.Default.reDropDownBody { min-width: 60px; }
En
چهارشنبه, 29 شهريور 1396
  • En
عنوان : شگردهای تجارت: نگاهی عمیق تر به طرح TrickBot
کد خبر : ۲۱۴۴
تاريخ :
 ۱۳۹۵/۱۱/۰۶ 
ساعت : ۱۴:۰:۳۰

امتیاز :  ۴/۵۰ |  مجموع :  ۲



TrickBot یک تروجان جدید بانکی است که به نظر می رسد جانشین Dyre که در اکتبر 2016 پدیدار شد می باشد. کد TrickBot تحت آزمون های های پیشرونده  از آگوست 2016 بوده است و همچنان در حال بروزرسانی بوده و هم اکنون ، حمله های جعل و آلوده سازی ها. از نظر داخلی،  TrickBot بیش از چیزی است که با چشم دیده می شود. در این پست پژوهشی، ما به برخی از نکات قابل توجه در مورد قابلیت های این بدافزارها می پردازیم، شامل:
•    یک روش غیر معمول انجام حملات مرد در مرورگر (MitB)
•    مکانیسم باگ تزریق به وبِ  TrickBot  (web injection)
•    مبهم سازی ظریف رابط کاربردی برنامه نویسی(API) توسط  توسعه دهنده.
•    اعتقاد ما در رابطه با ارتباط مشکوک TrickBot-Dyre
برای تجزیه و تحلیل، نمونه ای که ما مورد استفاده قرار دادیم به شرح زیر بود:
 5e363a42d019fc6535850a2867548f5b968d68952e1cddd49240d1f426debb73
تکنیک غیر معمول مرد در مرورگر
امروزه اکثر خانواده های بدافزارهای مالی امروزی میتوانند کد مخرب را به جلسات مرورگری که در جریان است تزریق کنند. (به عنوان مثال حملات مرد در مرورگر و تزریق به وب) رایج ترین روش توسعه دهندگان بدافزارها در پیاده سازی تزریق، نصب کردن آنها را به صورت محلی در دستگاه قربانی است. این بدافزار یک فایل پیکربندی محلی برای تزریق نگه می دارد ،که تعیین می کند دقیقا چه زمانی و چگونه بدافزار محتویات صفحات وب بانک مورد هدف را تغییر دهد. روش پیشرفته تر و غیر معمول تر برای رسیدن به نتیجه مشابه "فچ" کردن دستورالعمل تزریق از سرور مهاجم در زمان واقعی است. این روشی است که توسعه دهندگان TrickBot معمولا استفاده می کنند. این روش به عنوان تزریق سرورساید (serverside)  نیز شناخته شده است.
بدین منظور و کاملا مانند دیگر تروجانهای بانکی پیشرفته، TrickBot یک موتور اتصال به مرورگر طراحی شده برای رهگیری ارتباطات به / از مرورگر اینترنت قربانی را بکار می گیرد. با ترفند فچینگ در زمان واقعی، عملا تزریق های کد های مخرب به صورت امن بر روی سرور مهاجم نگه داشته شده، نه در یک فایل بر روی نقطه پایانی قربانی. هنگامی که یک قربانی یکی از URL های مورد نظر TrickBot را در مرورگر باز میکند، اتفاقی که می افتد به شرح زیر است:
1.    ماژول مالی TrickBot پاسخ HTTP اصلی را قبل از اینکه به قربانی ارائه شود قطع می کند.
2.    TrickBot یک بسته HTTP چند بخشی به C2 خود می فرستد همراه با بخش های ذیل:
1-    "sourcelink" URL کامل که موجب این حمله می شود
2-    "sourcequery" عبارت جستجوی HTTP کامل مرورگر
3-    "sourcehtml"  HTMLاصلی همانگونه که توسط یک مرورگر غیر آلوده نمایش داده می شود.
3.    C2 با محتوای کامل HTML که به مرورگر قربانی نمایش داده میشود پاسخ داده، از جمله بخش های تزریق شده.
4.    در نهایت، ماژول مالی TrickBot جایگزین پاسخ اصلی ای که به طور معمول از بانک، همراه با پاسخ C2 به دست می آید شده، و صفحه تزریق شده در طرف قربانی نمایش داده میشود.
روش تزریق سرورساید دارای مزایای بیشتری از مکانیسم استاندارد محلی استفاده شده توسط بسیاری از بدافزارهای مالی امروز می باشد. شایان ذکر است که این روش امکان ابهام و انعطاف پذیری بیشتری را می دهد. مولف این بدافزار می تواند کد تزریق را خارج از دید انظار نگه دارد تا زمانی که مورد نیازباشد. اجرا کننده می تواند تزریق وب را در حین اجرا روشن یا خاموش کند، به راحتی تزریق را تغییر دهد و سپس به روز رسانی را به برخی یا همه قربانیان آلوده بطور آنی تحمیل کند.
 


