警告！ TrickBotトロイの木馬は、検出を回避するための技術を改善します

TrickBotトロイの木馬は決して時代遅れになっているようには見えません。洗練されていながら比較的1次元のバンキング型トロイの木馬として始まったものは、マルウェアツールキットの多目的スイスアーミーナイフに進化しました。 TrickBotに関する新しい調査によると、マルウェアの活動と検出に対する保護の強化の両方に関して、マルウェアは増加傾向にあります。

IBMのTrusteerを使用するセキュリティ研究者は、最近傍受されたTrickBotのサンプルを選び出し、マルウェアがそのアクティビティを隠してコードインジェクションを処理する、ますます複雑になる方法に関するレポートを公開しました。このホワイトペーパーでは、TrickBotが検出を回避するために使用する4つの異なる方法について概説しています。

ローカル注射の除去

研究者は、侵害されたデバイスにローカルに保存されているTrickBotによって使用されるコードインジェクションを分析できる可能性がありますが、マルウェアがコードを要求してサーバーから直接インジェクションする場合、事態はさらに困難になります。 TrickBotは、JSローダーを使用して、コマンドサーバーと制御サーバーから適切なインジェクションを取得します。

コマンドサーバーとの安全な相互作用

TrickBotはC2サーバーにリクエストを送信するときに、HTTPSを使用し、リファラーポリシーに「unsafe-url」フラグを実装します。このフラグは、ユーザーがブラウザで開いた特定のページについてC2サーバーに通知し、それぞれのコードインジェクションを返すために使用される可能性があります。

さらに、TrickBotは、被害者のデバイスの証明書検証機能を乗っ取って、ボットがトリガーしている悪意のある通信から発生する可能性のあるすべてのエラーを抑制することができます。

アンチデバッグ機能

TrickBotは、新しいデバッグ防止スクリプトも実装しました。 IBMの研究者によると、アンチデバッガーは、人間が読みやすくするために変更および「美化」されたTrickBotに属するコードを探します。このマルウェアは、RegExコマンドを使用して、Base64からクリーンアップおよび変換されたコードをチェックし、スペースと新しい行を追加して、より魅力的なものにします。

アンチデバッガーは、コードが研究者によって修正されて「美化」されていることを発見すると、メモリが過負荷になるとすぐにブラウザーをクラッシュさせるループにマルウェアを起動します。

難読化コード

デフォルトでは、TrickBotによるインジェクションに使用されるコードは、常にBase64を使用してエンコードされます。これに加えて、マルウェアは追加の手順を使用してコードを暗号化および難読化します。

また、他のマルウェアと同様に、正当な表現の間にデッドコードが挿入され、マルウェアのモジュールの真の目的を特定しにくくします。

コードは短縮されて「醜く」なり、肉眼では理解できなくなりますが、悪意のある機能は保持されます。関数内の文字列は配列に移動されてから暗号化されるため、研究者の仕事はさらに困難になります。変数に割り当てられた値は、意図的に整数ではなく16進数として表され、多くの場合、ばかげた式で表されます。研究者によって提供された1つの例は、文字列（0x130 * 0x11 + -0x17f5 + 0x2e * 0x15、-0x24a5 + 0x68e * -0x4 + 0x3edd、-0x17f1 + -0x99b * 0x3 + 0x34c2）を使用してコードで初期化されるゼロの値です。 。

TrickBotは、悪意のあるツールの世界で何年にもわたって強力な存在であり、速度が低下したり消えたりする兆候は見られません。悪意のあるインフラストラクチャを停止する試みがありましたが、成功は非常に限られており、マルウェアは最初の起動から数年経っても依然として強力であるように見えます。