بدافزار خطرناک Dyre در پوششی جدید، تحت عنوان TrickBot Trojan برای سرقت اطلاعات بانکی بازگشته است!

TrickBot، یک نوع بدافزار جدید است که به اعتقاد کارشناسان تا حدودی به تروجان بدنامDyre  مرتبط است، در حال حاضر از آن برای هدف قرار دادن بانک ها در انگلستان، استرالیا و کشورهای دیگر استفاده شده است.

محققان در امنیت سایبری فیدلیس )fidelis cybersecurity) TrickBot را در ماه سپتامبر ۲۰۱۶ کشف کردند. فایل پیکربندی این بدافزار نشان داد که برای مورد هدف قرار دادن چندین بانک در استرالیا و یک بانک در کانادا طراحی شده است. با این حال، نمونه هایی که توسط این شرکت امنیتی مورد تجزیه و تحلیل قرار گرفت تنها شامل یک ماژول برای جمع آوری اطلاعات سیستم بود اما ظاهرا ماژول های تزریق در وب در مرحله آزمایشی بوده اند.

 

محققان IBM X-Force گزارش دادند که  بدافزار بانکی جدید TrickBot  در حال حاضر قادراست  دو نوع از پیشرفته ­ترین تکنیک های دستکاری مرورگر، تزریق های سمت سرور )server side injections( و حملات تغییر مسیر )redirecting attacks( را انجام دهد، در حالی که تروجان های دیگر مانند GozNym به زمان بیشتری برای انجام چنین حملاتی نیاز دارند. تروجان  TrickBot  در چند ماه گذشته در حال  توسعه و آزمایش بوده است و در ابتدا به عنوان یک تروجان بانکی در نظر گرفته نمی شد تا هنگامی که در اکتبر ۲۰۱۶ یک مکانیسم تزریق در وب را انجام داد.

IBM  اشاره کرد که نسخه های اولیه TrickBot به گونه ای  طراحی شده اند که یکی از پلت فرم های دیجیتالی بانکی، که معمولا توسط بانک های منطقه ای در ایالات متحده مورد استفاده اند،  را نیز مورد هدف قرار دهند. در اوایل ماه نوامبر، X-Force  دو پیکربندی جدید را اعلام کرد که قادر به حمله تغییر مسیر در برابر چهار بانک در انگلستان و تزریق سمت سرور در برابر چندین سازمان در استرالیا است.

شکل ۱ میزان گسترش Trickbot در مناطق مختلف


به گفته ی کارشناسان این بدافزار علاوه بر  انگلستان و استرالیا، وب سایت های شخصی و کسب و کار  بانکی و موسسات مالی در نیوزیلند،  کانادا و آلمان را هدف قرار داده است، با توجه به اینکه این بدافزار با سرعت بالایی در حال توسعه است، محققان انتظار دارند که طی هفته های آینده در مناطق بیشتری گسترش پیدا کند.

 

امنیت سایبری فیدلیس  چند شباهت بین TrickBot و  تروجان بانکی بدنام Dyre، که در نوامبر ۲۰۱۵ از صحنه ناپدید  شد و به احتمال زیاد  نتیجه یک عملیات انجام شده توسط طراحان روسی بود، پیدا کرد.کارشناسان اشاره کردند که با وجود شباهت هایی، TrickBot یک بازنویسی با سبک برنامه نویسی متفاوت ازDyre  است.

به نظر محققان X-Force به احتمال زیاد بخش هایی از تیم Dyre  در توسعه TrickBot نقش داشته اند. احتمال دیگر این است که افراد سودجو از Dyre ، قصد داشتند که بدافزاری مشابه آن را بسازند.

TrickBot از پیدایش تا کنون در حال تست شدن است، و در عین حال توسعه دهندگان آن در حال حاضر موفق به ، پیاده سازی دو نوع از پیشرفته ترین تکنیک های دستکاری مرورگر در بدافزار بانکی شده اند.

 به گفته ی Limor Kessem، مشاور امنیت اجرایی در امنیت IBM: " این بد افزار به سرعت در حال رشد است و انتظار می رود که سطح حملات را وسعت دهد و حساب های بانکی کسب و کار و شرکت ها را مورد هدف قرار دهد و همچنین در ماه های آینده به عنوان بد افزار بانکی شناخته شود."

