بدافزارها

بدافزار TrickBot
۱۵ مرداد ۱۳۹۸

تروجان بانکی TrickBot


قسمت اول

در هفته گذشته مرکز ماهر در ارتباط با فعالیت ده خانواده از باج افزارها هشدار داد. یکی از آن‌ها TrickBot بود با ما باشید تا این بدافزار بانکی را به شما معرفی کرده و راهکارهای موثر برای جلوگیری از آلودگی به این بدافزار را به شما بگوییم. TrickBot اولین بدافزاری است که در بروزرسانی داشبورد امنیتی آرمان داده پویان معرفی می‌شود. در این داشبورد امنیتی به معرفی انواع تهدیدات امنیت پرداخته‌ایم. همانطور که گفتیم TrickBot یک بدافزار بانکی است و هدف آن سرقت اطلاعات مالی قربانی است، همچنین این تروجان در صورت نفوذ به سیستم قربانی به عنوان حامل بدافزارهای دیگر نیز عمل می‌نماید. توسعه دهندگان این تروجان بانکی به صورت پیوسته‌ای در حال انتشار ماژول‌ها و نسخه‌های جدید برای این بدافزار هستند. در ارتباط با روش‌های انتشار آن نیز بایستی بگوییم بازهم رایانامه! به راه انداختن کمپین‌هایی برای انتشار TrickBot از طریق رایانامه و قانع کردن کاربر برای رفتن به وب‌سایت‌های مخرب و بارگذاری بدافزار و یا دریافت این بدافزار به عنوان پیوست رایانامه. همچنین TrickBot به عنوان سرآیند ثانویه توسط مابقی بدافزارها منتشر می‌گردد، یکی از معروف‌ترین آن‌ها Emotet می‌باشد. همچنین برخی از ماژول‌های TrickBot از پروتکل SMB برای انتشار این بدافزار در شبکه استفاده می‌کنند. در ادامه توضیحات بیشتری در ارتباط با نحوه عملکرد این بدافزار به شما خواهیم داد.

نحوه عملکرد TrickBot

در ارتباط با نحوه عملکرد TrickBot بایستی بگوییم چندان روش‌های جدیدی در آن به کار نرفته و تقریبا تمامی روش‌ها قبلا نیز بارها توسط بدافزارهای دیگر مورد استفاده قرار گرفته‌اند. از لحظه رسیدن رایانامه به قربانی شروع کنیم. همانطور که گفتیم از مهندسی اجتماعی برای راضی کردن قربانی برای گشودن هرزنامه ارسالی استفاده شده است. چون TrickBot یک تروجان مالی است توسعه دهندگان آن نیز ترجیح داده‌اند این بدافزار را عموما در قالب صورت حساب مالی ارسال نمایند پس شاید بتوان نتیجه گرفت اگر بخواهند به صورت هدفمند از این بدافزار استفاده کنند کارکنان واحدهای مالی سازمان اهداف جذابی خواهند بود. پیوست این هرزنامه‌ها عموما یک فایل ورد یا اکسل است زمانی که باز می‌شوند اگر قربانی با اجرای ماکرو موافقت کند یک VBScript به اجرا درمی‌آید و بعد از آن یک اسکریپت پاورشل که وظیفه‌اش بارگذاری یک بدافزار است. TrickBot با انجام یک روند بررسی مطمئن می‌شود که در محیط سندباکش قرار ندارد و بعد ضد ویروس سیستم قربانی را غیر فعال می‌نماید. بعد از یک بار اجرا این بدافزار مجددا در پوشه “%AppData%” مستقر شده و با تنظیم یک فرآیند زمان بندی شده باعث ایجاد یک تداوم برای این بدافزار می‌گردد.

حال نوبت آن رسیده تا وب سایت‌هایی که این بدافزار به آن‌ها درخواست HTTP ارسال می‌نماید تا آدرس IP عمومی قربانی را به دست بیاورد معرفی نماییم:

  • hxxp://myexternalip.com/raw
  • hxxp://api.ipify.org
  • hxxp://icanhazip.com
  • hxxp://bot.whatismyipaddress.com
  • hxxp://ip.anysrc.net/plain/clientip

خب پس از طی این مراحل نوبت به دریافت دستورات لازم از سرور C2 رسیده است و حال بدافزار آماده بارگذاری ماژول‌ها می‌باشد. این ماژول‌ها به همراه یک فایل پیکربندی به سمت قربانی ارسال می‌گردند، آن‌ها به صورت DLL که مخفف Dynamic Link Libraries هستند ارسال می‌شوند. سرور C2 بعد از آنکه اطلاعات سیستم قربانی را دریافت کرد یک تاریخ انقضا و یک آدرس IP جدید برای دریافت ماژول‌های بعدی را به سمت بدافزار TrickBot ارسال می‌کند. سرور C2 مرتبا عوض می‌شود و TrickBot هم از درخواست‌های GET و POST برای بارگذاری ماژول‌ها و ارسال اطلاعات مالی‌ای که دزدیده است به سرور C2 استفاده می‌نماید. این بدافزار از دو روش تزریق وب در ادامه استفاده می‌نماید. حملات تغییر مسیر “redirection attacks” و تزریق در سمت سرور “ server side injection”  دو روشی هستند که این بدافزار با استفاده از آن‌ها اطلاعات مالی را از نشست‌های آنلاین بانکی قربانی را سرقت می‌نماید.

