Trickbot Truva Atı’nın yazarları, savunucuların kötü amaçlı işlemler sırasında kullandığı enjeksiyonları algılamasını ve analiz etmesini zorlaştırmak için kötü amaçlı yazılımın etrafına birden çok savunma katmanı ekledi.
İyileştirmeler, kötü amaçlı yazılım çevresindeki artan etkinlikle örtüşüyor ve Trickbot’un çevrimiçi bankacılık sahtekarlığı yapmak için kullanıldığı saldırılar için tasarlanmış gibi görünüyor – bu araç, kötü amaçlı yazılım dağıtımı amacıyla yeniden kullanılmadan önce orijinal olarak tasarlanmıştı.
IBM Trusteer araştırmacıları, Trustbot’un bankacılık sahtekarlığı yapmak için bilgi çalma sürecinde kullandığı en son kod enjeksiyonlarını analiz etti. Kötü amaçlı yazılımın operatörlerinin 2016’da ilk piyasaya sürülmesinden bu yana yaptığı türden yeni ince ayarlar keşfettiler.
Güncellemeler, yeni bir sunucu tarafı ekleme mekanizması içerir; enjeksiyonları almak için komut ve kontrol (C2) sunucusuyla şifreli iletişim; bir hata ayıklama önleme özelliği; ve enjekte kodunu gizlemenin ve gizlemenin yeni yolları. IBM’de yönetici güvenlik danışmanı olan Limor Kessem, değişiklikleri, Trickbot geliştiricilerinin kötü amaçlı yazılımı güvenlik araştırmacıları ve algılama araçlarından bir adım önde tutmak için harcadıkları sürekli çabanın bir parçası olarak tanımlıyor.
Kessem, “Trickbot gibi güvenlik kontrollerinden geçmek için tasarlanmış kötü amaçlı yazılımların sürekli güncellenmesi gerekiyor” diyor. “İşler değişir [at] kod düzeyinde, kaynaklar kodlanır/şifrelenir ve gizlenir. Bu çabalar, tespiti önlemek ve analizi mümkün olduğunca engellemek için var.”
Trickbot, Rus kolluk kuvvetlerinin saldırılarda kullanılan ve Chase ve Bank of America gibi bankalar için milyonlarca dolara mal olan bir bankacılık Truva atı olan Dyre operatörlerini tutuklamasından kısa bir süre sonra ortaya çıktı. Son derece modüler araç, Dyre gibi bir bankacılık Truva atı olarak başladı ve saldırganların bir kurbanın banka hesabındaki paraya erişmesine ve para çalmasına izin verecek bilgileri çalmak için tasarlandı. Yıllar içinde Trickbot, fidye yazılımı ve Emotet gibi diğer bankacılık Truva atları dahil olmak üzere diğer kötü amaçlı yazılımları dağıtmak için bir araca dönüştü.
Trickbot operatörleri şu ana kadar yayından kaldırma girişimlerine karşı büyük ölçüde kayıtsız kaldı. Bu, Ekim 2020’de Microsoft, ESET ve diğer güvenlik sağlayıcılarındaki araştırmacıların Trickbot’un C2 altyapısını bozmak için Finansal Hizmetler Bilgi Paylaşımı ve Analiz Merkezi ile birlikte çalıştığı bir girişimi içeriyor. O zaman, kötü amaçlı yazılım 12 ülkede bir milyondan fazla sisteme bulaşmıştı. Kaldırma çabası, farklı konumlardaki 19 farklı Trickbot C2 sunucusunun bağlantısının kesilmesiyle sonuçlansa da, kötü amaçlı yazılım işlemi üzerinde en iyi ihtimalle orta düzeyde bir etkisi oldu. Geçen yıl Letonyalı bir kötü amaçlı yazılım geliştiricisine karşı hazırlanan iddianamenin ayrıntıları, çekirdek Trickbot grubunu yazılım geliştiriciler, kötü amaçlı yazılım uzmanları, para katırları ve programcılar dahil olmak üzere yaklaşık 20 kişiden oluştuğunu açıkladı.