شکل 1: TrickBot در حین اتصال به توابع شبکه فایرفاکس برای قادر ساختن MITB به رهگیری




شکل 2: تزریق وب سرورساید توسط TrickBot

یک انتخاب عالی برای مبهم و تاریک کردن API
زمانی که تصمیم بر زنده نگه داشتن بدافزار است، روش معمول برای نویسندگان بد افزارها اضافه کردن لایه های حفاظتی به کد خود برای دفع کردن مهندسی معکوس است. همانطور که انتظار میرود، ما یکی از فنون کار گرفته شده توسط TrickBot را شناسایی کردیم:  ایجاد ابهام در API.
پس از تجزیه و تحلیل روش ایجاد ابهام در TrickBot ، ما دریافتیم که آن بسیار شبیه - و به احتمال زیاد از قرض گرفته شده – از ایجاد ابهام در API توسط  تروجان Carberp  است. کد منبع Carberp در سال 2013 به بیرون درز شد، و باعث ظهور سایر بدافزارها بر اساس DNA پیچیده آن شد. ما متوجه شدیم که TrickBot ایجاد ابهام در API را به تمام رابط های برنامه کاربردی اعمال نمی کند؛ و  تنها بر رابط های برنامه کاربردی حساس تر که توسعه دهنده می خواهد تا پنهان شوند اعمال می کند. این یک روش مرموز است، چرا که محققان ممکن است باور داشته باشند که در حال حاضر تمام رابط های برنامه کاربردی استفاده شده را می شناسند، اما در واقع رابط های برنامه کاربردی بیشتری وجود دارند که بطور مخفیانه بخشی از بازی اند. روند ایجاد ابهام در اینجا بر اساس مقادیر "هش" از قبل محاسبه شده ی رابط های برنامه کاربردی اند. فراخوانی یک تابع API فقط شامل یک مقدار هش به جای نام تابع است، و تجزیه و تحلیل استاتیک را دشوارتر می سازد، مگر این که محقق روش کمکی دیگری برای حل و فصل رابط های برنامه کاربردی اعمال کند.
 


شکل 3: هش WSAStartup از کد منبع Carberp

 


شکل 4: حل یک API توسط هش - WSAStartup.


یک راه ساده برای غلبه بر این ایجاد ابهام استفاده از یک دیس اسمبلر تعاملی  (IDA)  اسکریپت پایتون می باشد، به این علت که مقادیر هش شده خودشان در کد منبع به بیرون درز شده ی Carberp موجود می باشند.

پدیدار شدن باگ
TrickBot از تابستان 2016 تحت آزمون بوده است. حتی قبل از آن مجهز به ویژگی های بدافزارهای مالی بوده است. در ابتدا، توسعه دهندگان TrickBot به نظر می رسد با مکانیسم تزریق وب بدافزار درگبر بوده اند، چرا که ما با چند نمونه TrickBot روبرو شدیم که به طرز عجیبی رفتار غیرقابل پیش بینی شده ای ارائه دادند. در ابتدا، ما مشکوک شدیم TrickBot از برخی حیله های ضد پژوهش استفاده می کند، اما در واقعیت، مشکل این بوذد که آلوده شده بودند. طبق بررسی های ما، سوء عملکرد تزریق وب TrickBot باعث می شد که بدافزار به طور مداوم همان کد را بارها و بارها تزریق کند، که منجر به تخریب عملکرد خود، بدافزار می شد. از آنجایی که این رفتار در برخی از نمونه ها ناسازگار بود، ما باید به صورت دستی یک ثابت اعمال می کردیم تا بتوانیم به تحقیق درباره ی مکانیزم ادامه دهیم. ما نمی خواهیم به جزئیات بیشتری در این زمان در این باره بپردازیم، چرا که این اشکال در واقع مانع انجام اختلاسهای TrickBot شد. با این حال ما میدانیم که از آنجایی که بدافزار در حال توسعه مداوم است، توسعه دهندگان ممکن است در حال حاضر این اشکال را مورد بررسی قرار داده باشند و آن را در نمونه های جدیدتر درست کرده باشند، و TrickBot را قادر به عملکرد هموارتری کرده باشند.
اتصال TrickBot-Dyre
به محض اینکه تروجان کشف شد، حدس و گمان هایی در مورد ارتباط TrickBot-Dyre پدید آمد و از آن زمان موضوع بحث های زیادی بوده است. اگر چه این موضوع در چند وبلاگ دیگر در خصوص بررسی TrickBot ذکر شد ما می خواهم چند نکته کلیدی از تحقیقات خودمان در مورد این تهدید جدید اضافه کنیم:
•    روش تزریق وب سرورساید  در TrickBot در بدافزارهای امروزی غیر معمول است. دیگر بدافزاری که از آن استفاده می کرد، همان طور که شما می توانید حدس بزنید، Dyre بود.
•    بسته هایی که در طول تزریق وب سرورساید  به سرور حمله ارسال میشد شامل سه قسمت، با عنوان "sourcelink"، "sourcequery" و "sourcehtml" بود. این اسامی دقیقا در مکانیسم تزریق وب Dyre نیز استفاده می شد.
 


