Avertissement! Le cheval de Troie TrickBot améliore les techniques pour éviter la détection
Le cheval de Troie TrickBot ne semble jamais se démoder. Ce qui a commencé comme un cheval de Troie bancaire sophistiqué mais relativement unidimensionnel s'est transformé en un couteau suisse polyvalent d'une boîte à outils malveillante. De nouvelles recherches sur TrickBot montrent que le malware est en constante augmentation, tant en ce qui concerne son activité que sa protection toujours croissante contre la détection.
Les chercheurs en sécurité d'IBM Trusteer ont sélectionné des échantillons récemment interceptés de TrickBot et ont publié un rapport sur les façons de plus en plus complexes dont le malware cache son activité et gère ses injections de code. Le document décrit quatre méthodes différentes que TrickBot utilise pour éviter la détection.
Table des matières
Suppression des injections locales
Alors que les chercheurs peuvent être en mesure d'analyser les injections de code utilisées par TrickBot qui sont stockées localement sur l'appareil compromis, les choses deviennent beaucoup plus difficiles lorsque le logiciel malveillant appelle du code et injecte directement depuis ses serveurs. TrickBot utilise soit un chargeur JS pour récupérer l'injection appropriée à partir de ses serveurs de commande et de contrôle.
Interaction sécurisée avec le serveur de commande
Lors de l'envoi de requêtes à son serveur C2, TrickBot utilise HTTPS et implémente le drapeau "unsafe-url" dans la politique de référence. Cet indicateur est probablement utilisé pour informer le serveur C2 de la page spécifique que l'utilisateur a ouverte dans son navigateur afin que l'injection de code correspondante puisse être renvoyée.
De plus, TrickBot peut détourner les fonctions de vérification de certificat de l'appareil victime, supprimant toutes les erreurs pouvant résulter de la communication malveillante déclenchée par le bot.
Capacités anti-débogage
TrickBot a également implémenté un nouveau script anti-débogage. L'anti-débogueur recherche le code appartenant à TrickBot qui a été modifié et "embelli" pour le rendre plus lisible pour les humains, ont déclaré les chercheurs d'IBM. Le logiciel malveillant utilise des commandes RegEx pour vérifier le code qui a été nettoyé et converti à partir de Base64, avec des espaces et de nouvelles lignes ajoutées pour le rendre plus attrayant.
Si l'anti-débogueur découvre que le code a été retouché par des chercheurs et "embelli", il lance le malware dans une boucle qui plante le navigateur très rapidement, en surchargeant la mémoire.
Code d’obscurcissement
Par défaut, le code utilisé pour l'injection par TrickBot est toujours encodé en Base64. En plus de cela, le logiciel malveillant utilise des étapes supplémentaires pour chiffrer et masquer son code.
Du code mort est également injecté entre des expressions légitimes, comme le font d'autres logiciels malveillants, pour rendre plus difficile la détermination du véritable objectif des modules du logiciel malveillant.
Le code est raccourci et « laid » pour le rendre inintelligible à l'œil nu, tout en conservant ses capacités malveillantes. Les chaînes dans les fonctions sont déplacées vers des tableaux, puis cryptées, ce qui rend le travail des chercheurs encore plus difficile. Les valeurs attribuées aux variables sont délibérément représentées non pas comme des nombres entiers mais comme des hexagones, souvent dans des expressions absurdes. Un exemple fourni par les chercheurs est une valeur de zéro initialisée dans le code à l'aide de la chaîne (0x130 * 0x11 + -0x17f5 + 0x2e * 0x15, -0x24a5 + 0x68e * -0x4 + 0x3edd, -0x17f1 + -0x99b * 0x3 + 0x34c2) .
TrickBot est une centrale électrique dans le monde des outils malveillants depuis des années et il ne montre aucun signe réel de ralentissement ou de disparition. Il y a eu des tentatives pour supprimer son infrastructure malveillante, mais le succès a été très limité et il semble que le logiciel malveillant soit toujours aussi puissant, des années après son lancement initial.