TrickBot v100: выпущено обновление вредоносного ПО с новыми функциями

отредактировано 24 ноя Раздел: Вирусы & Антивирусы
Киберпреступная группа TrickBot выпустила сотую версию вредоносного ПО TrickBot с дополнительными функциями, позволяющими избежать обнаружения.

TrickBot-Logo.png


TrickBot - это вредоносное ПО, которое обычно устанавливается через вредоносные фишинговые сообщения электронной почты или другое вредоносное ПО. После установки TrickBot будет незаметно работать на компьютере жертвы, пока он загружает другие модули для выполнения различных задач.

Эти модули выполняют широкий спектр злонамеренных действий, включая кражу базы данных служб Active Directory домена, распространение в сети, блокировку экрана, кражу файлов cookie и паролей браузера, а также кражу ключей OpenSSH.

Известно, что TrickBot завершает атаку, предоставляя доступ к злоумышленникам, стоящим за вымогателями Ryuk и Conti, что еще больше усугубляет ситуацию.

В TrickBot v100 добавлены новые функции

После того, как в прошлом месяце Microsoft и их партнеры провели скоординированную атаку на инфраструктуру TrickBot, появилась надежда, что им потребуется время, чтобы восстановиться.

К сожалению, TrickBot все еще не утихает, о чем свидетельствует выпуск сотой сборки вредоносного ПО TrickBot.

Эта последняя сборка была обнаружена Виталием Кремезом из Advanced Intel, который обнаружил, что они добавили новые функции, которые затрудняют обнаружение.

В этом выпуске TrickBot теперь внедряет свою DLL в легитимный исполняемый файл Windows wermgr.exe (Windows Problem Reporting) прямо из памяти с помощью кода из проекта MemoryModule.

«MemoryModule - это библиотека, которую можно использовать для полной загрузки DLL из памяти - без предварительного сохранения на диск», - поясняет страница проекта на GitHub.

Первоначально запущенный как исполняемый файл, TrickBot внедрится в wermgr.exe, а затем завершит работу исходного исполняемого файла TrickBot.

По словам Кремеза, при внедрении DLL она будет делать это с помощью Doppel Hollowing или обработки двойного соединения, чтобы избежать обнаружения программным обеспечением безопасности.

«Этот метод использует транзакции, функцию NTFS, которая позволяет сгруппировать набор действий в файловой системе, и если какое-либо из этих действий не удается, происходит полный откат. Процесс инжектора создает новую транзакцию, внутри которой он создает новый файл, содержащий вредоносную полезную нагрузку. Затем он сопоставляет файл внутри целевого процесса и, наконец, откатывает транзакцию. Таким образом, создается впечатление, что файл никогда не существовал, даже если его содержимое все еще находится в памяти процесса, "Описание этого метода, сделанное исследователем безопасности Франческо Мурони.

Как видите, кибергруппа TrickBot не позволила нарушению своей инфраструктуры сдерживать их, и они продолжают интегрировать новые функции, чтобы предотвратить обнаружение вредоносного ПО.

К сожалению, это означает, что TrickBot останется с нами в обозримом будущем, а потребителям и предприятиям необходимо внимательно следить за тем, какие вложения электронной почты они открывают.

https://www.bleepingcomputer.com/news/security/trickbot-turns-100-latest-malware-released-with-new-features/

Комментарии

  • отредактировано 24 ноя PM
    Completely dismantling TrickBot has proven more than difficult, and similar operations in the past against popular Trojans has proven that the cybercriminal community will always push to bring back into operation something that’s profitable, versatile and popular. TrickBot might have suffered a serious blow, but its operators seem to be scrambling to bring it back, potentially more resilient and difficult to extirpate than ever before.

    https://labs.bitdefender.com/2020/11/trickbot-is-dead-long-live-trickbot/
  • отредактировано 27 ноя PM
    TrickBot использует обфусцированный пакетный скрипт Windows, чтобы избежать обнаружения

    В 100-м выпуске TrickBot вредоносная программа получила новые расширенные возможности уклонения. Одна из таких возможностей - использование запутанного средства запуска пакетных сценариев для быстрого запуска вредоносных исполняемых файлов.

    Тот факт, что для пакетных сценариев не нужен интерпретатор, кроме встроенной командной строки Microsoft Windows, делает этот метод обхода самодостаточным и минималистичным

    На выходных Лоуренс Абрамс из BleepingComputer проанализировал сотую сборку TrickBot и ее новые функции.

    TrickBot - это вредоносное ПО, которое обычно устанавливается через вредоносные фишинговые сообщения электронной почты или другое вредоносное ПО. После установки TrickBot будет незаметно работать на компьютере жертвы, пока он загружает другие модули для выполнения различных задач.

    Известно, что TrickBot завершает атаку, предоставляя доступ злоумышленникам, которые развертывают программы-вымогатели Ryuk или Conti в скомпрометированной сети.

    В нашем анализе BleepingComputer обнаружил, что BAT-скрипт launcher.bat запускается запланированной задачей, установленной TrickBot.

    Как Launcher.bat, так и исполняемый файл, который он запускает, находятся в одном каталоге, по данным BleepingComputer, расположение которого выглядит так:

    C: \ Users \ (имя пользователя) \ AppData \ Roaming \ IdentitiesXXXXXXXXXX \

    Тем не менее, использование обфусцированного пакетного сценария, показанного ниже, для запуска исполняемого файла, вероятно, является еще одной особенностью, которую не видят продукты корпоративной безопасности.

    Недавно был обнаружен еще один образец TrickBot, в котором использовался аналогичный пакетный скрипт с более чем 40 строками обфусцированного кода.

    При расшифровке весь код запускал вредоносную программу, действие, которое могло быть вызвано всего одной строкой кода:

    запустите C: \ Users \ ██████████ \ AppData \ Roaming \ Identities1603031315 \ ulib8b4.exe

    Рассматриваемый двоичный файл, ulib8b4.exe, представляет собой полезную нагрузку TrickBot, которая выполняет широкий спектр вредоносных действий, включая кражу базы данных служб Active Directory домена, распространение по сети, блокировку экрана, кражу файлов cookie и паролей браузера, а также кражу ключей OpenSSH.

    «Системные администраторы часто используют пакетные сценарии, чтобы облегчить себе жизнь и ускорить рабочий процесс», - говорит Джон Хаммонд, старший исследователь безопасности в Huntress Labs.

    «Но поскольку это обеспечивает отличный доступ к компьютерной системе, злоумышленники и семейства вредоносных программ также используют файлы .bat».

    Хаммонд отмечает, что, хотя антивирусные продукты могут легко сканировать текстовые пакетные сценарии, тот факт, что злоумышленник прошел несколько шагов, чтобы обфусцировать простую однострочную команду, сделает практически невозможным получение стандартного EDR или на основе сигнатур антивирусный продукт для обнаружения таких образцов.

    https://www.bleepingcomputer.com/news/security/trickbot-malware-uses-obfuscated-windows-batch-script-to-evade-detection/

    https://blog.huntresslabs.com/tried-and-true-hacker-technique-dos-obfuscation-400b57cd7dd
Войдите или Зарегистрируйтесь чтобы комментировать.