Skrevet af Charlie Osborne, Bidragyder Charlie Osborne Bidragyder
Charlie Osborne er en cybersikkerhedsjournalist og fotograf, der skriver for ZDNet og CNET fra London.
Fuld biografi udgivet i Zero Day den 26. januar 2022 | Emne: Sikkerhed
Trickbot Trojan er blevet revideret med et nyt sæt anti-reverse engineering-funktioner, herunder evnen til at crashe computere, hvis analyseværktøjer opdages.
I årenes løb har Trickbot udviklet sig fra sin oprindelige tilstand som en banktrojaner til en bredere række af ondsindede komponenter.
Efter Dyres pensionering i 2016 og afbrydelsen af Emotet-botnettet af retshåndhævere i 2021, har Trickbot udfyldt hullet for mange trusselsaktører og bruges nu til at stjæle økonomiske data og til at lette eksekveringen af ransomware – og på grund af dets alsidige , modulær karakter, er også blevet en populær mulighed for at implementere andre former for malware.
“Mellem nedtagningsforsøg og en global pandemi har den diversificeret sine monetariseringsmodeller og vokset sig stærkere,” siger forskere fra IBM Trusteer.
I en ny rapport om malwarens nuværende udvikling har IBM Trusteer fundet ud af, at brugen af malware fortsætter med at eskalere, og prøver af nylige Trickbot-injektioner har afsløret nye funktioner designet til at forhindre analyse.
Reverse engineering i cybersikkerhed har til formål at dissekere en malware-prøve, afmontere koden for at finde ud af, hvordan den fungerer – og potentielt hvordan man forsvarer sig mod den. Der er tre hovedforsvarslinjer, der bruges af malwaren til at forsøge at forhindre reverse engineering i at lykkes uden for typisk sløring.
Det første trick, som trojaneren bruger, er brugen af serverside-injektioner i stedet for at indlæse dem fra inficerede maskiner.
“At holde injektioner på inficerede maskiner betyder, at de er mere tilbøjelige til at lande i hænderne på sikkerhedsforskere,” forklarede forskerne. “Injektioner, der holdes lokalt, er også mindre agile og sværere at manipulere i realtid. For at komme ud over disse risici injicerer Trickbots operatører fra deres server, kendt som server-side-injektioner. For at gøre det lettere at hente den rigtige injektion på det rigtige tidspunkt, skal beboeren Trickbot malware bruger en downloader eller en JavaScript (JS) loader til at kommunikere med sin inject-server.”
Den anden notemetode er brugen af HTTPS-kommunikation, når injektioner hentes fra Trickbots kommando-og-kontrol-server (C2). Flag bruges til at angive den side, et offer gennemser, og anmodninger fra ukendte – eller “uvelkomne” – kilder kan ignoreres, hvilket låser datastrømme og forhindrer forskere i at analysere kommunikationsstrømme korrekt.
Certifikatfejl er også blokeret for at forhindre ofre i at være opmærksomme på C2-serverlinket.
Den tredje forsvarslinje er dog den mest interessante opdatering. Et anti-debugging-script er blevet tilføjet til kode, der kan udløse en hukommelsesoverbelastning, hvis en sikkerhedsforsker udfører “kodeforskønnelse”, en teknik, der bruges til at gøre store dele af kode mere læsbare og nemmere at analysere.
Hvis Trickbot opdager denne type afkodning, vil malwaren kaste sig ud i en løkke.
“TrickBot bruger en RegEx til at detektere det forskønnede setup og kaste sig ud i en loop, der øger den dynamiske array-størrelse ved hver iteration. Efter et par runder bliver hukommelsen til sidst overbelastet, og browseren går ned,” siger teamet. “Målet er at forudse de typiske handlinger, forskere vil tage og sikre, at deres analyse mislykkes.”
IBM Trusteer siger, at Base64-obfuskation, redundant junk-script og -kode og native funktionspatches også bruges til at sidestille og forvirre forskere.
I andre sikkerhedsnyheder i denne måned udsendte FBI en advarsel relateret til spredningen af Diavol ransomware, en stamme af malware, der bruger lignende maskinfingeraftryksmetoder som Trickbot til at identificere ofrets pc'er.
Tidligere og relateret dækning
Denne trojanske malware er nu din største sikkerhedshovedpine
FBI-advarsel: Denne nye ransomware stiller krav på op til $500.000
Det amerikanske justitsministerium anklager lettisk statsborger for at implementere Trickbot malware
Har du et tip? Kom sikkert i kontakt via WhatsApp | Signal på +447713 025 499 eller over på Keybase: charlie0
Security TV | Datastyring | CXO | Datacentre