Security Week 43: функциональность трояна Trickbot

Security Week 43: функциональность трояна Trickbot
ec8b4e424baf39ef9eccac64f022a2a1.jpeg

В исследованиях вредоносного ПО часто разбирается метод первоначального заражения системы, так как именно он позволяет модифицировать протоколы защиты. Что происходит после взлома компьютера, в деталях анализируется не так часто. На вопрос «Что могут сделать злоумышленники после получения полных прав?» обычно можно просто ответить: «Да все что угодно». Свежее исследование «Лаборатории Касперского» подробно описывает «функциональность после взлома» на примере модулей трояна Trickbot.

Trickbot отслеживается с 2016 года, он также является наследником банковского трояна Dyre, существовавшего с 2014 года. Задачей последнего была кража данных для доступа к финансовым сервисам при помощи атаки Man-in-the-browser. Несмотря на то что теперь основной задачей Trickbot является предоставление доступа другому вредоносному ПО (для шифрования данных и последующего требования выкупа у организаций), прямое похищение информации по-прежнему остается в списке задач. В 2021 году большинство случаев детектирования Trickbot пришлись на США, Австралию и Китай.

Всего в исследовании приведены имена более чем 50 модулей, из них половина разбирается подробно (остальные известные вредоносные программы имеют дублирующую функциональность). Модули доступны на командных серверах Trickbot, при необходимости они загружаются и выполняются на взломанной системе. Приведем примеры вредоносной функциональности из статьи:

  • Выгружается база данных Active Directory.
  • Полный перехват веб-трафика, проводится атака типа «человек в браузере». Данный модуль также содержит VNC-сервер для удаленного доступа к атакованной системе.
  • Обратный прокси-сервер для перенаправления трафика через взломанную систему.
  • Кража файлов cookie из браузеров Chrome, Firefox, Internet Explorer, Microsoft Edge.
  • Сбор групповых политик.
  • Кража сохраненных паролей из браузеров, а также из установленных приложений. Среди «поддерживаемых» программ — Microsoft Outlook, OpenVPN, KeePass, Filezilla, Putty, Anyconnect и др.
  • Кража финансовых данных с перенаправлением пользователя на фишинговую страницу либо с перенаправлением всего трафика пользователей на вредоносный веб-сервер.
  • Поиск адресов электронной почты в файлах, сохраненных на компьютере.
  • Сетевой сканер на основе открытого проекта Masscan . Еще один модуль собирает данные о компьютерах в локальной сети.
  • Рассылка спама через клиент Microsoft Outlook. Данный модуль унаследован из банковского трояна Dyre.
  • Поиск серверов с веб-почтой Outlook Web Access. Есть функциональность брутфорс-атаки с парами «логин — пароль», присылаемыми с командного сервера злоумышленников.
  • Проверка защиты UEFI/BIOS от записи. В исследованном модуле пока нет возможности модификации UEFI.
  • Поиск открытых RDP-серверов и брутфорс-атака на них.
  • Распространение Trickbot по локальной сети. Вредоносный код трояна при передаче с C2-сервера маскируется под картинку в формате PNG.
Помимо функциональности «после взлома», в анализе модулей Trickbot также упоминаются два эксплойта, для уязвимостей EternalRomance и EternalBlue. Обе уязвимости известны с 2017 года, актуальны для реализации протокола SMB в Windows. Подробная информация о работе вредоносных модулей, с примерами имен файлов, помогает при расследовании инцидентов в корпоративных сетях.

Что еще произошло

Взломан репозиторий популярной библиотеки UAParser.js для разбора строк user-agent, отправляемых браузером. Вместе с библиотекой какое-то время распространялось вредоносное ПО для Windows и Linux: майнер криптовалют и средство для кражи персональных данных.

Свежий серьезный баг обнаружен и закрыт в решениях SD-WAN компании Cisco.

Опубликовано исследование о распространении вредоносных файлов через чат-серверы Discord.

Google Threat Analysis Group рассказывает о черном рынке украденных каналов на Youtube, с примерами атак на владельцев.

Twitter заблокировал два аккаунта, использовавшихся для атак на специалистов по безопасности.

Свежий релиз Google Chrome 95 закрывает 19 уязвимостей. В нем также полностью удалена поддержка протокола FTP.
trickbot
Alt text

В нашем телеграм канале мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как выжить в цифровом кошмаре!