TrickBot يك تروجان جديد بانكي است كه به نظر مي رسد جانشين Dyre كه در اكتبر 2016 پديدار شد مي باشد. كد TrickBot تحت آزمون هاي هاي پيشرونده از آگوست 2016 بوده است و همچنان در حال بروزرساني بوده و هم اكنون ، حمله هاي جعل و آلوده سازي ها. از نظر داخلي، TrickBot بيش از چيزي است كه با چشم ديده مي شود. در اين پست پژوهشي خدمات شبكه ما به برخي از نكات قابل توجه در مورد قابليت هاي اين بدافزارها مي پردازيم، شامل:
• يك روش غير معمول انجام حملات مرد در مرورگر (MitB)
• مكانيسم باگ تزريق به وبِ TrickBot (web injection)
• مبهم سازي ظريف رابط كاربردي برنامه نويسي(API) توسط توسعه دهنده.
• اعتقاد ما در رابطه با ارتباط مشكوك TrickBot-Dyre
براي تجزيه و تحليل، نمونه اي كه ما مورد استفاده قرار داديم به شرح زير بود:
5e363a42d019fc6535850a2867548f5b968d68952e1cddd49240d1f426debb73
تكنيك غير معمول مرد در مرورگر
امروزه اكثر خانواده هاي بدافزارهاي مالي امروزي ميتوانند كد مخرب را به جلسات مرورگري كه در جريان است تزريق كنند. (به عنوان مثال حملات مرد در مرورگر و تزريق به وب) رايج ترين روش توسعه دهندگان بدافزارها در پياده سازي تزريق، نصب كردن آنها را به صورت محلي در دستگاه قرباني است. اين بدافزار يك فايل پيكربندي محلي براي تزريق نگه مي دارد ،كه تعيين مي كند دقيقا چه زماني و چگونه بدافزار محتويات صفحات وب بانك مورد هدف را تغيير دهد. روش پيشرفته تر و غير معمول تر براي رسيدن به نتيجه مشابه "فچ" كردن دستورالعمل نصب شبكه تزريق از سرور مهاجم در زمان واقعي است. اين روشي است كه توسعه دهندگان TrickBot معمولا استفاده مي كنند. اين روش به عنوان تزريق سرورسايد (serverside) نيز شناخته شده است.
بدين منظور و كاملا مانند ديگر تروجانهاي بانكي پيشرفته، TrickBot يك موتور اتصال به مرورگر طراحي شده براي رهگيري ارتباطات به / از مرورگر اينترنت قرباني را بكار مي گيرد. با ترفند فچينگ در زمان واقعي، عملا تزريق هاي كد هاي مخرب به صورت امن بر روي سرور مهاجم نگه داشته شده، نه در يك فايل بر روي نقطه پاياني قرباني. هنگامي كه يك قرباني يكي از URL هاي مورد نظر TrickBot را در مرورگر باز ميكند، اتفاقي كه مي افتد به شرح زير است:
1. ماژول مالي TrickBot پاسخ HTTP اصلي را قبل از اينكه به قرباني ارائه شود قطع مي كند.
2. TrickBot يك بسته HTTP چند بخشي به C2 خود مي فرستد همراه با بخش هاي ذيل:
1- "sourcelink" URL كامل كه موجب اين حمله مي شود
2- "sourcequery" عبارت جستجوي HTTP كامل مرورگر
3- "sourcehtml" HTMLاصلي همانگونه كه توسط يك مرورگر غير آلوده نمايش داده مي شود.
3. C2 با محتواي كامل HTML كه به مرورگر قرباني نمايش داده ميشود پاسخ داده، از جمله بخش هاي تزريق شده.
4. در نهايت، ماژول مالي TrickBot جايگزين پاسخ اصلي اي كه به طور معمول از بانك، همراه با پاسخ C2 به دست مي آيد شده، و صفحه تزريق شده در طرف قرباني نمايش داده ميشود.
روش تزريق سرورسايد داراي مزاياي بيشتري از مكانيسم استاندارد پشتيباني شبكه محلي استفاده شده توسط بسياري از بدافزارهاي مالي امروز مي باشد. شايان ذكر است كه اين روش امكان ابهام و انعطاف پذيري بيشتري را مي دهد. مولف اين بدافزار مي تواند كد تزريق را خارج از ديد انظار نگه دارد تا زماني كه مورد نيازباشد. اجرا كننده مي تواند تزريق وب را در حين اجرا روشن يا خاموش كند، به راحتي تزريق را تغيير دهد و سپس به روز رساني را به برخي يا همه قربانيان آلوده بطور آني تحميل كند.
