TrickBot v100 – nowe funkcjonalności wszechstronnego malware

• boczne rozprzestrzenianie się przez sieć (wykorzystując podatność z WannaCry i NonPetya),
• kradzież zapisanych poświadczeń w przeglądarkach,
• kradzież i odszyfrowanie baz danych Active Directory – ntds.dit,
• kradzież plików cookies i kluczy OpenSSH,
• kradzież poświadczeń RDP, VNC, Putty i innych

Wiadomo również, że TrickBot często kończy atak pobierając i instalując oprogramowanie ransomware Ryuk lub Conti, aby jeszcze pogorszyć sytuację ofiary oraz zamazać dowody swojej obecności.

Nowa metoda unikania wykrycia

Po tym, jak Microsoft i ich partnerzy przeprowadzili w zeszłym miesiącu skoordynowany atak na infrastrukturę TrickBota, spodziewano się, że odzyskanie danych zajmie im trochę czasu. Niestety, gang TrickBot wciąż sobie radzi, o czym świadczy wypuszczenie setnej wersji złośliwego oprogramowania.

Najnowsza kompilacja została odkryta i opisana przez Vitalija Kremeza z Advanced Intel, który odkrył, że twórcy dodali nowe funkcje. W tej wersji TrickBot wstrzykuje swoją bibliotekę DLL do legalnego pliku wykonywalnego Windows wermgr.exe bezpośrednio z pamięci przy użyciu kodu z projektu „MemoryModule”. Wermgr.exe to zaufany program systemu operacyjnego odpowiadający za raportowanie o błędach i rekomendacjach do Microsoft, co czyni go idealną przykrywką. MemoryModule z kolei to biblioteka, której można użyć do załadowania biblioteki DLL w całości z pamięci – bez uprzedniego zapisywania jej na dysku. Projekt takiego kodu dostępny jest na GitHub:

Początkowo uruchomiony jako plik wykonywalny, TrickBot wstrzyknie się do wermgr.exe, a następnie zamknie oryginalny plik wykonywalny TrickBota:

Podczas wstrzykiwania biblioteki DLL, malware używa do tego techniki Doppel Hollowing, aby uniknąć wykrycia przez oprogramowanie zabezpieczające. Technika ta wykorzystuje transakcje, cechę NTFS, która umożliwia grupowanie zestawu działań w systemie plików, a jeśli którekolwiek z tych działań się nie powiedzie, następuje całkowite jego wycofanie. Proces odpowiedzialny za wstrzykiwanie tworzy nową transakcję, w której tworzy nowy plik zawierający złośliwy ładunek. Następnie mapuje plik w procesie docelowym i ostatecznie wycofuje transakcję. W ten sposób oszukuje systemy bezpieczeństwa, które uważają, że plik nigdy nie istniał, mimo że jego zawartość nadal znajduje się w pamięci procesu.

Jak widać, gang TrickBot nie pozwolił, aby zakłócenie ich infrastruktury powstrzymało przed rozwojem malware i nadal implementuje nowe funkcje. Niestety, oznacza to, że TrickBot jest jeszcze bardziej niebezpieczny i wszelkie organizacje czy użytkownicy końcowi muszą pozostać czujni. Najlepszą obroną przed zaawansowanym malware zawsze pozostanie niedopuszczenie do zarażenia.