Предупреждение! Троянец TrickBot совершенствует методы, позволяющие избежать обнаружения
Кажется, что троян TrickBot никогда не выйдет из моды. То, что началось как сложный, но относительно одномерный банковский троянец, превратилось в многоцелевой швейцарский армейский нож из набора вредоносных программ. Новое исследование TrickBot показывает, что это вредоносное ПО постоянно растет, как в плане активности, так и постоянно растущей защиты от обнаружения.
Исследователи безопасности из IBM Trusteer разобрали недавно перехваченные образцы TrickBot и опубликовали отчет о все более сложных способах, которыми вредоносное ПО скрывает свою активность и обрабатывает свои инъекции кода. В документе описаны четыре различных метода, которые использует TrickBot, чтобы избежать обнаружения.
Оглавление
Удаление локальных инъекций
В то время как исследователи могутанализировать инъекции кода, используемые TrickBot , которые хранятся локально на скомпрометированном устройстве, все становится намного сложнее, когда вредоносное ПО вызывает код и внедряет его непосредственно со своих серверов. TrickBot использует либо загрузчик JS, чтобы получить соответствующую инъекцию со своих серверов управления и контроля.
Безопасное взаимодействие с командным сервером
При отправке запросов на свой сервер C2 TrickBot использует HTTPS и реализует флаг «unsafe-url» в политике реферера. Этот флаг, вероятно, используется для информирования сервера C2 о конкретной странице, которую пользователь открыл в своем браузере, чтобы можно было вернуть соответствующую инъекцию кода.
Кроме того, TrickBot может захватить функции проверки сертификата устройства-жертвы, подавляя все ошибки, которые могут возникнуть из-за вредоносной связи, которую запускает бот.
Возможности защиты от отладки
TrickBot также внедрил новый антиотладочный скрипт. По словам исследователей IBM, антиотладчик ищет код, принадлежащий TrickBot, который был изменен и «украшен», чтобы сделать его более удобочитаемым для людей. Вредоносное ПО использует команды RegEx для проверки кода, который был очищен и преобразован из Base64, с добавлением пробелов и новых строк, чтобы сделать его более привлекательным.
Если анти-отладчик обнаруживает, что код был подправлен исследователями и «приукрашен», он запускает вредоносное ПО в цикл, который очень скоро приводит к сбою браузера из-за перегрузки памяти.
Запутанный код
По умолчанию код, используемый TrickBot для внедрения, всегда кодируется с использованием Base64. В дополнение к этому вредоносная программа использует дополнительные шаги для шифрования и обфускации своего кода.
Мертвый код также внедряется между законными выражениями, подобно тому, как это делают другие вредоносные программы, чтобы затруднить определение истинного назначения модулей вредоносного ПО.
Код укорачивается и «искажается», чтобы сделать его непонятным невооруженным глазом, но при этом сохраняет свои вредоносные возможности. Строки в функциях перемещаются в массивы, а затем шифруются, что еще больше усложняет работу исследователей. Значения, присвоенные переменным, преднамеренно представляются не целыми числами, а шестнадцатеричными, часто в абсурдных выражениях. Одним из примеров, предоставленных исследователями, является значение нуля, инициализируемое в коде с помощью строки (0x130 * 0x11 + -0x17f5 + 0x2e * 0x15, -0x24a5 + 0x68e * -0x4 + 0x3edd, -0x17f1 + -0x99b * 0x3 + 0x34c2) .
TrickBot уже много лет является лидером в мире вредоносных инструментов, и он не показывает никаких реальных признаков замедления или исчезновения. Были попытки уничтожить его вредоносную инфраструктуру, но успех был очень ограниченным, и похоже, что вредоносное ПО все еще действует спустя годы после его первоначального запуска.