Ekstra Korumalar
IBM’in TrickBot’un en son sürümüne ilişkin analizi Operatörlerin, virüslü bir makineye sahip bir kullanıcının banka hesaplarına çevrimiçi olarak erişmeye çalıştığında gerçek zamanlı olarak kullanılan kod enjeksiyonlarına ekstra koruma eklediğini gösteriyor. Enjeksiyonlar, bankanın sunucusuna ulaşmadan önce kullanıcının tarayıcısından çıkan bilgileri anında değiştirmek için tasarlanmıştır.
Kessem, siber suçluların kurbanları hassas bilgileri ifşa etmeleri için kandırma yollarından birinin, bankalarıyla çevrimiçi etkileşim kurarken normalde beklediklerini taklit eden özelleştirilmiş Web enjeksiyon akışları kullanmak olduğunu söylüyor. “Sunucularında sahte bir bankacılık sitesi oluşturmaya kadar gidebilirler ve bunun yerine kurbanları oraya götürebilirler” diyor. Dyre saldırganlarında olduğu gibi, “Diğer durumlarda, diğer uçta insanları içeren daha sağlam bir plan oluştururlar”.
IBM’in analizi, güvenliği ihlal edilmiş bir sistemde yerel olarak depolanan yapılandırma dosyalarından enjeksiyon kodu almak yerine, Trickbot operatörlerinin artık kodu kendi sunucularından gerçek zamanlı olarak enjekte etmeye başladığını gösteriyor. Bu tür sunucu tarafı enjeksiyonu, saldırganların yerel olarak depolanan enjeksiyonlardan gerçek zamanlı olarak manipüle etmesi için daha kolaydır. IBM, ayrıca, savunucuların belirli bir hedefe karşı hangi kötü niyetli faaliyetlerin başlatılabileceğini anlamalarını da zorlaştırdığını söyledi.
Trickbot’un kullandığı bir JavaScript indiricisi de ayarlandı, böylece artık saldırgan kontrollü bir enjeksiyon sunucusundan Web enjeksiyonlarını güvenli bir şekilde almak için HTTPS protokolünü kullanıyor. Enjeksiyonlar, belirli banka URL’leri için uyarlanmıştır ve kullanıcıları, saldırganların çevrimiçi bir banka hesabından para çalmak için kullanabilecekleri bilgileri ifşa etmeleri için kandırmak üzere tasarlanmıştır.
Başka bir önlem olarak, Trickbot’un yazarları, kötü amaçlı yazılımın JavaScript koduna bir hata ayıklama önleme özelliği eklediler. Hata ayıklama özelliği, güvenlik araştırmacılarının şüpheli kodu analiz ederken yaptığı sözde “kod güzelleştirme”yi tespit etmek için tasarlanmıştır. IBM, Trickbot’un yeni hata giderme önleme mekanizması, bu tür bir kodu güzelleştirmeye yönelik herhangi bir girişimi tespit ettiğinde, belleğin aşırı yüklenmesine ve tarayıcının çökmesine neden olan bir işlemi hemen tetikler, dedi.
Trickbot’un kendisine enjekte ettiği kod da oldukça karışık. Base64 ile kodlanmıştır ve kodu insan gözüyle okunamaz hale getirmek veya kod yürütmeyle ilgili bilgileri gizlemek ve sayıları ve değişkenleri kasıtlı olarak karmaşık bir şekilde temsil etmek gibi çeşitli hileler kullanır. Kessem, “Teknikler hakkında bilgi sahibi olmak, savunucuların ne bekleyeceklerini bilmelerine ve kötü amaçlı yazılımları analiz edebilmeleri ve kontrolleri ayarlayabilmeleri için zorlu bölümleri açmalarına yardımcı oluyor” diyor.