警告！ TrickBot 木馬改進了避免檢測的技術

TrickBot 木馬似乎永遠不會過時。最初是一種複雜但相對一維的銀行木馬，後來演變為惡意軟件工具包的多用途瑞士軍刀。對 TrickBot 的新研究表明，惡意軟件一直在上升，無論是在其活動方面還是在不斷增長的檢測保護方面。

IBM Trusteer 的安全研究人員挑選出最近截獲的 TrickBot 樣本，並發布了一份關於惡意軟件隱藏其活動和處理其代碼注入的方式越來越複雜的報告。該論文概述了 TrickBot 用於避免檢測的四種不同方法。

去除局部注射

雖然研究人員可能能夠分析 TrickBot 使用的、存儲在受感染設備本地的代碼注入，但當惡意軟件調用代碼並直接從其服務器注入時，事情變得更加困難。 TrickBot 使用 JS 加載器從其命令和控制服務器中獲取適當的注入。

與命令服務器的安全交互

在向其 C2 服務器發送請求時，TrickBot 使用 HTTPS 並在引薦來源網址策略中實施“unsafe-url”標誌。此標誌可能用於通知 C2 服務器有關用戶在其瀏覽器中打開的特定頁面，以便可以返回相應的代碼注入。

此外，TrickBot 可以劫持受害設備的證書驗證功能，抑制由 bot 觸發的惡意通信可能引起的所有錯誤。

反調試能力

TrickBot 還實現了一個新的反調試腳本。 IBM 的研究人員說，反調試器會尋找屬於 TrickBot 的代碼，這些代碼已經過修改和“美化”，以使其對人類更具可讀性。該惡意軟件使用 RegEx 命令檢查已清理並從 Base64 轉換的代碼，並添加了空格和新行以使其更具吸引力。

如果反調試器發現代碼已被研究人員修改並“美化”，它會將惡意軟件啟動到一個循環中，由於內存過載，它很快就會使瀏覽器崩潰。

混淆代碼

默認情況下，TrickBot 用於注入的代碼始終使用 Base64 編碼。除此之外，該惡意軟件還使用額外的步驟來加密和混淆其代碼。

死代碼也被注入到合法表達式之間，類似於其他惡意軟件所做的那樣，使惡意軟件模塊的真正目的更難確定。

代碼被縮短和“醜化”以使其肉眼無法理解，但仍保留其惡意功能。函數中的字符串被移動到數組中，然後加密，使研究人員的工作更加困難。分配給變量的值有目的地不是整數而是十六進製表示，通常是荒謬的表達式。研究人員提供的一個示例是在代碼中使用字符串(0x130 * 0x11 + -0x17f5 + 0x2e * 0x15, -0x24a5 + 0x68e * -0x4 + 0x3edd, -0x17f1 + -0x99b * 0x3 + 0x34c2) 初始化零值.

多年來，TrickBot 一直是惡意工具領域的強國，它沒有顯示出放緩或消失的真正跡象。已經嘗試拆除其惡意基礎設施，但成功非常有限，而且看起來惡意軟件在首次發布多年後仍然很強大。