Paralajmërim! TrickBot Trojan përmirëson teknikat për të shmangur zbulimin
TrickBot Trojan duket se nuk del kurrë nga moda. Ajo që filloi si një Trojan bankar i sofistikuar, por relativisht njëdimensional, evoluoi në një thikë të ushtrisë zvicerane me shumë qëllime të një pakete mjetesh malware. Hulumtimi i ri në TrickBot tregon se malware ka qenë në rritje dhe në rritje, si për aktivitetin e tij, ashtu edhe për mbrojtjen e tij gjithnjë në rritje kundër zbulimit.
Studiuesit e sigurisë me IBM's Trusteer zgjodhën mostrat e përgjuara së fundmi të TrickBot dhe publikuan një raport mbi mënyrat gjithnjë e më komplekse se si malware fsheh aktivitetin e tij dhe trajton injeksionet e kodit. Punimi përshkruan katër metoda të ndryshme që përdor TrickBot për të shmangur zbulimin.
Tabela e Përmbajtjes
Heqja e injeksioneve lokale
Ndërsa studiuesit mund të jenë në gjendje tëanalizojnë injeksionet e kodit të përdorura nga TrickBot që ruhen në nivel lokal në pajisjen e komprometuar, gjërat bëhen shumë më të vështira kur malware kërkon kod dhe injekton direkt nga serverët e tij. TrickBot përdor ose një ngarkues JS për të rrëmbyer injeksionin e duhur nga serverët e tij të komandës dhe kontrollit.
Ndërveprim i sigurt me serverin e komandës
Kur dërgon kërkesa te serveri i tij C2, TrickBot përdor HTTPS dhe zbaton flamurin "url të pasigurt" në politikën e referuesit. Ky flamur ka të ngjarë të përdoret për të informuar serverin C2 për faqen specifike që përdoruesi ka hapur në shfletuesin e tij, në mënyrë që të mund të kthehet injektimi i kodit përkatës.
Për më tepër, TrickBot mund të rrëmbejë funksionet e verifikimit të certifikatës së pajisjes viktimë, duke shtypur të gjitha gabimet që mund të lindin nga komunikimi me qëllim të keq që po shkakton roboti.
Aftësitë kundër korrigjimit
TrickBot ka implementuar gjithashtu një skript të ri kundër korrigjimit. Anti-debugger-i kërkon kodin që i përket TrickBot-it që është ndryshuar dhe "zbukuruar" për ta bërë atë më të lexueshëm për njerëzit, thanë studiuesit e IBM. Malware përdor komandat RegEx për të kontrolluar për kodin që është pastruar dhe konvertuar nga Base64, me hapësira dhe linja të reja të shtuara për ta bërë atë më tërheqës.
Nëse anti-debugger zbulon se kodi është prekur nga kërkuesit dhe është "zbukuruar", ai e lëshon malware në një lak që rrëzon shfletuesin shumë shpejt, pasi memoria mbingarkohet.
Kodi turbullues
Si parazgjedhje, kodi i përdorur për injeksion nga TrickBot është gjithmonë i koduar duke përdorur Base64. Përveç kësaj, malware përdor hapa shtesë për të kriptuar dhe turbulluar kodin e tij.
Kodi i vdekur gjithashtu injektohet ndërmjet shprehjeve legjitime, të ngjashme me atë që bëjnë malware të tjerë, për ta bërë më të vështirë për t'u përcaktuar qëllimin e vërtetë të moduleve të malware.
Kodi është shkurtuar dhe "shëmtuar" për ta bërë atë të pakuptueshëm për syrin e lirë, por ende ruan aftësitë e tij keqdashëse. Vargjet në funksione zhvendosen në vargje dhe më pas kodohen, duke e bërë edhe më të vështirë punën e studiuesve. Vlerat e caktuara për ndryshoret përfaqësohen qëllimisht jo si numra të plotë, por si gjashtëkëndësh, shpesh në shprehje absurde. Një shembull i ofruar nga studiuesit është një vlerë zero që inicializohet në kod duke përdorur vargun (0x130 * 0x11 + -0x17f5 + 0x2e * 0x15, -0x24a5 + 0x68e * -0x4 + 0x3edd, -0x17f1 + -0x4c +0x0) .
TrickBot ka qenë një central elektrik në botën e mjeteve me qëllim të keq për vite dhe nuk tregon shenja reale të ngadalësimit ose largimit. Ka pasur përpjekje për të hequr infrastrukturën e tij me qëllim të keq, por suksesi ka qenë shumë i kufizuar dhe duket se malware është ende i fortë, vite pas fillimit të tij.