TrickBotバンキング型トロイの木馬-Windowsマシンを標的とするトロイの木馬

公開: 2019-01-17

世界中の人々は、不法な利益を上げたり、個人データを盗んだりするために設計されたさまざまなマルウェアの脅威に常にさらされています。 しかし、特に最も嫌われているタイプが1つあります。 それらはバンキング型トロイの木馬です。 何度も何度も、彼らはさまざまな形で登場し、ユーザーを悪用します。 しかし、最近脚光を浴びている最悪のものは、Windowsマシンを標的とするTrickBotバンキング型トロイの木馬です。 この特定のトロイの木馬は、オーストラリア、アジア、ラテンアメリカに影響を与えていることがわかっています。 現在、アルゼンチン、ペルー、チリを通過し、数百万台のマシンに感染することを計画しています。 彼らの悪名と被害の強さは、2017年に英国のロイズ銀行から25分で75000通以上のメールを送信できたという事実から判断できます。

TrickBotトロイの木馬
出典:– securitynewspaper

Trickbotとは何ですか?

これは、市場で最も活発なバンキング型トロイの木馬の1つであり、URLリダイレクトやWebインジェクションなどの多数の機能を備えています。 これは、2016年10月にオーストラリアで最初に特定され、発見されました。 Trickbotは、グローバルなアウトリーチを持つ個人のグループによって運営および管理されていると推定されています。 また、さまざまな手法で攻撃したため、スマートです。つまり、リダイレクトが40%で、60%がWebインジェクションに任されています。 これは現在40カ国で見られているパターンです。

このマルウェアはフィッシングメールを介してユーザーに配信されていますが、偽のWebサイトなど、他の配布方法も模索し始めています。 このような場合、それらは主にWebインジェクションを介して動作します。

トリックボット
出典:–トレンドマイクロ

Webインジェクション

Webブラウザーはマルウェアに感染しており、アクセスするすべてのWebサイトをチェックします。 銀行のWebサイトにアクセスするまで、すべてが影響を受けません。 攻撃者の主な目的は、銀行のWebサイトを介してユーザーをフィッシングすることです。ユーザーが銀行のWebサイトにアクセスするとすぐに、入力された個人情報と資格情報を盗むためにコードがネットワークを介して傍受されます。

Webインジェクションでさらに厄介なのは、感染しているのはWebサイトではなく、Webブラウザであるため、Webサイトを見ただけでは何もわからないことです。 このシナリオでは、どのようにして異常な活動を特定できますか? 銀行のページのソースコードにアクセスしない限り、誰もそうすることはできません。

ブラウザが感染していない場合、コードは比較的小さくなりますが、感染している場合は、奇妙な新しい機能がいくつか表示されます。 場合によっては、追加の機能またはコードのセットに、それらの機能について通知するコメントがあります。つまり、資格情報を盗み、ハッカーに同じことを通知します。

URLリダイレクト

TrickBotバンキング型トロイの木馬

URLリダイレクトが使用されている場合もありますが、この方法は少なくなっています。 背後にある理由は、リダイレクトが識別可能であるという事実です。 繰り返しになりますが、ハッカーは、ドメイン名の登録規則により、閲覧中に人をリダイレクトするための類似した正確ではないURLしか作成できません。 そして、誰かがURLに注意を払っている場合、これを見つけることができます。

トリックボットは何をしますか?

このマルウェアには、次のような多くの悪意のある機能があると報告されています。–

  • 感染したデバイスとコマンドサーバー間の通信を開始します。
  • Webブラウジングセッションを利用して、銀行の資格情報や個人情報などの機密情報を盗みます。
  • 影響を受けるマシンとネットワークに関する詳細情報を収集します。
  • オンラインで保存されているアカウントのパスワードを危険にさらし、CookieとWeb履歴を確認します。
  • 感染したネットワーク上の他のマシンに感染することにより、その範囲を拡大します。
  • VNCクライアント、リモートアクセスツール、ランサムウェアなど、悪意のある目的のためにさらにツールをセットアップします。

Trickbotトロイの木馬はどのように機能しますか?

