Контакты
Подписка 2024
ITSEC 2024
Персональные данные в 2025 году: новые требования и инструменты. 16 октября, Москва, Форум ITSEC 2024
Регистрируйтесь и приходите!

Вредонос TrickBot способен определять, подвергается ли он анализу со стороны ИБ-эксперта

27/01/22

trickbot

Исследователи в области кибербезопасности из IBM Trusteer рассказали о новых функциях вредоносной программы TrickBot, которые усложняют ее исследование, анализ и обнаружение последних вариантов. Вредонос вызывает сбой в работе вкладок браузера при обнаружении определенных скриптов.

Поскольку TrickBot является модульным вредоносом, злоумышленники могут внедрять дополнительные функции для выполнения широкого спектра вредоносных действий, включая атаки man-in-the-browser для кражи учетных данных online-банкинга, кражу баз данных Active Directory, перемещение по сети и пр.

Помимо того, что TrickBot является банковским трояном, он также используется для установки других полезных нагрузок благодаря своей незаметности и эффективности. Ранее вредонос был связан с вымогательской группировкой Diavol , группировкой Conti и даже с Emotet.

Разработчики TrickBot используют ряд уровней обфускации и кодировку base64 для скриптов, включая минимизацию, извлечение и замену строк, числовую базу и представление, внедрение мертвого кода и обезьяньи патчи (возможность подмены методов и значений атрибутов классов программы во время ее выполнения).

TrickBot обладает несколькими уровнями обфускации, что делает анализ ПО медленным, громоздким и часто дает неубедительные результаты.

При внедрении вредоносных скриптов на web-страницы с целью кражи учетных данных операторы не задействуют локальные ресурсы, а полагаются исключительно на серверы. Таким образом, аналитики не могут добывать образцы из памяти зараженных систем.

TrickBot взаимодействует с командным сервером по протоколу HTTPS, который поддерживает зашифрованный обмен данными. Кроме того, запросы на внедрение команд включают параметры, которые помечают неизвестные источники, поэтому аналитики не могут получать образцы из командного сервера с помощью незарегистрированной оконечной точки.

TrickBot содержит скрипт защиты от отладки в коде JS, который помогает ему предвидеть осуществление анализа и запустить перегрузку памяти, приводя к сбою страницы.

Раньше TrickBot пытался определить, анализируется ли он, путем проверки разрешения экрана пользователя, но теперь он также ищет признаки «улучшения кода». Улучшение кода — это преобразование запутанного кода или развернутого текста в контент, который легче читается человеческим глазом и, следовательно, в нем легче идентифицировать код.

При обнаружении измененного кода TrickBot теперь вызывает сбой браузера, чтобы предотвратить дальнейший анализ внедренного скрипта.

«TrickBot использует RegEx для обнаружения «улучшенной настройки» и запускает себя в цикл, который увеличивает размер динамического массива на каждой итерации. После нескольких раундов память в конечном итоге перегружается, и браузер дает сбой», — объясняют исследователи IBM Trusteer.

Темы:УгрозытрояныКиберугрозыTrickbot
Безопасная разработка
Москва | 15 октября 2024 | Доверенные решения для защиты российских ОС на базе Linux и миграции
Регистрируйтесь и приходите на Форум ITSEC 2024
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Защита АСУ ТП и КИИ: готовимся к 2025 году
Обсуждаем на ITSEC 2024!

Еще темы...

More...