警告！ TrickBot 木马改进了避免检测的技术

TrickBot 木马似乎永远不会过时。最初是一种复杂但相对一维的银行木马，后来演变为恶意软件工具包的多用途瑞士军刀。对 TrickBot 的新研究表明，恶意软件一直在上升，无论是在其活动方面还是在不断增长的检测保护方面。

IBM Trusteer 的安全研究人员挑选出最近截获的 TrickBot 样本，并发布了一份关于恶意软件隐藏其活动和处理其代码注入的方式越来越复杂的报告。该论文概述了 TrickBot 用于避免检测的四种不同方法。

去除局部注射

虽然研究人员可能能够分析 TrickBot 使用的、存储在受感染设备本地的代码注入，但当恶意软件调用代码并直接从其服务器注入时，事情变得更加困难。 TrickBot 使用 JS 加载器从其命令和控制服务器中获取适当的注入。

与命令服务器的安全交互

在向其 C2 服务器发送请求时，TrickBot 使用 HTTPS 并在引荐来源网址策略中实施“unsafe-url”标志。此标志可能用于通知 C2 服务器有关用户在其浏览器中打开的特定页面，以便可以返回相应的代码注入。

此外，TrickBot 可以劫持受害设备的证书验证功能，抑制由 bot 触发的恶意通信可能引起的所有错误。

反调试能力

TrickBot 还实现了一个新的反调试脚本。 IBM 的研究人员说，反调试器会寻找属于 TrickBot 的代码，这些代码已经过修改和“美化”，以使其对人类更具可读性。该恶意软件使用 RegEx 命令检查已清理并从 Base64 转换的代码，并添加了空格和新行以使其更具吸引力。

如果反调试器发现代码已被研究人员修改并“美化”，它会将恶意软件启动到一个循环中，由于内存过载，它很快就会使浏览器崩溃。

混淆代码

默认情况下，TrickBot 用于注入的代码始终使用 Base64 编码。除此之外，该恶意软件还使用额外的步骤来加密和混淆其代码。

死代码也被注入到合法表达式之间，类似于其他恶意软件所做的那样，使恶意软件模块的真正目的更难确定。

代码被缩短和“丑化”以使其肉眼无法理解，但仍保留其恶意功能。函数中的字符串被移动到数组中，然后加密，使研究人员的工作更加困难。分配给变量的值有目的地不是整数而是十六进制表示，通常是荒谬的表达式。研究人员提供的一个示例是在代码中使用字符串(0x130 * 0x11 + -0x17f5 + 0x2e * 0x15, -0x24a5 + 0x68e * -0x4 + 0x3edd, -0x17f1 + -0x99b * 0x3 + 0x34c2) 初始化零值.

多年来，TrickBot 一直是恶意工具领域的强国，它没有显示出放缓或消失的真正迹象。已经尝试拆除其恶意基础设施，但成功非常有限，而且看起来恶意软件在首次发布多年后仍然很强大。