Charlie Osborne är en cybersäkerhetsjournalist och fotograf som skriver för ZDNet och CNET från London.
Fullständig biografi publicerad i Zero Day den 26 januari 2022 | Ämne: Säkerhet
Trickbot-trojanen har reviderats med en ny uppsättning anti-reverse engineering-funktioner inklusive förmågan att krascha datorer om analysverktyg upptäcks.
Under åren har Trickbot utvecklats från sitt ursprungliga tillstånd som en banktrojan. till en bredare uppsättning skadliga komponenter.
Efter att Dyre gick i pension 2016 och störningen av Emotet-botnätet av brottsbekämpande myndigheter 2021, har Trickbot fyllt luckan för många hotaktörer och används nu för att stjäla finansiell data och för att underlätta exekvering av ransomware – och på grund av dess mångsidiga , modulär natur, har också blivit ett populärt alternativ för att distribuera andra former av skadlig programvara.
“Mellan nedtagningsförsök och en global pandemi har den diversifierat sina monetariseringsmodeller och blivit starkare”, säger forskare från IBM Trusteer.
I en ny rapport om skadlig programvaras nuvarande utveckling har IBM Trusteer funnit att användningen av skadlig programvara fortsätter att eskalera och prover av de senaste Trickbot-injektioner har avslöjat nya funktioner utformade för att förhindra analys.
Omvänd ingenjörskonst inom cybersäkerhet syftar till att dissekera ett prov av skadlig programvara, ta isär koden för att ta reda på hur den fungerar – och eventuellt hur man försvarar sig mot den. Det finns tre huvudsakliga försvarslinjer som används av skadlig programvara för att försöka förhindra att reverse engineering blir framgångsrik utanför typisk förvirring.
Det första tricket som används av trojanen är att använda injektioner på serversidan istället för att ladda dem från infekterade maskiner.
“Att behålla injektioner på infekterade maskiner innebär att de är mer benägna att hamna i händerna på säkerhetsforskare”, förklarade forskarna. “Injektioner som hålls lokalt är också mindre smidiga och svårare att manipulera i realtid. För att komma bortom dessa risker injicerar Trickbots operatörer från sin server, så kallade serverside-injektioner. För att underlätta att hämta rätt injektion i rätt ögonblick Trickbot skadlig programvara använder en nedladdare eller en JavaScript-laddare (JS) för att kommunicera med sin injiceringsserver.”
Den andra metoden att notera är användningen av HTTPS-kommunikation när injektioner hämtas från Trickbots kommando-och-kontroll-server (C2). Flaggor används för att ange vilken sida ett offer surfar på och förfrågningar från okända – eller “ovälkomna” – källor kan ignoreras, vilket låser dataströmmar och hindrar forskare från att korrekt analysera kommunikationsflöden.
Certifikatfel blockeras också för att hindra offer från att vara medvetna om C2-serverlänken.
Den tredje försvarslinjen är dock den mest intressanta uppdateringen. Ett anti-felsökningsskript har lagts till i kod som kan utlösa en minnesöverbelastning om en säkerhetsforskare utför “kodförsköna”, en teknik som används för att göra stora delar av kod mer läsbara och lättare att analysera.
Om Trickbot upptäcker denna typ av avkodning kommer skadlig programvara att kasta sig in i en loop.
“TrickBot använder ett RegEx för att upptäcka den förskönade installationen och kastar sig in i en loop som ökar den dynamiska arraystorleken vid varje iteration. Efter några omgångar överbelastas minnet så småningom och webbläsaren kraschar”, säger teamet. “Målet är att förutse de typiska åtgärder som forskare kommer att vidta och säkerställa att deras analys misslyckas.”
IBM Trusteer säger att Base64-obfuskation, redundant skräpskript och kod, och inbyggda funktionskorrigeringar också används för att åsidosätta och förvirra forskare.
I andra säkerhetsnyheter den här månaden utfärdade FBI en varning relaterad till spridningen av Diavol ransomware, en stam av skadlig programvara som använder liknande fingeravtrycksmetoder som Trickbot för att identifiera offerdatorer.
Tidigare och relaterad täckning
Denna trojanska skadliga programvara är nu din största säkerhetshuvudvärk
FBI-varning: Denna nya ransomware kräver upp till 500 000 USD
Det amerikanska justitiedepartementet anklagar lettisk medborgare för att ha distribuerat Trickbot malware
Har du ett tips? Ta kontakt säkert via WhatsApp | Signalera på +447713 025 499, eller över på Keybase: charlie0
Säkerhets-TV | Datahantering | CXO | Datacenter