ویژگی های این بد افزار، از جمله:

  • یک روش غیر معمول انجام حملات MITB (man in the browser)
  • مکانیسم تزریق وب باگی buggy web injection
  • مبهم سازیAPI با اقتباس از Carberp
  • و ارتباط مشکوک بین TrickBot-Dyre

یک روش غیر معمول انجام حملات MITB

امروزه اکثر  بد افزارهای جدید مالی  قادر به تزریق کد های مخرب به session های مرورگرهای در حال پیشرفت هستند.) به عنوان مثال، MITB و یا یک حمله  (webinjection. رایج ترین روش توسعه دهندگان بدافزارها برای پیاده سازی تزریق، تنظیم آنها در سیستم قربانی به صورت محلی است.  بدافزار این فایل پیکربندی محلی را برای حمله تزریق نگه می دارد، مشخص می کند دقیقا چه زمانی و چگونه، به محتویات صفحات وب سایت بانک مورد نظر حمله کند.

یکی از روش های پیشرفته تر اما نامعمول برای رسیدن به همین نتیجه این است که دستورالعمل تزریق از سرور مهاجم در لحظه ی حمله،  واکشی شود. توسعه دهندگان TrickBot  تصمیم گرفتند که  از این روش استفاده کنند. این روش به عنوان تزریق serverside نیز شناخته شده است.

بدین منظور، و بسیار شبیه به دیگر تروجان های پیشرفته بانکی ، TrickBot دارای یک موتور برای به دام انداختن مرورگر (browser-hooking) است که برای مداخله کردن در ارتباطات مرورگر قربانی طراحی شده است. با ترفند واکشی در لحظه  (real-time)، کد های مخرب روی سرور مهاجم نگه داشته می شود.

هنگامی که قربانی یکی از آدرس های مورد هدف TrickBot را باز می کند، در واقع موارد زیر اتفاق می افتد:

  • ماژول مالی TrickBot در پاسخ HTTP اصلی  قبل از اینکه به قربانی ارائه شود مداخله می کند. مرورگر، پاسخ "پاک" را نمایش نمی دهد.
  • TrickBot یک بسته HTTP چند قسمتی حاوی بخش های زیر به c2 ی خود می فرستد:

Sourcelink : url کاملی که حمله را راه می اندازد.

Sourcequery :کوئری کامل HTTP مرورگر

Sourcehml : html اصلی که در یک مرورگر سالم نشان داده می شود.

  • c2 محتوای کامل HTML را از جمله قسمت های تزریق ، برای نمایش در مرورگر قربانی به عنوان پاسخ (response) می فرستد.
  • در نهایت ماژول مالی TrickBot پاسخ اصلی را که معمولا از بانک بر می گردد را با با پاسخ c2 عوض می کند و صفحه ی تزریق شده برای قربانی نمایش داده می شود.

روش تزریق  سمت سرور نسبت به روش استاندارد مکانیسم محلی استفاده شده توسط بسیاری از بدافزارهای مالی امروزی مزایای بیشتری دارد. قابل ذکر است، ابهام و انعطاف پذیری بیشتری دارد و تشخیص آن سخت تر می شود. نویسنده این بدافزار می تواند کد تزریق را خارج از دید نگه دارد تا  زمانی که به آن نیاز دارد.

شکل۲Trickbot در حال به دام انداختن توابع اینترنت فابرفاکس برای انجام حمله ی MITB

 

شکل۳ تزریق های سمت سرور trickbot

 

مبهم سازی  API با اقتباس از Carberp

برای بالا بردن عمر بد افزار، معمولا طراحان لایه های حفاظتی را به کد بد افزار اضافه می کنند تا از آن در برابر مهندسی معکوس حفاظت کنند. یکی از ین تکنیک ها در Trickbot : مبهم سازی API است.

در تجزیه و تحلیل روش ابهام سازی  TrickBot ، ما آن را به بسیار شبیه - و به احتمال زیاد قرض گرفته شده از مبهم سازی تروجان  Carberp یافتیم. کد منبع Carberp در سال ۲۰۱۳ آشکار شد، سایر بدافزار ها بر اساس DNA پیچیده آن طراحی شده اند.

فهمیدیم که TrickBot از روش مبهم سازی، برای تمام API ها استفاده نمی کند بلکه فقط برای API که حساس است و طراح می خواهد که مخفی بماند استفاده می شود. ممکن است محققان تصور کنند که تمام API ها را کشف کرده اند در حالیکه با استفاده از این روش زیرکانه تعدادی دیگر API مخفی شده در بد افزار وجود دارد.

شکل۴ WSAStartup هش از سورس کد Carberp

شکل۵ فراخوانی API با استفاده از هش


پروسه ی مبهم سازی ، در این جا بر پایه ی مقادیر هش از پیش محاسبه شده ی  APIهاست. در فراخوانی یک تابع API بجای نام تابع، فقط از مقدار هش آن استفاده می شود؛ این کار بررسی های استاتیک را سخت می کند مگر این که محقق از روش های اضافه ای برای پیدا کردن API ها استفاده کند.

