Малварь TrickBot получила новые функции, которые усложняют ее исследование и обнаружение. В частности, теперь вредонос способен провоцировать сбой в работе браузера при обнаружении подозрительных манипуляций.
Аналитики IBM Trusteer сообщают, что теперь TrickBot обзавелся несколькими новыми слоями защиты, предназначенными для обхода антивирусных продуктов и защиты от изучения.
Исследователи пишут, что разработчики TrickBot используют несколько уровней обфускации и base64 для скриптов, включая минимизацию, извлечение и замену строк, внедрение мертвого кода и так называемый monkey patching. В настоящее время TrickBot имеет даже слишком много уровней обфускации, что делает его анализ медленным, и тот часто дает недостоверные результаты.
Кроме того, во время инжектов вредоносных скриптов в веб-страницы (для кражи учетных данных) инъекции не задействуют локальные ресурсы на машине жертвы, а полагаются исключительно на серверы самих злоумышленников. В итоге аналитики не могут извлечь образцы малвари из памяти зараженных машин. При этом со своими управляющими серверами TrickBot взаимодействует через HTTPS, что тоже затрудняет его изучение.
Кроме того, запросы на инжекты содержат параметры, которые отмечают неизвестные источники, то есть исследователи не могут просто получить образцы малвари с управляющего сервера злоумышленников с любого эндпойнта.
И одно из главных нововведений: теперь TrickBot включает в себя антидебаггинговый скрипт, который помогает ему обнаруживать попытки анализа и вовремя провоцировать перегрузку памяти, что ведет к сбою.
Если раньше TrickBot пытался определить, изучают ли его, проверяя разрешение экрана хоста, теперь он ищет признаки «приукрашивания» кода (сode beautify). Этим термином обычно обозначают преобразование обфусцированного и иного кода в контент, который легче читается человеческим глазом и, следовательно, в нем легче найти нужное. Так, в последних версиях TrickBot используются регулярные выражения, позволяющие заметить, если один из скриптов был «приукрашен», ведь обычно указывает на то, что ИБ-исследователь анализирует малварь. Чтобы предотвратить изучение TrickBot провоцирует сбой в работе браузера.
«TrickBot использует RegEx для обнаружения beautified кода, после чего вводит себя в цикл, который увеличивает размер динамического массива при каждой итерации. После нескольких раундов память в итоге перегружается, а браузер дает сбой», — объясняют исследователи IBM Trusteer.
Источник: xakep