تروجان بانکی TrickBot
قسمت اول
در هفته گذشته مرکز ماهر در ارتباط با فعالیت ده خانواده از باج افزارها هشدار داد. یکی از آنها TrickBot بود با ما باشید تا این بدافزار بانکی را به شما معرفی کرده و راهکارهای موثر برای جلوگیری از آلودگی به این بدافزار را به شما بگوییم. TrickBot اولین بدافزاری است که در بروزرسانی داشبورد امنیتی آرمان داده پویان معرفی میشود. در این داشبورد امنیتی به معرفی انواع تهدیدات امنیت پرداختهایم. همانطور که گفتیم TrickBot یک بدافزار بانکی است و هدف آن سرقت اطلاعات مالی قربانی است، همچنین این تروجان در صورت نفوذ به سیستم قربانی به عنوان حامل بدافزارهای دیگر نیز عمل مینماید. توسعه دهندگان این تروجان بانکی به صورت پیوستهای در حال انتشار ماژولها و نسخههای جدید برای این بدافزار هستند. در ارتباط با روشهای انتشار آن نیز بایستی بگوییم بازهم رایانامه! به راه انداختن کمپینهایی برای انتشار TrickBot از طریق رایانامه و قانع کردن کاربر برای رفتن به وبسایتهای مخرب و بارگذاری بدافزار و یا دریافت این بدافزار به عنوان پیوست رایانامه. همچنین TrickBot به عنوان سرآیند ثانویه توسط مابقی بدافزارها منتشر میگردد، یکی از معروفترین آنها Emotet میباشد. همچنین برخی از ماژولهای TrickBot از پروتکل SMB برای انتشار این بدافزار در شبکه استفاده میکنند. در ادامه توضیحات بیشتری در ارتباط با نحوه عملکرد این بدافزار به شما خواهیم داد.
نحوه عملکرد TrickBot
در ارتباط با نحوه عملکرد TrickBot بایستی بگوییم چندان روشهای جدیدی در آن به کار نرفته و تقریبا تمامی روشها قبلا نیز بارها توسط بدافزارهای دیگر مورد استفاده قرار گرفتهاند. از لحظه رسیدن رایانامه به قربانی شروع کنیم. همانطور که گفتیم از مهندسی اجتماعی برای راضی کردن قربانی برای گشودن هرزنامه ارسالی استفاده شده است. چون TrickBot یک تروجان مالی است توسعه دهندگان آن نیز ترجیح دادهاند این بدافزار را عموما در قالب صورت حساب مالی ارسال نمایند پس شاید بتوان نتیجه گرفت اگر بخواهند به صورت هدفمند از این بدافزار استفاده کنند کارکنان واحدهای مالی سازمان اهداف جذابی خواهند بود. پیوست این هرزنامهها عموما یک فایل ورد یا اکسل است زمانی که باز میشوند اگر قربانی با اجرای ماکرو موافقت کند یک VBScript به اجرا درمیآید و بعد از آن یک اسکریپت پاورشل که وظیفهاش بارگذاری یک بدافزار است. TrickBot با انجام یک روند بررسی مطمئن میشود که در محیط سندباکش قرار ندارد و بعد ضد ویروس سیستم قربانی را غیر فعال مینماید. بعد از یک بار اجرا این بدافزار مجددا در پوشه “%AppData%” مستقر شده و با تنظیم یک فرآیند زمان بندی شده باعث ایجاد یک تداوم برای این بدافزار میگردد.
حال نوبت آن رسیده تا وب سایتهایی که این بدافزار به آنها درخواست HTTP ارسال مینماید تا آدرس IP عمومی قربانی را به دست بیاورد معرفی نماییم:
- hxxp://myexternalip.com/raw
- hxxp://api.ipify.org
- hxxp://icanhazip.com
- hxxp://bot.whatismyipaddress.com
- hxxp://ip.anysrc.net/plain/clientip
خب پس از طی این مراحل نوبت به دریافت دستورات لازم از سرور C2 رسیده است و حال بدافزار آماده بارگذاری ماژولها میباشد. این ماژولها به همراه یک فایل پیکربندی به سمت قربانی ارسال میگردند، آنها به صورت DLL که مخفف Dynamic Link Libraries هستند ارسال میشوند. سرور C2 بعد از آنکه اطلاعات سیستم قربانی را دریافت کرد یک تاریخ انقضا و یک آدرس IP جدید برای دریافت ماژولهای بعدی را به سمت بدافزار TrickBot ارسال میکند. سرور C2 مرتبا عوض میشود و TrickBot هم از درخواستهای GET و POST برای بارگذاری ماژولها و ارسال اطلاعات مالیای که دزدیده است به سرور C2 استفاده مینماید. این بدافزار از دو روش تزریق وب در ادامه استفاده مینماید. حملات تغییر مسیر “redirection attacks” و تزریق در سمت سرور “ server side injection” دو روشی هستند که این بدافزار با استفاده از آنها اطلاعات مالی را از نشستهای آنلاین بانکی قربانی را سرقت مینماید.
- حملات تغییر مسیر: در این حمله قربانیان به سمت وب سایت بانکی تقلبی که بر روی یک CTA که مخفف Cyber Threat Actors است وجود دارد، تغییر مسیر داده میشوند و اطلاعات ورودی آنها به سرقت میرود.
