Opozorilo! Trojanec TrickBot izboljšuje tehnike za preprečevanje odkrivanja
Zdi se, da trojanec TrickBot nikoli ne izgine iz mode. Kar se je začelo kot sofisticiran, a razmeroma enodimenzionalen bančni trojanec, se je razvilo v večnamenski švicarski nož kompleta orodij za zlonamerno programsko opremo. Nove raziskave o TrickBotu kažejo, da je zlonamerna programska oprema v porastu, tako glede njene dejavnosti kot vedno večje zaščite pred odkrivanjem.
Varnostni raziskovalci z IBM-ovim Trusteerjem so izbrali nedavno prestrežene vzorce TrickBota in objavili poročilo o vse bolj zapletenih načinih, kako zlonamerna programska oprema skriva svojo dejavnost in obvladuje injekcije kode. Članek opisuje štiri različne metode, ki jih TrickBot uporablja, da bi se izognil odkrivanju.
Kazalo
Odstranjevanje lokalnih injekcij
Medtem ko bodo raziskovalci morda lahkoanalizirali injekcije kode, ki jih uporablja TrickBot, ki so shranjene lokalno na ogroženi napravi, postanejo stvari veliko težje, ko zlonamerna programska oprema zahteva kodo in vbrizga neposredno iz svojih strežnikov. TrickBot uporablja bodisi nalagalnik JS, da pridobi ustrezno injekcijo iz svojih ukaznih in nadzornih strežnikov.
Varna interakcija z ukaznim strežnikom
Ko pošilja zahteve svojemu strežniku C2, TrickBot uporablja HTTPS in implementira zastavico »unsafe-url« v pravilniku napotitve. Ta zastavica se verjetno uporablja za obveščanje strežnika C2 o določeni strani, ki jo je uporabnik odprl v svojem brskalniku, da se lahko vrne ustrezna injekcija kode.
Poleg tega lahko TrickBot ugrabi funkcije preverjanja potrdil naprave žrtve in prepreči vse napake, ki bi lahko nastale zaradi zlonamerne komunikacije, ki jo sproži bot.
Zmogljivosti proti odpravljanju napak
TrickBot je implementiral tudi nov skript za odpravljanje napak. Anti-debugger išče kodo, ki pripada TrickBotu, ki je bila spremenjena in "polepšana", da bi bila bolj berljiva za ljudi, so povedali IBM-ovi raziskovalci. Zlonamerna programska oprema uporablja ukaze RegEx za preverjanje kode, ki je bila očiščena in pretvorjena iz Base64, z dodanimi presledki in novimi vrsticami, da postane bolj privlačna.
Če anti-debugger ugotovi, da so raziskovalci kodo popravili in jo "polepšali", sproži zlonamerno programsko opremo v zanko, ki zelo kmalu zruši brskalnik, saj se pomnilnik preobremeni.
Zakrivajoča koda
Privzeto je koda, ki jo uporablja TrickBot za injiciranje, vedno kodirana z uporabo Base64. Poleg tega zlonamerna programska oprema uporablja dodatne korake za šifriranje in prikrivanje svoje kode.
Mrtva koda se vbrizga tudi vmes med zakonitimi izrazi, podobno kot počne druga zlonamerna programska oprema, da je težje ugotoviti pravi namen modulov zlonamerne programske opreme.
Koda je skrajšana in "pogrbljena", da postane nerazumljiva s prostim očesom, vendar še vedno ohrani svoje zlonamerne zmožnosti. Nizi v funkcijah se premaknejo v matrike in nato šifrirajo, zaradi česar je delo raziskovalcev še težje. Vrednosti, dodeljene spremenljivkam, so namenoma predstavljene ne kot cela števila, ampak kot šestnajstiški, pogosto v absurdnih izrazih. En primer, ki so ga zagotovili raziskovalci, je vrednost nič, ki se inicializira v kodi z uporabo niza (0x130 * 0x11 + -0x17f5 + 0x2e * 0x15, -0x24a5 + 0x68e * -0x4 + 0x3edd, -0x17f1 + -0x94c +2 * 0) .
TrickBot je že leta elektrarna v svetu zlonamernih orodij in ne kaže resničnih znakov, da bi se upočasnil ali izginil. Bilo je poskusov odstranitve njegove zlonamerne infrastrukture, vendar je bil uspeh zelo omejen in zdi se, da je zlonamerna programska oprema še vedno močna, leta po prvem zagonu.