Varning! TrickBot Trojan förbättrar tekniker för att undvika upptäckt
TrickBot-trojanen verkar aldrig gå ur modet. Det som började som en sofistikerad men ändå relativt endimensionell banktrojan utvecklades till en multifunktionell schweizisk armékniv av en verktygslåda för skadlig programvara. Ny forskning om TrickBot visar att skadlig programvara har ökat och ökat, både när det gäller dess aktivitet och dess ständigt växande skydd mot upptäckt.
Säkerhetsforskare med IBM:s Trusteer plockade nyligen isär prover av TrickBot och publicerade en rapport om de allt mer komplexa sätten som skadlig programvara döljer sin aktivitet och hanterar sina kodinjektioner. Tidningen beskriver fyra olika metoder som TrickBot använder för att undvika upptäckt.
Innehållsförteckning
Ta bort lokala injektioner
Medan forskare kanske kananalysera kodinjektioner som används av TrickBot och som lagras lokalt på den komprometterade enheten, blir saker mycket svårare när skadlig programvara kräver kod och injicerar direkt från sina servrar. TrickBot använder antingen en JS-lastare för att ta rätt injektion från sina kommando- och kontrollservrar.
Säker interaktion med Command Server
När TrickBot skickar förfrågningar till sin C2-server använder HTTPS och implementerar flaggan "osäker-url" i referenspolicyn. Denna flagga används sannolikt för att informera C2-servern om den specifika sida som användaren har öppnat i sin webbläsare så att respektive kodinjektion kan returneras.
Dessutom kan TrickBot kapa certifikatverifieringsfunktionerna för offrets enhet och undertrycka alla fel som kan uppstå från den skadliga kommunikation som boten utlöser.
Anti-felsökningsfunktioner
TrickBot har också implementerat ett nytt anti-felsökningsskript. Antidebuggern letar efter kod som tillhör TrickBot som har ändrats och "förskönats" för att göra den mer läsbar för människor, sa IBM:s forskare. Skadlig programvara använder RegEx-kommandon för att leta efter kod som har rensats och konverterats från Base64, med blanksteg och nya rader för att göra det mer tilltalande.
Om anti-debuggern får reda på att koden har reparerats av forskare och "förskönats", startar den skadlig programvara i en loop som kraschar webbläsaren mycket snart, eftersom minnet överbelastas.
Obfuscating kod
Som standard är koden som används för injektion av TrickBot alltid kodad med Base64. Utöver detta använder den skadliga programvaran extra steg för att kryptera och fördunkla dess kod.
Död kod injiceras också mellan legitima uttryck, liknande vad andra skadliga program gör, för att göra det svårare att ta reda på det sanna syftet med skadlig programvaras moduler.
Koden är förkortad och "ful" för att göra den obegriplig för blotta ögat, men ändå behålla sina skadliga funktioner. Strängar i funktioner flyttas till arrayer och krypteras sedan, vilket gör forskarnas jobb ännu svårare. Värden som tilldelats variabler representeras medvetet inte som heltal utan som hexadecimal, ofta i absurda uttryck. Ett exempel som tillhandahålls av forskare är ett värde på noll som initieras i koden med hjälp av strängen (0x130 * 0x11 + -0x17f5 + 0x2e * 0x15, -0x24a5 + 0x68e * -0x4 + 0x3edd, -0x17f1 + -0x49b * 0x39b *0x39b) .
TrickBot har varit ett kraftpaket i världen av skadliga verktyg i flera år och det visar inga riktiga tecken på att sakta ner eller försvinna. Det har gjorts försök att ta ner den skadliga infrastrukturen, men framgången har varit mycket begränsad och det ser ut som att skadlig programvara fortfarande är på väg, år efter den första lanseringen.