يك انتخاب عالي براي مبهم و تاريك كردن API
زماني كه تصميم بر زنده نگه داشتن بدافزار است، روش معمول براي نويسندگان بد افزارها اضافه كردن پسيو شبكه لايه هاي حفاظتي به كد خود براي دفع كردن مهندسي معكوس است. همانطور كه انتظار ميرود، ما يكي از فنون كار گرفته شده توسط TrickBot را شناسايي كرديم: ايجاد ابهام در API.
پس از تجزيه و تحليل روش ايجاد ابهام در TrickBot ، ما دريافتيم كه آن بسيار شبيه - و به احتمال زياد از قرض گرفته شده – از ايجاد ابهام در API توسط تروجان Carberp است. كد منبع Carberp در سال 2013 به بيرون درز شد، و باعث ظهور ساير بدافزارها بر اساس DNA پيچيده آن شد. ما متوجه شديم كه TrickBot ايجاد ابهام در API را به تمام رابط هاي برنامه كاربردي اعمال نمي كند؛ و تنها بر رابط هاي برنامه كاربردي حساس تر كه توسعه دهنده مي خواهد تا پنهان شوند اعمال مي كند. اين يك روش مرموز است، چرا كه محققان ممكن است باور داشته باشند كه در حال حاضر تمام رابط هاي برنامه كاربردي استفاده شده را مي شناسند، اما در واقع رابط هاي برنامه كاربردي بيشتري وجود دارند كه بطور مخفيانه بخشي از بازي اند. روند ايجاد ابهام در اينجا بر اساس مقادير "هش" از قبل محاسبه شده ي رابط هاي برنامه كاربردي اند. فراخواني يك تابع API فقط شامل يك مقدار هش به جاي نام تابع است، و تجزيه و تحليل استاتيك را دشوارتر مي سازد، مگر اين كه محقق روش كمكي ديگري براي حل و فصل رابط هاي برنامه كاربردي اعمال كند.
شكل 3: هش WSAStartup از كد منبع Carberp
شكل 4: حل يك API توسط هش - WSAStartup.
يك راه ساده براي غلبه بر اين ايجاد ابهام استفاده از يك ديس اسمبلر تعاملي (IDA) اسكريپت پايتون مي باشد، به اين علت كه مقادير هش شده خودشان در كد منبع به بيرون درز شده ي Carberp موجود مي باشند.
پديدار شدن باگ
TrickBot از تابستان 2016 تحت آزمون بوده است. حتي قبل از آن مجهز به ويژگي هاي بدافزارهاي مالي بوده است. در ابتدا، توسعه دهندگان TrickBot به نظر مي رسد با مكانيسم تزريق وب بدافزار درگبر بوده اند، چرا كه ما با چند نمونه TrickBot روبرو شديم كه به طرز عجيبي رفتار غيرقابل پيش بيني شده اي ارائه دادند. در ابتدا، ما مشكوك شديم TrickBot از برخي حيله هاي ضد پژوهش استفاده مي كند، اما در واقعيت، مشكل اين بوذد كه آلوده شده بودند. طبق بررسي هاي ما، سوء عملكرد تزريق وب TrickBot باعث مي شد كه بدافزار به طور مداوم همان كابل كشي شبكه را بارها و بارها تزريق كند، كه منجر به تخريب عملكرد خود، بدافزار مي شد. از آنجايي كه اين رفتار در برخي از نمونه ها ناسازگار بود، ما بايد به صورت دستي يك ثابت اعمال مي كرديم تا بتوانيم به تحقيق درباره ي مكانيزم ادامه دهيم. ما نمي خواهيم به جزئيات بيشتري در اين زمان در اين باره بپردازيم، چرا كه اين اشكال در واقع مانع انجام اختلاسهاي TrickBot شد. با اين حال ما ميدانيم كه از آنجايي كه بدافزار در حال توسعه مداوم است، توسعه دهندگان ممكن است در حال حاضر اين اشكال را مورد بررسي قرار داده باشند و آن را در نمونه هاي جديدتر درست كرده باشند، و TrickBot را قادر به عملكرد هموارتري كرده باشند.
