14.12.2020

TrickBot мертв. Да здравствует TrickBot!

Bitdefender > Статьи > TrickBot мертв. Да здравствует TrickBot!

TrickBot все еще расползается, несмотря на операцию правоохранительных органов. Исследователи Bitdefender обнаружили, что его операторы изо всех сил пытаются вернуть ботнету былую славу. Анализ образцов показывает обновленные механизмы связи, новую инфраструктуру C2, использующую маршрутизаторы Mikrotik, и упакованные модули.

TrickBot, возможно, был одним из самых популярных троянов за последние пару лет, который использовался злоумышленниками в основном из-за его модульной конструкции и очень устойчивой инфраструктуры. Ранее в этом году исследователи Bitdefender даже проанализировали один из его модулей , особенно потому, что он нацелен на телекоммуникационные, образовательные и финансовые услуги в США и Гонконге.

Однако, когда Microsoft решила уничтожить TrickBot перед выборами в США, опасаясь, что массивный ботнет может быть использован для того, чтобы каким-то образом помешать процессу голосования, эта попытка оказалась больше похожа на операцию «надеть колени», чем на отруб гидре. Вероятно, это была краткосрочная тактика, возможно, просто чтобы убедиться, что TrickBot не вызовет никаких проблем во время выборов.

Основные выводы:

  • Маршрутизаторы Mikrotik используются в качестве C&C серверов.
  • Ответы на обновления версии имеют цифровую подпись с помощью bcrypt для некоторых.
  • Список серверов плагина больше не содержит скрытых сервисов.

Группа, стоящая за TrickBot, похоже, активно продвигала новые версии трояна и поддерживала полный список модулей, используемых в предыдущих версиях. Однако в недавно проанализированных образцах кажется, что shareDll – или mshareDll в ее упакованной версии – больше не присутствует. Фактически, теперь есть только упакованная shareDll с полностью удаленным mshareDll. Это, вероятно, указывает на то, что операторы TrickBot уходят от распакованных модулей, очищая свой список модулей бокового перемещения, чтобы использовать только упакованные.

Управление версиями

Перед партер Trickbot, в последний известный вариант был 1000513, от 19 августа 2020 года. Однако на 3 ноября мы нашли новую «2000016» версию, которая особенность всех улучшений, упомянутых выше. Операторы TrickBot, похоже, решили вернуться к исходному формату, но сбросили версионность. Следовательно, последняя версия, которую мы нашли, теперь «100003» доступна с 18 ноября.

C&C инфраструктура

Что касается общения между жертвами и C&C, ответы на обновления TrickBot, похоже, были подписаны цифровой подписью bcrypt, возможно, в попытке помешать дальнейшим действиям. Это конкретное улучшение гарантирует, что каждое новое обновление для TrickBot является законным. Это конкретное поведение наблюдалось для 2000016 версии, но не для 100003 версии.

Серверы C&C для «100003» версии, похоже, предполагают использование только маршрутизаторов Mikrotik:

IP  СТРАНА
103.131.157.161  BD
103.52.47.20  МНЕ БЫ
102.164.206.129  ZA
103.131.156.21  BD
103.150.68.124  Не найдено
103.30.85.157  МНЕ БЫ
103.131.157.102  BD
103.146.232.5  Не найдено
103.156.126.232  Не найдено

Еще одно интересное изменение заключается в том, что среди обновленного списка серверов C&C есть также домен EmerDNS, используемый в качестве резервного на случай, если не отвечает ни один известный сервер C&C. Что интересно в этом конкретном домене, так это то, что ключ EmerCoin (EeZbyqoTUrr4TpnBk67iApX2Wj3uFbACbr), используемый для администрирования сервера, также управляет некоторыми серверами C&C, которые принадлежат бэкдору Bazar. Анализируемый образец (82e2de0b3b9910fd7f8f88c5c39ef352) использует morganfreeman.bazar домен, который имеет IP-адрес 81.91.234.196 и работает Mikrotik v6.40.4.

Конфигурация сервера плагина

Есть также некоторые существенные различия между списками конфигураций сервера плагинов, как показано ниже:

Рис.1 – Предыдущие версии конфигураций сервера плагина TrickBot

Рис. 2 – Новые версии конфигураций сервера плагина TrickBot

IP  СТРАНА
156,96,62,82  НАС
62.108.34.45  DE
185.234.72.248  DE
195.123.241.206  НАС
194.5.249.216  RO
195.123.240.238  НАС
46.21.153.247  НАС
195.123.241.207  НАС
156.96.119.28  НАС

Операторы TrickBot, по-видимому, устранили службы плагинов Tor и добавили новые <psrva> теги, которые кажутся запутанными IP-адресами, метод, также используемый бэкдором Bazar. Хотя они выглядят как законные IP-адреса, на самом деле это не так.

<srva> Похоже, что этот тег используется только для C&C серверов, число которых, похоже, было значительно уменьшено по сравнению с предыдущими версиями TrickBot.

Жертвы новой версии

Судя по нашей собственной телеметрии, большинство отчетов систем, которые столкнулись с этой новой версией TrickBot, похоже, связаны с подключениями из Малайзии, за которой следуют США, Румыния, Россия и Мальта.

Выводы

Полностью разобрать TrickBot оказалось более чем сложно, и аналогичные операции в прошлом против популярных троянов доказали, что киберпреступное сообщество всегда будет стремиться вернуть в действие что-то прибыльное, универсальное и популярное. TrickBot, возможно, получил серьезный удар, но его операторы, похоже, изо всех сил пытаются вернуть его, потенциально более устойчивый и трудный для искоренения, чем когда-либо прежде.

Статьи
16.01.2021
«Ваша учетная запись заблокирована». 7 признаков фишингового мошенничества
13.01.2021
Злоумышленники используют мобильные эмуляторы для краж
09.01.2021
8 шагов успешной интеграции: как выбрать надежного поставщика лицензий на безопасность