بدافزارها

بدافزار TrickBot
۲۷ اردیبهشت ۱۳۹۹

بدافزار TrickBot


بخش دوم

بدافزار TrickBot که با اسامی Trojan.TrickBot، TRICKSTER و یا TrickLoader نام‌گذاری شده است، نوعی تروجان بانکی است که برای اولین بار در سال ۲۰۱۶ منتشر گردید. این تروجان که کاربران ویندوزی را هدف قرار داده است تشابه بسیار زیادی با تروجان بانکی Dyreza دارد و بسیاری از خصیصه‌های آن را به ارث برده است. به عقیده متخصصین کسپرسکی، TrickBot بر اساس Dyreza مجدداً برنامه‌نویسی شده است. اما برخلاف Dyreza قادر به انجام عملیات تزریق وب نیز می‌باشد. این بدافزار علاوه بر اینکه بسیاری از بانک‌های بین‌المللی را از طریق تکنیک‌های تزریق وب مورد هدف قرار داده است، قادر به سرقت کیف پول بیت‌کوین نیز می‌باشد. برخی دیگر از قابلیت‌های این بدافزار شامل استخراج رایانامه‌ها و اطلاعات هویتی با استفاده از ابزار Mimikatz می‌باشد. آنطور که پیداست توسعه‌دهندگان TrickBot توانایی ویژه‌ای در افزودن ویژگی‌های جدید و توسعه این بدافزار دارند. تروجان TrickBot با تعدادی ماژول به همراه یک فایل پیکربندی ارائه می‌شود. هر ماژول وظیفه خاصی مثل برقراری پایداری، انتشار، سرقت اطلاعات، رمزگذاری و … دارد. سرورهای فرمان و کنترل (C&C) این بدافزار بر روی مسیریاب‌های بی‌سیم هک شده تنظیم شده‌اند.

نشانه‌های آلودگی

هیچ‌گونه علائم آلودگی به تروجان TrickBot برای کاربر معمولی قابل مشاهده نمی‌باشد. اما هنگامی که بدافزار برای دریافت دستورات و یا تبادل اطلاعات با سرور فرمان و کنترل (C&C) خود ارتباط می‌گیرد، مدیر شبکه قادر است تغییرات موجود در ترافیک شبکه یا تلاش برای ارتباط با آی‌پی‌ها و دامنه‌های غیرمجاز را رصد نماید. تروجان TrickBot با ایجاد یک وظیفه زمان‌بندی شده در سیستم قربانی، به صورت پایدار باقی می‌ماند.

نوع و منشأ آلودگی

تروجان TrickBot بر روی سرقت اطلاعات بانکی تمرکز دارد. این بدافزار معمولا از طریق کمپین‌های هرزنامه‌ای منتشر می‌شود. همچنین امکان انتشار آن از طریق اکسپلویت EternalBlue (آسیب‌پذیری MS17-010) وجود دارد. گفتنی است که اکسپلویت EternalBlue (CVE-2017-0144 / MS17-010) برای اولین بار در سال ۲۰۱۷ به صورت عمومی افشا گردید که قبل از آن در اختیار سازمان جاسوسی امریکا (NSA) قرار داشت. مهاجمین سایبری با بهره‌گیری از این اکسپلویت و سوءاستفاده از آسیب‌پذیری بحرانی بر روی پروتکل SMBv1 (پورت ۴۴۵) ویندوز می‌توانستند بر روی سیستم قربانی کد دلخواه خود را از راه دور اجرا نمایند. باج‌افزار معروف واناکرای با استفاده از همین آسیب‌پذیری توانست در مدت کوتاهی کاربران بسیار زیادی را در سرتاسر جهان آلوده کند. به دلیل وسعت این آسیب‌پذیری و میزان اهمیتی که داشت مایکروسافت حتی برای کاربران ویندوزهای XP و ۲۰۰۳ که منسوخ شده بودند نیز به‌روزرسانی امنیتی منتشر نمود. پس از گذشت سه سال هنوز کاربران زیادی به دلیل نصب نکردن وصله‌های امنیتی منتشر شده، همچنان توسط بدافزارها مورد حمله قرار می‌گیرند.

روش‌های دیگری که تروجان TrickBot برای انتشار خود استفاده می‌کند شامل پیوست‌های مخرب و لینک‌های جاسازی شده در اسناد آلوده است. حتی در مواردی مشاهده شده که TrickBot توسط تروجان Emotet نیز در سیستم قربانی رهاسازی شده است.

نحوه سرقت اطلاعات حساب‌های بانکی

تروجان TrickBot از دو تکینک عمده برای اغوای کاربران و سرقت اطلاعات حساب‌های بانکی آنان استفاده می‌کند. تکنیک اول که از آن به عنوان تزریق ایستا (Static Injection) یاد می‌شود عبارت است از ساخت صفحه ورود جعلی مشابه با نمونه واقعی آن. اما تکنیک دوم که تزریق پویا (Dynamic Injection) نام دارد، مرورگر وب کاربر را به نحوی به سمت سرور تحت کنترل بدافزارنویسان هدایت می‌کند. در هر دو حالت اگر قربانی اطلاعات کاربری خود رو در صفحه جعلی وارد نماید، اطلاعات وی به سرقت خواهند رفت.