  • حملات تغییر مسیر: در این حمله قربانیان به سمت وب سایت بانکی تقلبی که بر روی یک CTA که مخفف Cyber Threat Actors است وجود دارد، تغییر مسیر داده می‌شوند و اطلاعات ورودی آن‌ها به سرقت می‌رود.
  • حملات تزریق سمت سرور: در این حمله در واقع با قرار گرفتن بین قربانی و بانک، در پاسخ‌هایی که از سمت بانک ارسال می‌شود عملیات جست و جو صورت گرفته و به آن کدهای سمت کاربر اضافی تزریق می‌گردد و از این طریق می‌توان اعتبار نامه‌های بانکی قربانی را به سرقت برد. در نتیجه به جای استفاده از keylogger برای دریافت این اطلاعات، این اطلاعات حساس در فرم HTML به دست می‌آیند.

از دیگر خصوصیات TrickBot اگر بخواهیم برای شما بگوییم می‌توانیم از برچسب gtags صحبت کنیم. این برچسب توسط توزیع کنندگان برای مشخص کردن کمپین TrickBot استفاده می‌شود. زمانی که TrickBot با سرور C2 خود ارتباط برقرار می‌نماید gtag و یک شناسه یکتا bot در URL آورده می‌شود.

حالا کمی هم در ارتباط با ماژول‌های این بدافزار صحبت کنیم. ماژول‌هایی که در ابتداگفتیم توسط توسعه دهندگان به صورت مداوم بروزرسانی می‌شوند. این ماژول‌ها اطلاعات بانکی را سرقت کرده، شناسایی سیستم/شبکه را انجام داده، اعتبارنامه‌ها را جمع آوری می‌نمایند (credential harvesting). در ادامه مروری بر روی یک سری از ماژول‌های رایج این بدافزار خواهیم داشت اما در نظر داشته باشید همانطور که گفتیم این ماژول‌ها دائما توسط توسعه دهندگان این بدافزار در حال بروزرسانی هستند و ویژگی‌های جدیدی به آن‌ها افزوده می‌شود.

ماژول‌های سرقت کننده اطلاعات بانکی

  • LoaderDll/InjectDll: پایش فعالیت‌های بانکی و استفاده از حملات تزریق وب برای سرقت اطلاعات بانکی
  • Sinj: این فایل‌ها شامل اطلاعاتی در ارتباط  با بانک‌های آنلاین می‌باشند.
  • Dinj: با استفاده از حملات تزریق در سمت سرور کدهایی را در پاسخ‌های سمت بانک تزریق می‌نماید که در سمت کاربر منجر به دسترسی به اطلاعات حساس کاربر می‌گردد.
  • Dpost: حاوی آدرس IP و پورت‌ها برای اطلاعات سرقت شده بانکی می‌باشد.

شناسایی سیستم/شبکه

  • Systeminfo: جمع آوری اطلاعات سیستم
  • Mailsearfcher:  مقایسه تمامی فایل‌ها بر روی دیسک‌ بر ضد یک فهرست از پسوندها
  • NetworkDll: جمع آوری اطلاعات و نقشه‌های بیشتر از شبکه

جمع آوری اطلاعات کاربران و اعتبار نامه‌ها

  • ModulleDll/ImportDll: جمع آوری داده‌های مرورگر مانند کوکی‌ها، و پیکربندی ناوشگرها
  • DomainDll: استفاده از LDAP برای جمع آوری اعتبارنامه‌ها و داده‌های پیکربندی از کنترل کننده دامنه با دسترسی به فایل‌های SYSVOL اشتراکی
  • OutlookDll: جمع آوری اطلاعات احراز هویت Microsoft Outlook با استفاده از کلیدهای متعدد رجیستری
  • SqulDll: از Mimikatz برای جمع آوری اعتبارنامه‌ها استفاده می‌کند. ماژول کرمی (worming modules) از این اطلاعات احراز هویت برای انتشار TrickBot در شبکه استفاده می‌نماید.
  • Pwgrab: سرقت اطلاعات احراز هویت، تاریخچه و مابقی اطلاعات از مرورگرها

انتشار در شبکه

  • WormDll and ShareDll: این ماژول با استفاده از پروتکل SMB و LDAP بدافزار TrickBot را در شبکه منتشر می‌نماید.
  • TabDll: با استفاده از اکسپلویت EternalRomance و از طریق SMB در شبکه منتشر می‌گردد.

سخن آخر

تا اینجا با تروجان بانکی TrickBot به خوبی آشنا شدید، ویژگی‌های ماژول‌های رایج آن را دیدید و به هدف اصلی این بدافزار که سرقت اطلاعات حساس مالی قربانیان است پی بردید در آخر یک سری پیشنهاد ارائه می‌نماییم تا بتوانید سطح امنیت شبکه‌تان را در برابر بدافزارهایی از این دست  بالا ببرید:

  • از ضد ویروس‌های معتبر هم در سمت کاربران هم سرورها استفاده نمایید
  • ضد ویروسی که استفاده می‌کنید قابلیت دریافت خودکار بروزرسانی‌ها و امضاها را داشته باشد
  • تمامی ماکروها را غیرفعال نمایید به جز آن‌هایی که دیجیتالی امضا شده‌اند.
  • وصله‌های امنیتی را به موقع نصب نمایید.
  • از راهکارهای امنیت رایانامه حتما استفاده نمایید
  • به کاربرانتان تنها در حد نیازشان دسترسی دهید
  • به کاربران سازمانتان روش‌های مهندسی اجتماعی را به خوبی توضیح دهید تا قربانی چنین حملاتی تا حد امکان نشوند

آرمان داده پویان نمایندگی پلاتینیوم کسپرسکی در ایران

ارائه دهنده انواع راهکارهای امنیتی

برای مشاوره و کسب اطلاعات بیشتری با کارشناسان ما

تماس بگیرید


تازه ترین ها