Ostrzeżenie! Trojan TrickBot poprawia techniki unikania wykrycia

Wydaje się, że trojan TrickBot nigdy nie wychodzi z mody. To, co zaczęło się jako wyrafinowany, ale stosunkowo jednowymiarowy trojan bankowy, przekształciło się w wielofunkcyjny szwajcarski scyzoryk z zestawu narzędzi do złośliwego oprogramowania. Nowe badania nad TrickBotem pokazują, że złośliwe oprogramowanie rozwija się coraz lepiej, zarówno jeśli chodzi o jego aktywność, jak i stale rosnącą ochronę przed wykryciem.

Badacze bezpieczeństwa współpracujący z IBM Trusteer wyodrębnili niedawno przechwycone próbki TrickBota i opublikowali raport na temat coraz bardziej skomplikowanych sposobów, w jakie szkodliwe oprogramowanie ukrywa swoją aktywność i radzi sobie z wstrzykniętym kodem. W artykule opisano cztery różne metody, których używa TrickBot, aby uniknąć wykrycia.

Usuwanie lokalnych wstrzyknięć

Chociaż badacze mogą być w stanieanalizować wstrzyknięcia kodu używane przez TrickBota, które są przechowywane lokalnie na zaatakowanym urządzeniu, sytuacja staje się znacznie trudniejsza, gdy złośliwe oprogramowanie żąda kodu i wstrzykuje je bezpośrednio ze swoich serwerów. TrickBot używa programu ładującego JS do pobrania odpowiedniego wstrzyknięcia ze swoich serwerów dowodzenia i kontroli.

Bezpieczna interakcja z serwerem poleceń

Podczas wysyłania żądań do swojego serwera C2, TrickBot używa protokołu HTTPS i implementuje flagę „unsafe-url” w zasadach referrer. Ta flaga jest prawdopodobnie używana do informowania serwera C2 o określonej stronie, którą użytkownik otworzył w swojej przeglądarce, aby można było zwrócić odpowiedni wstrzyknięty kod.

Dodatkowo TrickBot może przejąć kontrolę nad funkcjami weryfikacji certyfikatu na zaatakowanym urządzeniu, blokując wszystkie błędy, które mogą wynikać ze złośliwej komunikacji uruchamianej przez bota.

Funkcje antydebugowania

TrickBot zaimplementował również nowy skrypt antydebugujący. Antydebugger szuka kodu należącego do TrickBota, który został zmieniony i „upiększony”, aby był bardziej czytelny dla ludzi, powiedzieli naukowcy IBM. Złośliwe oprogramowanie wykorzystuje polecenia RegEx do sprawdzania kodu, który został oczyszczony i przekonwertowany z Base64, z dodanymi spacjami i nowymi wierszami, aby uczynić go bardziej atrakcyjnym.

Jeśli antydebugger dowie się, że kod został poprawiony przez badaczy i „upiększony”, uruchamia szkodliwe oprogramowanie w pętlę, która bardzo szybko powoduje awarię przeglądarki, ponieważ pamięć jest przeciążona.

Kod zaciemniający

Domyślnie kod używany do wstrzykiwania przez TrickBota jest zawsze kodowany przy użyciu Base64. Oprócz tego złośliwe oprogramowanie wykorzystuje dodatkowe kroki w celu zaszyfrowania i zaciemnienia swojego kodu.

Martwy kod jest również wstrzykiwany pomiędzy legalne wyrażenia, podobnie jak robi to inne szkodliwe oprogramowanie, aby utrudnić ustalenie prawdziwego celu modułów szkodliwego oprogramowania.

Kod jest skracany i „brzydki”, aby był niezrozumiały gołym okiem, ale nadal zachowuje swoje złośliwe możliwości. Ciągi znaków w funkcjach są przenoszone do tablic, a następnie szyfrowane, co jeszcze bardziej utrudnia pracę badaczy. Wartości przypisane do zmiennych są celowo reprezentowane nie jako liczby całkowite, ale jako szesnastkowe, często w wyrażeniach absurdalnych. Jednym z przykładów podanych przez badaczy jest wartość zero inicjowana w kodzie za pomocą ciągu znaków (0x130 * 0x11 + -0x17f5 + 0x2e * 0x15, -0x24a5 + 0x68e * -0x4 + 0x3edd, -0x17f1 + -0x99b * 0x3 + 0x34c2) .

TrickBot od lat jest potęgą w świecie złośliwych narzędzi i nie wykazuje żadnych oznak spowolnienia lub odejścia. Podejmowano próby usunięcia złośliwej infrastruktury, ale sukces był bardzo ograniczony i wygląda na to, że złośliwe oprogramowanie nadal ma się dobrze, lata po pierwszym uruchomieniu.