TrickBotトロイの木馬
出典:– socprime

また読む: Emotetトロイの木馬-危険なほど進化した銀行のトロイの木馬

デプロイされると、TrickBotバンキング型トロイの木馬はそれ自体を%APPDATA%に複製し、元のサンプルを削除します。

さらに、client_idとgroup_tagという2つのファイルが追加されます。これらのファイルはローカルで作成され、個々のボットとそれに関連付けられている操作を検出するために使用されます。 これらのファイルは暗号化されておらず、Unicodeのテキストが含まれています。

client_id :感染したマシンの名前、OSのバージョン、およびランダムに生成された文字列が含まれます。

このフォルダーには、config.confというファイルが含まれています。 Command&Control(C&C)サーバーを介してダウンロードされ、エンコードされます。

:C&CまたはC2は、サイバー攻撃者が感染したネットワーク内の感染したマシンとの通信を管理するために利用します。

Modulesと呼ばれるフォルダーが%APPDATA%に生成されます。C&Cを介してダウンロードされる他のファイルはinjectDll32とsysteminfo32です。

injectDll32 –これは、ターゲットブラウザ内にDLLを挿入して、資格情報の盗難を開始するバンカーモジュールです。

systeminfo32 –一般的なシステム情報を収集するために使用されます

これらのファイルもエンコードされます。 さらに、ターゲットブラウザのリストはinjectDll32.dll内にハードコードされています。 TrickBotは、Windowsタスクスケジューラにタスクとしてそれ自体を蓄積することにより、それを効果的にします。 このタスクは単に「ボット」と呼ばれ、このタスクを非表示にする試みは行われません。 ただし、タスクを強制終了しようとすると、タスクスケジューラエンジンが自動的に再起動します。

ネットワーク通信

TrickBotマルウェアはさまざまなサーバーと通信します。 最初に、有効なサーバーと通信して、可視のIPを取得します。 驚いたことに、それはそれ自身のユーザーエージェント、すなわちTrickLoaderまたはBotLoaderを消費し、それ自体を本物のブラウザとしてマスクしようとはしません。 ただし、TrickBotとコマンドアンドコントロールセンターとの通信のほとんどはSSL暗号化されています。

client_idとgroup_idは、POSTリクエストのURLで使用され、その後にコマンドIDが続きます。 これは、Dyrezaマルウェアで観察された特性でした。 さらに、ネットワークトラフィックを暗号化せずに、追加のペイロードがロードされます。 C&Cは、侵害されたワイヤレスルーター、つまりMikroTikにインストールされます。 これは、DyrezaとTrickBotに共通するもう1つの機能です。 TrickBotのもう1つの奇妙な点は、HTTPS証明書の本物のように見える名前をコピーしようとさえしないことです。 それらには完全にランダムなデータが含まれます。 例えば: -

https://193.9.28.24/tmt2/TESTMACHINE_W617601.653EB63213B91453D28A68C0FCA3AC4/5/sinj/

システムが影響を受ける症状

エンドポイントユーザーには変更は表示されませんが、ネットワーク管理者には表示されます。 症状は、制限されたURLおよびブラックリストに登録されたIPに到達するためのトラフィックまたは努力の変化になります。 これは、マルウェアがデータをハッカーに転送しようとしているために発生します。 データを引き出し、制御およびコマンド(C&C)サーバーからタスクを受信しようとします。

余波

このトロイの木馬はEternalBlueの脆弱性を使用しているため、マシンだけでなくネットワーク全体に影響を与えることに焦点を当てます。 これは、ネットワークが影響を受けると、逃げ道がないことを意味します。 特定のマシンをクレンジングできますが、ネットワーク全体をクレンジングすることはできません。 感染したマシンをある程度隔離し、このトロイの木馬を駆除することは効果的かもしれません。

ネットワークマシンが影響を受ける場合に従うことができるいくつかの手順は次のとおりです。–

  1. 感染したマシンを検出します。
  2. それらをネットワークから分離します。
  3. EternalBlueのパッチを使用します。
  4. 管理共有を制限します。
  5. 次のようなさまざまなファイル拡張子を持つ添付ファイルをブロックします。

Exe | pif | tmp | urlpst | cmd | com | hta | js | wsf | vb | vbe | scr | reg | cer | bat | dll | dat | hlp |

  1. TrickBotバンキング型トロイの木馬を削除します。
  2. アカウントの資格情報を変更します。

必読: IcedID New Banking Trojan

最終評決

これは攻撃性だけでなく、絶え間ない進化のために非常に危険です。 このバンキング型トロイの木馬のオペレーターは、Outlookの電子メール、データの閲覧、さらには暗号通貨でユーザーを標的にし始めています。 ウォレットやアカウントが空になるのを見たくない場合は、すぐに防御メカニズムを考え出す必要があります。