پیامدها

با توجه به روشی که تروجان TrickBot از آسیب‌پذیری EternalBlue برای انتشار خود در سطح شبکه استفاده می‌کند، هر رایانه آلوده، رایانه‌هایی که قبلاً پاکسازی شده‌اند را نیز هنگام پیوستن به شبکه مجددا آلوده می‌کند. به همین دلیل مسئولین فناوری اطلاعات سازمان‌ها باید رایانه‌ها را یک به یک ایزوله کرده، وصله‌های امنیتی را نصب و آسیب‌های وارده را مرتفع نمایند. این یک فرآیند طولانی و پرزحمت است.

راهکارهای حفاظتی برای کسب ‌وکارها

  • آنتی‌ویروس کسپرسکی می‌تواند بدون دخالت کاربر، تروجان TrickBot را شناسایی و پاکسازی نماید. اما برای تأثیرگذاری بیشتر در یک رایانه متصل به شبکه می‌بایست مراحل زیر طی شود:
  • دستگاه‌های آلوده را شناسایی کنید.
  • ارتباط آن‌ها را از شبکه قطع کنید.
  • وصله‌های امنیتی مورد نیاز برای رفع آسیب‌پذیری EternalBlue را از اینجا دانلود و نصب نمایید.
  • تنظیمات مربوط به Administrative Shares را غیرفعال کنید.
  • در ویندوز سرور به صورت پیش‌فرض تعدادی پوشه Share برای دسترسی‌های مدیریتی وجود دارد. در صورتی که بدافزار TrickBot از طریق حمله Brute force موفق به یافتن گذرواژه کاربر مدیر در یک شبکه محلی شود، این بخش در اختیار بدافزار قرار خواهد گرفت. بخش ویژه IPC$ share در ویندوز توسط TrickBot مورد استفاده قرار می‌گیرد تا با کوئری گرفتن از آن، لیست دستگاه‌های متصل به سرور اشتراک فایل را استخراج نماید. هرچند این منابع اشتراک گذاشته‌شده در شبکه در سطوح مدیریتی معمولاً توسط ویژگی امنیتی ویندوز یعنی UAC قابل حفاظت می‌باشند، اما ویندوز به یک مدیر محلی (غیر دامین) اجازه عبور از آن را خواهد داد. نسخه‌های اخیر تروجان TrickBot با استفاده از اطلاعات کاربری مدیر سیستم و با بهره‌گیری از بخش‌های مخفی ویندوز از قبیل C$ share، اقدام به انتشار در سطح شبکه و آلوده‌سازی سایر رایانه‌ها می‌کنند. توصیه می‌گردد بخش Administrative Shares را از طریق رجیستری غیرفعال نمایید.
  • تروجان TrickBot را حذف کنید.
  • اطلاعات حساب‌های کاربری و گذرواژه‌ها را تغییر دهید.

روش شناسایی دستگاه آلوده

ابزار FRST را برای یافتن نشانه‌های آلودگی (IOC) احتمالی بر روی یک دستگاه اجرا کنید. از این ابزار علاوه بر تأیید آلودگی یک رایانه در شبکه می‌توان برای اطمینان از عدم آلودگی یا پاکسازی موفقیت‌آمیز یک دستگاه نیز استفاده نمود.

علائم و نشانه‌ها (IOCs)

ایجاد پوشه‌ای در مسیر   %APPDATA%\Roaming برای استقرار ماژول‌ها.

برای مثال:

%APPDATA%\Roaming\winapp\Modules

%APPDATA%\Roaming\TeamViewer\Modules

سایر نشانه‌ها

C:\WINDOWS\Tasks\MsSysToken.job

C:\WINDOWS\Tasks\MSTools.job

C:\Windows\System32\Tasks\MsNetMonitor

C:\WINDOWS\Tasks\MsNetValidator.job

C:\WINDOWS\Tasks\services update.job

%APPDATA%\roaming\winapp\.exe

<< مثال C:\Users\{Username}\AppData\Roaming\winapp\546A9064.exe

%APPDATA%\roaming\winapp\client_id

<< مثال C:\Users\Adminuser\AppData\Roaming\winapp\client_id

%APPDATA%\roaming\winapp\group_tag

<< مثال C:\Users\Adminuser\AppData\Roaming\winapp\group_tag

%APPDATA%\system32\Tasks\services update

<< مثال C:\Windows\System32\Tasks\services update

%APPDATA%\system32\Tasks\MsSysToken

<< مثال C:\Windows\System32\Tasks\MsSysToken

عبارت ۱۹CA05FC17F0128 یا Mutex های مشابه

آرمان داده پویان نمایندگی پلاتینیوم کسپرسکی

برای اطلاعات بیشتر با ما تماس بگیرید


تازه ترین ها