یک راه دور زدن این روش مبهم سازی ،استفاده ازیکی از اسکریپتهای پایتون در دیس اسمبلر IDA است به خصوص که مقادیر هش شده ی آشکار شده ی Carberp در دسترس است.

مکانیسم تزریق وب باگی

Trickbot از تابستان ۲۰۱۶ در حال تست شدن است، و حتی قبل از آن ویژگی بدافزارهای مالی را داشت. در ابتدا، بنظر می رسید که توسعه دهندگان Trickbot با مکانیسم تزریق وب بدافزار  مشغول هستند، از آنجایی که ما نمونه هایی از Trickbot را که رفتار عجیب و نامنظمی داشت پیدا کردیم. ابتدا به این که هدف  Trickbot برخی نیرنگهای ضد پژوهش است مشکوک شدیم اما در واقع فقط در حال شنود کردن بوده است.

در طول هر یک از تجزیه و تحلیل های  ما ، Trickbotدر عملیات مخرب تزریق در وب یک کد مشخص را بارها تزریق می کرد.که این اختلال در عملکرد خود بدافزار است.از آن جا که این رفتار در بعضی از نمونه ها ناقص بود. ما مجبور شدیم به صورت دستی آن را درست کنیم تا تحقیق در باره ی مکانیسم را ادامه دهیم.

در این مورد زیاد وارد جزئیات نمی شویم، با این که این نقص باعث اختلال در خرابکاری Trickbot می شود. می گوییم از آن جا که، بدافزار در حال یک رشد ثابت است، توسعه دهندگان ممکن است در نمونه های جدیدتر آن را رفع کرده باشند.که باعث می شود Trickbot بهتر کار کند.

ارتباط بین Trickbot و DYRE

ارتباط بین این دو بدافزار در بسیاری از بلاگ های تجزیه و تحلیل های Trickbot موضوع بحث بوده است.چند نکته کلیدی در مورد این بحث را توضیح می دهیم:

  • روش تزریق وب سمت سرور Trickbot در بدافزارهای امروزه غیر معمول است.تنها بدازار دیگری که از این روش استفاده می کند DYRE  است.
  • بسته هایی که به سرور حمله فرستاده می شود در طول تزریق در وب سمت سرور از ۳ قسمت تشکیل می شود ، sourcelink، sourcequery، sourcehtml .که این نام ها در مکانیسم تزریق در وب DYRE  هم استفاده شده است.

شکل (۶) Trickbot و  DYRE هردو ازsourcelinkوsourcequeryدر ارتباطاتشان استفاده می کنند.

  •  urlهای هدف و آدرس های کنترل و کامند )C&C( به صورت رمز شده در سیستم آلوده نگه داری می شوند. dyre نیز همین عملکرد را دارد. در حالی که طرح های  رمز شده ی Trickbot مشابه هم نیستند، اما به نظر نمی رسد که عملکرد مشابه این دو تصادفی باشد.
  • Trickbot، لیست  url های هدف را به ماژول مالی تزریق شده در مرورگری که از ارتباطات یک طرفه (pipes communication) استفاده می کند، میفرستد.که این روش هم یکی از مشخصه ای dyre است.
  • ساختار url های هدف در دستورالعمل معمولا برای هر بدافزار مشخص است. این خصوصیت Trickbot مطمئنا بسیار شبیه به dyre است.

با وجود شباهت ها،در نظر داشته باشید که خیلی از آنها به سادگی قابل تقلید است. برای مثال، با این که تکنیک تزریق وب سمت سرور برای هردو تروجان است، کدی که این قابلیت را روی آنها اجرا میکند متفاوت است. این نکته مهم است زیرا همانطور که می بینید بدافزار جدید و پیشرفته چقدر سریع و موثر گسترش یافت. چه با طراحان یکسان و چه با تازه واردانی که از خراب کار ترین تیم در تاریخ جرایم اینترنتی الهام گرفته اند.

Trickbot بدون شک یک  تروجان پیشرفته در زمینه ی تروجان های بانکی است. این کلاهبرداران با تجربه ظاهرا در زمینه ویژگی های مدرن مشترک بین  انواع بدافزارهای  بانکی که امروزه وجود دارند متبحر هستند. ما انتظار داریم که این تروجان تکنیک های ضد تحقیق و ضد پژوهش و pop up را با شروع سال  ۲۰۱۷ گسترش دهد.