Trickbot đã được làm mới với bộ khả năng chống phân tích

tathoa0607

Moderator
Thành viên BQT
14/01/2021
19
85 bài viết
Trickbot đã được làm mới với bộ khả năng chống phân tích

Trong những năm qua, Trickbot đã phát triển từ trạng thái ban đầu là một Banking-trojan thành một loạt các thành phần độc hại. Trickbot Trojan đã được sửa đổi với một bộ tính năng mới bao gồm: anti-reverse, và làm crash PCs nếu phát hiện các công cụ phân tích.

1643255963026.png
Trickbot hiện được sử dụng để đánh cắp dữ liệu tài chính và tạo điều kiện cho việc thực thi ransomware - do tính linh hoạt của nó đã trở thành một lựa chọn phổ biến để triển khai các dạng phần mềm độc hại khác. Các mẫu Trickbot injection gần đây đã tiết lộ các tính năng mới, được thiết kế để ngăn chặn phân tích.

Kỹ thuật Reverse trong an ninh mạng nhằm mục đích phân tích một mẫu phần mềm độc hại, tìm hiểu cách nó hoạt động - và có khả năng làm thế nào để bảo vệ hoặc chống lại nó. Có ba tuyến phòng thủ chính được phần mềm độc hại sử dụng để thử và ngăn chặn kỹ thuật Reverse thành công bên ngoài.

Thủ thuật đầu tiên được sử dụng bởi Trojan là sử dụng các injections phía server, thay vì tải chúng từ các máy bị nhiễm. Để vượt qua những rủi ro này, các nhà điều hành của Trickbot sẽ inject từ máy chủ của họ, Trickbot malware sẽ sử dụng trình tải xuống hoặc trình tải JavaScript (JS) để giao tiếp với “inject server” của nó

Phương pháp thứ hai cần lưu ý là sử dụng giao tiếp HTTPS khi các injections được tải xuống từ command-and-control server (C2) của Trickbot. Flag được sử dụng để chỉ định trang mà nạn nhân đang duyệt và các yêu cầu từ các nguồn không xác định, khóa các luồng dữ liệu và ngăn các nhà nghiên cứu phân tích đúng các luồng giao tiếp. Các lỗi chứng chỉ cũng bị chặn để ngăn nạn nhân nhận biết được liên kết máy chủ C2.

Tuy nhiên, tuyến phòng thủ thứ ba là bản cập nhật. Một tập lệnh chống gỡ lỗi đã được thêm vào mã có thể gây ra tình trạng quá tải bộ nhớ nếu một nhà nghiên cứu bảo mật thực hiện " code beautifying" - một kỹ thuật sử dụng để làm cho một loạt mã phức tạp trở nên dễ đọc và phân tích hơn. Nếu Trickbot phát hiện ra kiểu giải mã này, phần mềm độc hại sẽ tự đưa nó vào một vòng lặp.

Nhóm nghiên cứu cho biết: "TrickBot sử dụng RegEx để phát và đưa chính nó vào một vòng lặp làm tăng kích thước mảng động trên mỗi lần lặp. Sau một vài vòng, bộ nhớ cuối cùng bị quá tải và trình duyệt bị treo". Mục đích là để dự đoán các hành động mà các nhà nghiên cứu sẽ thực hiện và đảm bảo rằng phân tích của họ không thành công”.

Trong các tin tức an ninh mạng khác, FBI đã đưa ra cảnh báo liên quan đến sự lây lan của Diavol ransomware, một loại phần mềm độc hại sử dụng các phương pháp “machine fingerprint” tương tự như Trickbot trong việc xác định PC nạn nhân.

 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Thẻ
banking trojan ransomware trickbot trojan
Bên trên