TrickBot Menghancurkan Peramban Peneliti Keamanan di Peningkatan Terbaru

Trojan titan TrickBot telah menambahkan fitur anti-debugging mencolok yang mendeteksi analisis keamanan dan membuat crash browser peneliti sebelum kode berbahayanya dapat dianalisis.

Fitur anti-debugging baru ditemukan oleh analis Intelijen Keamanan dengan IBM, yang melaporkan munculnya berbagai Taktik TrickBot bertujuan untuk mempersulit pekerjaan peneliti keamanan, termasuk pengiriman injeksi sisi server dan komunikasi yang aman dengan server perintah-dan-kontrol (C2) untuk menjaga kode tetap terlindungi.

Tim intelijen IBM menemukan skrip TrickBot mendeteksi analisis setiap kali ada kode beautifying” tool diterapkan untuk membuat kode lebih mudah dibaca dengan mata manusia. Setelah TrickBot mendeteksi beautifier, itu akan memicu reaksi kelebihan memori untuk menabrak tab peneliti.

“TrickBot menggunakan RegEx untuk mendeteksi pengaturan yang dipercantik dan melemparkan dirinya ke dalam lingkaran yang meningkatkan ukuran array dinamis pada setiap iterasi,” laporan tersebut dikatakan. “Setelah beberapa putaran, memori akhirnya kelebihan beban, dan browser crash.”

TrickBot’s Messy Code

Selanjutnya, para peneliti menemukan bahwa TrickBot sengaja membuat kodenya “berantakan”, untuk memaksa analis harus menggunakan alat mempercantik untuk memahami it.

Itu termasuk menambahkan kode redundan dan apa yang disebut laporan “penambalan monyet – Menambal fungsi asli untuk mengubah perilakunya sedemikian rupa sehingga tidak mungkin untuk memahami apa yang sedang diaktifkan menggunakan analisis statis.”

“Misalnya, saat melihat kode injeksi yang dikaburkan, seorang peneliti dapat memulai dengan mendekodekannya dari format Base64, kemudian membuat semua literal dan fungsi dapat dibaca manusia, ”jelas tim IBM. “Nilai literal diubah menjadi nilai nyata, kode dibagi menjadi beberapa bagian, dll. Semua upaya ini adalah bagian dari mempercantik kode, dan TrickBot mengharapkan hal itu dari para peneliti, menjadikannya tempat yang baik untuk menahan mereka.”

Upaya lain untuk mengaburkan kode TrickBot dari peneliti termasuk memindahkan semua string ke array dan mengenkripsinya untuk menyembunyikan detail tentang eksekusi malware; dan penggunaan representasi hex untuk membuatnya sangat rumit untuk diuraikan.

Diluncurkan kembali pada tahun 2016, TrickBot telah berevolusi dari trojan perbankan sederhana menjadi ancaman kuat dengan segala macam kemampuan jahat, termasuk akses pintu belakang, pencurian data, dan pengiriman muatan. Grup tersebut baru-baru ini juga menambahkan afiliasi distribusi tambahan yang berfokus pada ransomware.

TrickBot telah memperoleh pengaruh setelah penghapusan Emotet tahun lalu, setelah grup tersebut turun tangan untuk membantu menjaga agar malware tetap beredar dan kedua grup mulai berkolaborasi.