen.
Inhoudsopgave
Lokale injecties verwijderen
Hoewel onderzoekerscode-injecties kunnen analyseren die door TrickBot worden gebruikt en die lokaal op het gecompromitteerde apparaat zijn opgeslagen, wordt het een stuk moeilijker wanneer de malware om code vraagt en rechtstreeks vanaf de servers injecteert. TrickBot gebruikt ofwel een JS-lader om de juiste injectie van zijn commando- en controleservers te halen.
Veilige interactie met Command Server
Bij het verzenden van verzoeken naar zijn C2-server, gebruikt TrickBot HTTPS en implementeert het de vlag "unsafe-url" in het verwijzende beleid. Deze vlag wordt waarschijnlijk gebruikt om de C2-server te informeren over de specifieke pagina die de gebruiker in zijn browser heeft geopend, zodat de respectieve code-injectie kan worden geretourneerd.
Bovendien kan TrickBot de certificaatverificatiefuncties van het apparaat van het slachtoffer kapen, waardoor alle fouten worden onderdrukt die kunnen voortvloeien uit de kwaadaardige communicatie die de bot activeert.
Anti-foutopsporingsmogelijkheden
TrickBot heeft ook een nieuw anti-debugging script geïmplementeerd. De anti-debugger zoekt naar code van TrickBot die is gewijzigd en "verfraaid" om het leesbaarder te maken voor mensen, aldus de onderzoekers van IBM. De malware gebruikt RegEx-commando's om te controleren op code die is opgeschoond en geconverteerd vanuit Base64, met spaties en nieuwe regels die zijn toegevoegd om het aantrekkelijker te maken.
Als de anti-debugger ontdekt dat de code door onderzoekers is bijgewerkt en "verfraaid", start de malware in een lus die de browser zeer snel laat crashen, omdat het geheugen overbelast raakt.
Verduisterende code
Standaard wordt de code die wordt gebruikt voor injectie door TrickBot altijd gecodeerd met Base64. Daarnaast gebruikt de malware extra stappen om de code te versleutelen en te verdoezelen.
Dode code wordt ook geïnjecteerd tussen legitieme expressies, vergelijkbaar met wat andere malware doet, om het achterhalen van het ware doel van de malware-modules moeilijker te maken te bepalen.
Code is ingekort en "lelijk" gemaakt om het voor het blote oog onbegrijpelijk te maken, maar toch zijn kwaadaardige eigenschappen behouden. Strings in functies worden verplaatst naar arrays en vervolgens versleuteld, waardoor het werk van onderzoekers nog moeilijker wordt. Waarden die aan variabelen zijn toegewezen, worden doelbewust niet weergegeven als gehele getallen, maar als hex, vaak in absurde uitdrukkingen. Een voorbeeld van onderzoekers is dat de waarde nul in de code wordt geïnitialiseerd met behulp van de tekenreeks (0x130 * 0x11 + -0x17f5 + 0x2e * 0x15, -0x24a5 + 0x68e * -0x4 + 0x3edd, -0x17f1 + -0x99b * 0x3 + 0x34c2) .
TrickBot is al jaren een krachtpatser in de wereld van kwaadaardige tools en het vertoont geen echte tekenen van vertraging of verdwijnen. Er zijn pogingen geweest om de kwaadaardige infrastructuur uit te schakelen, maar het succes was zeer beperkt en het lijkt erop dat de malware jaren na de eerste lancering nog steeds sterk is.