TrickBot malver ima novi “trik” za izbegavanje detekcije

Od 2016, autori konstantno unapređuju ovaj trojanac.

TrickBot malver ima novi “trik” za izbegavanje detekcije

Poznati Trickbot trojanac od nedavno je dobio novu funkcionalnost - proverava rezoluciju ekrana kako bi utvrdio da li je pokrenut u virtuelnoj mašini. Malver eksperti analizu obično vrše u virtuelnom okruženju uz pomoć različitih alata. Zbog toga mnogi autori malvera koriste anti-VM tehnike. Ako se pokaže da je malver pokrenut u virtuelnoj mašini, to najverovatnije znači da je u toku istraživanje (sandbox analiza), i tada se prekida aktivnost.

Anti-VM tehnike uključuju potragu za određenim procesima, Windows servisima, imenima uređaja, čak i provere MAC adresa mrežnih kartica ili CPU funkcionalnosti. Provera rezolucije ekrana zaraženog računara je nova anti-VM tehnika koju Trickbot koristi. Ovaj malver je najpre bio klasičan bankarski trojanac, a u međuvremenu je evoluirao u multifunkcionalnu pretnju.

Neke od funkcija koje Trickbot može da izvrši su:

  • Lateralna kretnja kroz mrežu.

  • Krađa sačuvanih kredencijala iz browsera.

  • Krađa AD baze podataka.

  • Krađa cookies i OpenSSH ključeva.

  • Krađa RDP, VNC i PuTTY kredencijala.

Ukoliko se pri proveri rezolucije ispostavi da je u pitanju 800x600 ili 1024x768, Trickbot prekida aktivnost.

Trickbot

Slika 1. TrickBot proverava rezoluciju ekrana. Izvor slike: Bleeping Computer.

Zašto proverava baš ove rezolucije? Zbog toga što malver analitičari najčešće konfigurišu virtuelne mašine upravo kao 800x600 ili 1024x768. Većina njih neće instalirati VM guest softver koji im omogućava bolju rezoluciju, bolju kontrolu miša i slično zbog toga što malver uobičajeno proverava fajlove, registry unose i procese koje ovaj softver koristi. Bez tog softvera, virtuelna mašina najčešće ne dozvoljava druge rezolucije osim dve pomenute. Otuda i odluka autora Trickbota da dodaju i ovu funkcionalnost svom malveru.

U našim ranijim tekstovima možete pročitati kako su napadači distribuirali TrickBot preko Google dokumenata i detaljnije objašnjenje o tome kako TrickBot krade RDP, VNC i PuTTY kredencijale.