شکل 5: TrickBot و Dyre هر دو از "sourcelink" و "sourcequery" برای ارتباطات خود استفاده می کردند.

•    URL های هدف قرار داده و آدرس های فرمان و کنترل (C & C) نگهداری می شوند و بر روی دستگاه آلوده رمزگذاری می شوند. Dyre نیز چنین عملکردی داشت. در حالی که طرح های رمزگذاری با TrickBot یکسان نیستند، بیش از حد شبیه اند که بخواهیم آن را یک تصادف صرف تلقی کنیم.
•    TrickBot لیست URL های مورد نظر را به ماژول مالی خود ، که به مرورگر با استفاده ارتباط pipe تزریق  می شود می فرستد. این، دوباره، مشخصه ای از مشخصه های  Dyre است.
•    ساختار URL های مورد هدف در تنظیمات معمولا برای هر بدافزار ثابت است و مشخصات هدف  TrickBot – همانطور که حدس می زنید - کاملا به  Dyre شباهت دارد.
اگر چه تشابهاتی وجود دارد، در نظر داشته باشید که بسیاری از آنها نسبتا به سادگی قابل تقلید هستند. به عنوان مثال، اگر چه روش تزریق وب سرورساید  بین هر دو تروجان مشترک است، اما کد اجرای این قابلیت و سبک رمزگذاری عملا متفاوت است.
اهمیت این مطلب این است که می توانیم بفهمیم که بدافزار های جدید و پیشرفته به سرعت و به طور موثر در حال توسعه اند، چه توسط همان توسعه دهندگان همیشگی و چه توسط تازه واردان الهام گرفته از یکی از باندهای نابکار در تاریخ جرایم اینترنتی.
به روز رسانی دقیقه نود: حملات تغییر مسیر!
توسعه دهندگان TrickBot گویا این روزها برای ارتقای بدافزار برای یک آلوده سازی به صورت زنده با هدف بانک ها سخت مشغول کار باشند. درست هنگامی که در صدد انتشار این پست بودیم، یک آلوده سازی جدید با تنظیمات جدید که بانکهای انگلستان را مورد هدف قرار داد را شناسایی کردیم. تا به حال، TrickBot تنها بانک های استرالیا هدف قرار داده بودند. علاوه بر این، برخی از این اهداف جدید انگلیسی مورد حملات تغییر مسیر قرار گرفتند، در حالی که  تا به حال TrickBot تنها به دست به حمله های تزریق وب سرورساید زده بود. حمله تغییر مسیر، بطور خلاصه، به این معنی است که به جای تزریق کد های مخرب به صفحه وب اصلی، قربانی به یک سایت جدید جعلی توسط کلاهبرداران هدایت می شود. این سایت دقیقا مانند وب سایت اصلی به نظر می رسد و مرورگر یک اتصال لایه امن سوکت (SSL) بر اساس گواهی سایت اصلی نشان می دهد.
برای کسب اطلاعات بیشتر در مورد حملات تغییر مسیر و هدف آنها، به وبلاگ ما در مورد Dridex و GozNym سری بزنید.
یک تازه وارد به عرصه تروجان
TrickBot بدون شک کار حرفه ای هایی است که مدتی است در عرصه تروجان بانکی فعالیت داشته اند. این کلاهبردارانِ با تجربه، ظاهرا در ویژگی های مدرن معمول در انواع بدافزار هایی که بانکها می توانند متصور شوند مهارت دارند. انتظار می رود که این تروجان تکنیک های ضد امنیتی و ضد پژوهشی اش را تکمیل کند و در آلوده سازی های بیشتری تا پایان سال ظاهر شود..




نمایش تعداد بازدیدها : 928

بازگشت           چاپ چاپ         
 
go top

© تمامی حقوق این پورتال محفوظ و در اختیار گروه دوران می باشد. Copyright 2000 — 2016 DOURAN Information Technologies All rights reserved.

DOURAN Portal V4.0.0.0

V4.0.0.0