- حملات تزریق سمت سرور: در این حمله در واقع با قرار گرفتن بین قربانی و بانک، در پاسخهایی که از سمت بانک ارسال میشود عملیات جست و جو صورت گرفته و به آن کدهای سمت کاربر اضافی تزریق میگردد و از این طریق میتوان اعتبار نامههای بانکی قربانی را به سرقت برد. در نتیجه به جای استفاده از keylogger برای دریافت این اطلاعات، این اطلاعات حساس در فرم HTML به دست میآیند.
از دیگر خصوصیات TrickBot اگر بخواهیم برای شما بگوییم میتوانیم از برچسب gtags صحبت کنیم. این برچسب توسط توزیع کنندگان برای مشخص کردن کمپین TrickBot استفاده میشود. زمانی که TrickBot با سرور C2 خود ارتباط برقرار مینماید gtag و یک شناسه یکتا bot در URL آورده میشود.
حالا کمی هم در ارتباط با ماژولهای این بدافزار صحبت کنیم. ماژولهایی که در ابتداگفتیم توسط توسعه دهندگان به صورت مداوم بروزرسانی میشوند. این ماژولها اطلاعات بانکی را سرقت کرده، شناسایی سیستم/شبکه را انجام داده، اعتبارنامهها را جمع آوری مینمایند (credential harvesting). در ادامه مروری بر روی یک سری از ماژولهای رایج این بدافزار خواهیم داشت اما در نظر داشته باشید همانطور که گفتیم این ماژولها دائما توسط توسعه دهندگان این بدافزار در حال بروزرسانی هستند و ویژگیهای جدیدی به آنها افزوده میشود.
ماژولهای سرقت کننده اطلاعات بانکی
- LoaderDll/InjectDll: پایش فعالیتهای بانکی و استفاده از حملات تزریق وب برای سرقت اطلاعات بانکی
- Sinj: این فایلها شامل اطلاعاتی در ارتباط با بانکهای آنلاین میباشند.
- Dinj: با استفاده از حملات تزریق در سمت سرور کدهایی را در پاسخهای سمت بانک تزریق مینماید که در سمت کاربر منجر به دسترسی به اطلاعات حساس کاربر میگردد.
- Dpost: حاوی آدرس IP و پورتها برای اطلاعات سرقت شده بانکی میباشد.
شناسایی سیستم/شبکه
- Systeminfo: جمع آوری اطلاعات سیستم
- Mailsearfcher: مقایسه تمامی فایلها بر روی دیسک بر ضد یک فهرست از پسوندها
- NetworkDll: جمع آوری اطلاعات و نقشههای بیشتر از شبکه
جمع آوری اطلاعات کاربران و اعتبار نامهها
- ModulleDll/ImportDll: جمع آوری دادههای مرورگر مانند کوکیها، و پیکربندی ناوشگرها
- DomainDll: استفاده از LDAP برای جمع آوری اعتبارنامهها و دادههای پیکربندی از کنترل کننده دامنه با دسترسی به فایلهای SYSVOL اشتراکی
- OutlookDll: جمع آوری اطلاعات احراز هویت Microsoft Outlook با استفاده از کلیدهای متعدد رجیستری
- SqulDll: از Mimikatz برای جمع آوری اعتبارنامهها استفاده میکند. ماژول کرمی (worming modules) از این اطلاعات احراز هویت برای انتشار TrickBot در شبکه استفاده مینماید.
- Pwgrab: سرقت اطلاعات احراز هویت، تاریخچه و مابقی اطلاعات از مرورگرها
انتشار در شبکه
- WormDll and ShareDll: این ماژول با استفاده از پروتکل SMB و LDAP بدافزار TrickBot را در شبکه منتشر مینماید.
- TabDll: با استفاده از اکسپلویت EternalRomance و از طریق SMB در شبکه منتشر میگردد.
سخن آخر
تا اینجا با تروجان بانکی TrickBot به خوبی آشنا شدید، ویژگیهای ماژولهای رایج آن را دیدید و به هدف اصلی این بدافزار که سرقت اطلاعات حساس مالی قربانیان است پی بردید در آخر یک سری پیشنهاد ارائه مینماییم تا بتوانید سطح امنیت شبکهتان را در برابر بدافزارهایی از این دست بالا ببرید:
- از ضد ویروسهای معتبر هم در سمت کاربران هم سرورها استفاده نمایید
- ضد ویروسی که استفاده میکنید قابلیت دریافت خودکار بروزرسانیها و امضاها را داشته باشد
- تمامی ماکروها را غیرفعال نمایید به جز آنهایی که دیجیتالی امضا شدهاند.
- وصلههای امنیتی را به موقع نصب نمایید.
- از راهکارهای امنیت رایانامه حتما استفاده نمایید
- به کاربرانتان تنها در حد نیازشان دسترسی دهید
- به کاربران سازمانتان روشهای مهندسی اجتماعی را به خوبی توضیح دهید تا قربانی چنین حملاتی تا حد امکان نشوند
آرمان داده پویان نمایندگی پلاتینیوم کسپرسکی در ایران
ارائه دهنده انواع راهکارهای امنیتی
برای مشاوره و کسب اطلاعات بیشتری با کارشناسان ما
تماس بگیرید