اتصال TrickBot-Dyre
به محض اينكه تروجان كشف شد، حدس و گمان هايي در مورد ارتباط TrickBot-Dyre پديد آمد و از آن زمان موضوع بحث هاي زيادي بوده است. اگر چه اين موضوع در چند وبلاگ ديگر در خصوص بررسي TrickBot ذكر شد ما مي خواهم چند نكته كليدي از تحقيقات خودمان در مورد اين تهديد جديد اضافه كنيم:
• روش تزريق وب سرورسايد در TrickBot در بدافزارهاي امروزي غير معمول است. ديگر بدافزاري كه از آن استفاده مي كرد، همان طور كه شما مي توانيد حدس بزنيد، Dyre بود.
• بسته هايي كه در طول تزريق وب سرورسايد به سرور حمله ارسال ميشد شامل سه قسمت، با عنوان "sourcelink"، "sourcequery" و "sourcehtml" بود. اين اسامي دقيقا در مكانيسم تزريق وب Dyre نيز استفاده مي شد.
• URL هاي هدف قرار داده و آدرس هاي فرمان و كنترل (C & C) نگهداري مي شوند و بر روي دستگاه آلوده رمزگذاري مي شوند. Dyre نيز چنين عملكردي داشت. در حالي كه طرح هاي رمزگذاري با TrickBot يكسان نيستند، بيش از حد شبيه اند كه بخواهيم آن را يك تصادف صرف تلقي كنيم.
• TrickBot ليست URL هاي مورد نظر را به ماژول مالي خود ، كه به مرورگر با استفاده ارتباط pipe تزريق مي شود مي فرستد. اين، دوباره، مشخصه اي از مشخصه هاي Dyre است.
• ساختار URL هاي مورد هدف در تنظيمات معمولا براي هر بدافزار ثابت است و مشخصات هدف TrickBot – همانطور كه حدس مي زنيد - كاملا به Dyre شباهت دارد.
اگر چه تشابهاتي وجود دارد، در نظر داشته باشيد كه بسياري از آنها نسبتا به سادگي قابل تقليد هستند. به عنوان مثال، اگر چه روش تزريق وب سرورسايد بين هر دو تروجان مشترك است، اما كد اجراي اين قابليت و سبك رمزگذاري عملا متفاوت است.
اهميت اين مطلب اين است كه مي توانيم بفهميم كه بدافزار هاي جديد و پيشرفته پسيو شبكه به سرعت و به طور موثر در حال توسعه اند، چه توسط همان توسعه دهندگان هميشگي و چه توسط تازه واردان الهام گرفته از يكي از باندهاي نابكار در تاريخ جرايم اينترنتي.
به روز رساني دقيقه نود: حملات تغيير مسير!
توسعه دهندگان TrickBot گويا اين روزها براي ارتقاي بدافزار براي يك آلوده سازي به صورت زنده با هدف بانك ها سخت مشغول كار باشند. درست هنگامي كه در صدد انتشار اين پست بوديم، يك آلوده سازي جديد با تنظيمات جديد كه بانكهاي انگلستان را مورد هدف قرار داد را شناسايي كرديم. تا به حال، TrickBot تنها بانك هاي استراليا هدف قرار داده بودند. علاوه بر اين، برخي از اين اهداف جديد انگليسي مورد حملات تغيير مسير قرار گرفتند، در حالي كه تا به حال TrickBot تنها به دست به حمله هاي تزريق وب سرورسايد زده بود. حمله تغيير مسير، بطور خلاصه، به اين معني است كه به جاي تزريق كد هاي مخرب به صفحه وب اصلي، قرباني به يك سايت جديد جعلي توسط كلاهبرداران هدايت مي شود. اين سايت دقيقا مانند وب سايت اصلي به نظر مي رسد و مرورگر يك اتصال لايه امن سوكت (SSL) بر اساس گواهي سايت اصلي نشان مي دهد.
براي كسب اطلاعات بيشتر در مورد حملات تغيير مسير و هدف آنها، به وبلاگ ما در مورد Dridex و GozNym سري بزنيد.
يك تازه وارد به عرصه تروجان
TrickBot بدون شك كار حرفه اي هايي است كه مدتي است در عرصه تروجان بانكي فعاليت داشته اند. اين كلاهبردارانِ با تجربه، ظاهرا در ويژگي هاي مدرن معمول در انواع بدافزار هايي كه بانكها مي توانند متصور شوند مهارت دارند. انتظار مي رود كه اين تروجان تكنيك هاي ضد امنيتي و ضد پژوهشي اش را تكميل كند و در آلوده سازي هاي بيشتري تا پايان سال ظاهر شود..
- پنجشنبه ۳۰ فروردین ۹۷ ۰۸:۳۳
- ۱۳۲ بازديد
- ۰ نظر