Warnung! TrickBot-Trojaner verbessert Techniken, um Erkennung zu vermeiden
Der Trojaner TrickBot scheint nie aus der Mode zu kommen. Was als ausgeklügelter, aber relativ eindimensionaler Banking-Trojaner begann, entwickelte sich zu einem multifunktionalen Schweizer Taschenmesser eines Malware-Toolkits. Neue Untersuchungen zu TrickBot zeigen, dass die Malware immer weiter auf dem Vormarsch ist, sowohl in Bezug auf ihre Aktivität als auch auf ihren ständig wachsenden Schutz vor Entdeckung.
Sicherheitsforscher von IBMs Trusteer haben kürzlich abgefangene Proben von TrickBot auseinandergenommen und einen Bericht über die immer komplexer werdende Art und Weise veröffentlicht, wie die Malware ihre Aktivitäten verbirgt und mit ihren Code-Injektionen umgeht. Das Papier beschreibt vier verschiedene Methoden, die TrickBot verwendet, um eine Erkennung zu vermeiden.
Inhaltsverzeichnis
Lokale Injektionen entfernen
Während Forscher möglicherweise in der Lage sind, von TrickBot verwendete Code-Injektionen zu analysieren, die lokal auf dem kompromittierten Gerät gespeichert sind, wird die Sache viel schwieriger, wenn die Malware Code anfordert und direkt von seinen Servern injiziert. TrickBot verwendet einen JS-Loader, um die entsprechende Injektion von seinen Command-and-Control-Servern abzurufen.
Sichere Interaktion mit dem Befehlsserver
Beim Senden von Anfragen an seinen C2-Server verwendet TrickBot HTTPS und implementiert das „unsafe-url“-Flag in der Referrer-Richtlinie. Dieses Flag wird wahrscheinlich verwendet, um den C2-Server über die spezifische Seite zu informieren, die der Benutzer in seinem Browser geöffnet hat, damit die entsprechende Code-Injektion zurückgegeben werden kann.
Darüber hinaus kann TrickBot die Zertifikatsüberprüfungsfunktionen des Opfergeräts kapern und alle Fehler unterdrücken, die sich aus der böswilligen Kommunikation ergeben könnten, die der Bot auslöst.
Anti-Debugging-Funktionen
TrickBot hat auch ein neues Anti-Debugging-Skript implementiert. Der Anti-Debugger sucht nach Code von TrickBot, der verändert und „verschönert“ wurde, um ihn für Menschen lesbarer zu machen, sagten IBM-Forscher. Die Malware verwendet RegEx-Befehle, um nach Code zu suchen, der bereinigt und von Base64 konvertiert wurde, wobei Leerzeichen und neue Zeilen hinzugefügt wurden, um ihn attraktiver zu machen.
Wenn der Anti-Debugger feststellt, dass der Code von Forschern nachgebessert und „verschönert“ wurde, startet er die Malware in eine Schleife, die den Browser sehr bald zum Absturz bringt, da der Speicher überlastet ist.
Verschleierungscode
Standardmäßig wird der von TrickBot für die Injektion verwendete Code immer mit Base64 codiert. Darüber hinaus verwendet die Malware zusätzliche Schritte, um ihren Code zu verschlüsseln und zu verschleiern.
Toter Code wird auch zwischen legitime Ausdrücke eingeschleust, ähnlich wie bei anderer Malware, um es schwieriger zu machen, den wahren Zweck der Malware-Module herauszufinden.
Code wird gekürzt und „hässlich“ gemacht, um ihn mit bloßem Auge unverständlich zu machen, behält aber dennoch seine bösartigen Fähigkeiten. Zeichenfolgen in Funktionen werden in Arrays verschoben und dann verschlüsselt, was die Arbeit der Forscher noch schwieriger macht. Variablen zugewiesene Werte werden absichtlich nicht als Ganzzahlen, sondern als Hex dargestellt, oft in absurden Ausdrücken. Ein von Forschern bereitgestelltes Beispiel ist ein Wert von Null, der im Code mit der Zeichenfolge (0x130 * 0x11 + -0x17f5 + 0x2e * 0x15, -0x24a5 + 0x68e * -0x4 + 0x3edd, -0x17f1 + -0x99b * 0x3 + 0x34c2) initialisiert wird.
TrickBot ist seit Jahren ein Kraftpaket in der Welt der bösartigen Tools und zeigt keine wirklichen Anzeichen dafür, dass es langsamer wird oder verschwindet. Es gab Versuche, seine bösartige Infrastruktur auszuschalten, aber der Erfolg war sehr begrenzt und es sieht so aus, als ob die Malware auch Jahre nach ihrem ersten Start immer noch stark ist.