Die Malware hat ein Anti-Debugging-Tool hinzugefügt, das Browser-Tabs zum Absturz bringt, wenn Forscher die Code-Verschönerung zur Analyse verwenden.
Der Trojaner-Titan TrickBot hat eine auffällige Anti-Debugging-Funktion hinzugefügt, die Sicherheitsanalysen erkennt und Browser von Forschern zum Absturz bringt, bevor der bösartige Code analysiert werden kann.
Das neue Anti-Debugging-Feature wurde von Security Intelligence-Analysten bei IBM entdeckt, die über das Auftauchen einer Reihe von TrickBot-Taktiken berichteten, die darauf abzielen, die Arbeit von Sicherheitsforschern zu erschweren, einschließlich der serverseitigen Einspeisung von Injektionen und der sicheren Kommunikation mit dem Command-and-Control-Server (C2), um den Code zu schützen.
Das Intelligence-Team von IBM hat herausgefunden, dass das TrickBot-Skript Analysen erkennt, wenn ein Code-Verschönerungs-Tool angewendet wird, um den Code für menschliche Augen leichter lesbar zu machen. Sobald TrickBot das Verschönerungsprogramm erkennt, löst es eine Speicherüberlastungsreaktion aus, um die Registerkarte des Forschers zum Absturz zu bringen.
„TrickBot verwendet ein RegEx, um das verschönerte Setup zu erkennen und sich selbst in eine Schleife zu werfen, die die Größe des dynamischen Arrays bei jeder Iteration erhöht“, heißt es in dem Bericht. „Nach ein paar Runden ist der Speicher schließlich überlastet und der Browser stürzt ab.
TrickBot’s unordentlicher Code
Außerdem fanden die Forscher heraus, dass TrickBot seinen Code absichtlich „unordentlich“ macht, um Analysten zu zwingen, Verschönerungswerkzeuge zu verwenden, um ihn zu verstehen.
Dazu gehört das Hinzufügen von redundantem Code und das, was im Bericht als „Monkey Patching“ bezeichnet wird – das Patchen nativer Funktionen, um deren Verhalten so zu ändern, dass es unmöglich ist, mit statischer Analyse zu verstehen, was aktiviert wird.
„Bei der Untersuchung von verschleiertem Injektionscode kann ein Forscher zum Beispiel damit beginnen, ihn aus dem Base64-Format zu dekodieren und dann alle Literale und Funktionen für den Menschen lesbar zu machen“, erklärt das IBM-Team. „Literale Werte werden in echte Werte umgewandelt, der Code wird in Abschnitte unterteilt usw. All diese Bemühungen sind Teil der Code-Verschönerung, und TrickBot erwartet das von den Forschern, so dass es ein guter Ort ist, um sie zurückzuhalten.“
Zu den weiteren Bemühungen der Forscher, den TrickBot-Code zu verschleiern, gehören das Verschieben aller Zeichenketten in ein Array und deren Verschlüsselung, um Details über die Ausführung der Malware zu verbergen, sowie die Verwendung der Hex-Darstellung, um die Entschlüsselung zu erschweren.
TrickBot wurde 2016 auf den Markt gebracht und hat sich von einem einfachen Banking-Trojaner zu einer mächtigen Bedrohung mit allen möglichen bösartigen Fähigkeiten entwickelt, darunter Backdoor-Zugang, Datendiebstahl und Nutzdatenübertragung. Die Gruppe hat vor Kurzem auch zusätzliche Vertriebsgesellschaften hinzugefügt, die sich auf Ransomware konzentrieren.
TrickBot hat nach der Zerschlagung von Emotet im letzten Jahr an Einfluss gewonnen, nachdem die Gruppe dazu beitrug, die Malware im Umlauf zu halten, und beide Gruppen begannen zusammenzuarbeiten.
Informieren Sie sich über unsere kommenden kostenlosen Live- und On-Demand-Online-Townhalls – einzigartige, dynamische Diskussionen mit Cybersicherheitsexperten und der Threatpost-Community.
Einige Teile dieses Artikels stammen aus:
threatpost.com
Apple behebt 2 Zero-Day-Sicherheitslücken, eine davon wird in freier Wildbahn ausgenutzt