Uyarı! TrickBot Trojan, Tespiti Önlemek için Teknikleri İyileştiriyor

TrickBot Trojan'ın modası hiç geçmiyor. Gelişmiş ancak nispeten tek boyutlu bir bankacılık Truva Atı olarak başlayan şey, kötü amaçlı yazılım araç setinin çok amaçlı bir İsviçre Ordusu bıçağına dönüştü. TrickBot'ta yapılan yeni araştırma, kötü amaçlı yazılımın hem etkinliği hem de algılamaya karşı sürekli artan koruması söz konusu olduğunda yükselişte olduğunu gösteriyor.

IBM'den Trusteer ile güvenlik araştırmacıları, yakın zamanda ele geçirilen TrickBot örneklerini seçtiler ve kötü amaçlı yazılımın etkinliğini gizleme ve kod enjeksiyonlarını işleme konusunda giderek daha karmaşık hale gelen yöntemler hakkında bir rapor yayınladılar. Makale, TrickBot'un algılamayı önlemek için kullandığı dört farklı yöntemi özetlemektedir.

Lokal Enjeksiyonları Kaldırma

Araştırmacılar, güvenliği ihlal edilmiş cihazda yerel olarak depolanan TrickBot tarafından kullanılan kod enjeksiyonlarını analiz edebilirken, kötü amaçlı yazılım kod çağırdığında ve doğrudan sunucularından enjekte edildiğinde işler çok daha zor hale gelir. TrickBot, komut ve kontrol sunucularından uygun enjeksiyonu almak için bir JS yükleyici kullanır.

Komut Sunucusu ile Güvenli Etkileşim

C2 sunucusuna istek gönderirken, TrickBot HTTPS kullanır ve yönlendiren ilkesinde "güvenli olmayan url" bayrağını uygular. Bu bayrak muhtemelen, ilgili kod enjeksiyonunun döndürülebilmesi için kullanıcının tarayıcısında açtığı belirli sayfa hakkında C2 sunucusunu bilgilendirmek için kullanılır.

Ek olarak, TrickBot, kurban cihazın sertifika doğrulama işlevlerini ele geçirebilir ve botun tetiklediği kötü niyetli iletişimden kaynaklanabilecek tüm hataları bastırabilir.

Hata Ayıklama Önleme Özellikleri

TrickBot ayrıca yeni bir hata ayıklama önleme komut dosyası da uyguladı. IBM araştırmacıları, hata ayıklayıcının, insanlar için daha okunabilir hale getirmek için değiştirilmiş ve "güzelleştirilmiş" TrickBot'a ait kodu aradığını söyledi. Kötü amaçlı yazılım, temizlenmiş ve Base64'ten dönüştürülmüş kodu kontrol etmek için RegEx komutlarını kullanır ve daha çekici hale getirmek için boşluklar ve yeni satırlar eklenir.

Hata ayıklayıcı, kodun araştırmacılar tarafından değiştirildiğini ve "güzelleştirildiğini" öğrenirse, kötü amaçlı yazılımı, bellek aşırı yüklendiğinden tarayıcıyı çok kısa sürede çökerten bir döngüye sokar.

Gizleyici Kod

Varsayılan olarak, TrickBot tarafından enjeksiyon için kullanılan kod her zaman Base64 kullanılarak kodlanır. Buna ek olarak, kötü amaçlı yazılım, kodunu şifrelemek ve gizlemek için ek adımlar kullanır.

Ölü kod, diğer kötü amaçlı yazılımların yaptığına benzer şekilde, meşru ifadeler arasına, kötü amaçlı yazılım modüllerinin gerçek amacını belirlemeyi daha zor hale getirmek için enjekte edilir.

Çıplak gözle anlaşılmaz hale getirmek için kod kısaltılır ve "çirkinleştirilir", ancak yine de kötü niyetli özelliklerini korur. İşlevlerdeki dizeler dizilere taşınır ve ardından şifrelenir, bu da araştırmacıların işlerini daha da zorlaştırır. Değişkenlere atanan değerler, tamsayı olarak değil, genellikle saçma ifadelerde onaltılı olarak temsil edilir. Araştırmacılar tarafından sağlanan bir örnek, 0x130 * 0x11 + -0x17f5 + 0x2e * 0x15, -0x24a5 + 0x68e * -0x4 + 0x3edd, -0x17f1 + -0x99b * 0x3 + 0x34c2) kullanılarak kodda sıfırlanan bir sıfır değeridir. .

TrickBot, yıllardır kötü amaçlı araçlar dünyasında bir güç merkezi olmuştur ve gerçek bir yavaşlama veya uzaklaşma belirtisi göstermiyor. Kötü amaçlı altyapısını kaldırma girişimleri oldu, ancak başarı çok sınırlı oldu ve kötü amaçlı yazılım, ilk lansmanından yıllar sonra hala güçlü olmaya devam ediyor gibi görünüyor.