TrickBot Banking โทรจันโทรจันที่กำหนดเป้าหมายเครื่อง Windows

เผยแพร่แล้ว: 2019-01-17

ผู้คนทั่วโลกอยู่ภายใต้การคุกคามอย่างต่อเนื่องของมัลแวร์ต่าง ๆ ที่ออกแบบมาเพื่อทำกำไรที่ผิดกฎหมายหรือเพื่อขโมยข้อมูลส่วนบุคคล แต่มีประเภทหนึ่งที่เกลียดที่สุดโดยเฉพาะ พวกเขาคือโทรจันธนาคาร ครั้งแล้วครั้งเล่าที่พวกเขาปรากฏตัวในรูปแบบที่แตกต่างกันและใช้ประโยชน์จากผู้ใช้ แต่สิ่งที่เลวร้ายที่สุดที่เพิ่งได้รับความสนใจคือโทรจัน TrickBot Banking ที่กำหนดเป้าหมายไปยังเครื่อง Windows พบว่าโทรจันเฉพาะนี้ส่งผลกระทบต่อออสเตรเลีย เอเชีย และละตินอเมริกาได้สำเร็จ ขณะนี้กำลังดำเนินการผ่านอาร์เจนตินา เปรู และชิลีด้วย โดยวางแผนที่จะแพร่ระบาดในเครื่องคอมพิวเตอร์หลายล้านเครื่อง คุณสามารถระบุความรุนแรงของความฉาวโฉ่และความเสียหายได้จากการที่พวกเขาสามารถส่งอีเมลมากกว่า 75,000 ฉบับใน 25 นาทีโดยอ้างว่ามาจาก Lloyds Bank สหราชอาณาจักรในปี 2560

โทรจัน TrickBot
ที่มา: – securitynewspaper

Trickbot คืออะไร?

นี่เป็นหนึ่งในโทรจันธนาคารที่ใช้งานมากที่สุดในตลาดที่มีความสามารถมากมายรวมถึงการเปลี่ยนเส้นทาง URL และการฉีดเว็บ สิ่งนี้ถูกระบุและพบครั้งแรกในเดือนตุลาคม 2559 ที่ออสเตรเลีย คาดว่า Trickbot จะดำเนินการและจัดการโดยกลุ่มบุคคลที่มีการเผยแพร่ทั่วโลก นอกจากนี้ พวกเขายังฉลาด เนื่องจากพวกเขาโจมตีโดยใช้เทคนิคต่างๆ เช่น การเปลี่ยนเส้นทาง 40% ของครั้ง และเหลือ 60% ให้กับการฉีดเว็บ เป็นรูปแบบที่เห็นใน 40 ประเทศแล้ว

มัลแวร์นี้ถูกส่งไปยังผู้ใช้ผ่านอีเมลฟิชชิ่ง แต่พวกเขาก็เริ่มสำรวจแนวทางปฏิบัติอื่น ๆ ในการเผยแพร่เช่นเว็บไซต์ปลอม ในกรณีเช่นนี้ ส่วนใหญ่จะดำเนินการผ่านการฉีดเว็บ

Trickbot
ที่มา: – trendmicro

เว็บฉีด

เว็บเบราว์เซอร์ติดมัลแวร์ซึ่งคอยตรวจสอบทุกเว็บไซต์ที่คุณเยี่ยมชม ทุกอย่างยังคงไม่ได้รับผลกระทบจนกว่าคุณจะเยี่ยมชมเว็บไซต์ธนาคาร วัตถุประสงค์หลักของผู้โจมตีคือการฟิชชิ่งผู้ใช้ผ่านทางเว็บไซต์ธนาคาร โดยทันทีที่ผู้ใช้เข้าชมเว็บไซต์ธนาคารใดๆ รหัสจะถูกสกัดกั้นผ่านเครือข่ายเพื่อขโมยข้อมูลส่วนบุคคลและข้อมูลประจำตัวที่ป้อน

สิ่งที่น่ารำคาญกว่าในการแทรกเว็บคือคุณไม่สามารถบอกอะไรได้เพียงแค่ดูเว็บไซต์เพราะไม่ใช่เว็บไซต์ที่ติดไวรัส แต่เป็นเว็บเบราว์เซอร์ ในสถานการณ์สมมตินี้ เราจะระบุกิจกรรมที่ผิดปกติได้อย่างไร ไม่มีใครสามารถทำได้เว้นแต่พวกเขาจะไปที่ซอร์สโค้ดของหน้าธนาคาร

หากเบราว์เซอร์ของคุณไม่ติดไวรัส รหัสจะค่อนข้างเล็ก แต่ถ้าเป็น คุณจะเห็นฟังก์ชันใหม่ๆ แปลก ๆ ในนั้น บางครั้ง ฟังก์ชันเพิ่มเติมหรือชุดโค้ดอาจมีความคิดเห็นที่แจ้งให้เราทราบเกี่ยวกับฟังก์ชันการทำงาน เช่น ขโมยข้อมูลประจำตัวและแจ้งให้แฮกเกอร์ทราบเกี่ยวกับสิ่งเดียวกัน

การเปลี่ยนเส้นทาง URL

โทรจัน TrickBot Banking

แม้ว่าจะมีการใช้การเปลี่ยนเส้นทาง URL หลายครั้ง แต่แนวทางปฏิบัตินี้หายาก เหตุผลเบื้องหลังคือความจริงที่ว่าการเปลี่ยนเส้นทางใด ๆ สามารถระบุได้ อีกครั้ง แฮกเกอร์สามารถสร้างได้เฉพาะ URL ที่คล้ายกันและไม่ถูกต้องสำหรับการเปลี่ยนเส้นทางบุคคลขณะเรียกดูเนื่องจากกฎการจดทะเบียนชื่อโดเมน และสิ่งนี้สามารถตรวจพบได้หากมีคนให้ความสนใจกับ URL

Trickbot ทำอะไร?

มีรายงานว่ามัลแวร์มีความสามารถที่เป็นอันตรายมากมายซึ่งรวมถึง: –

  • เริ่มการสื่อสารระหว่างอุปกรณ์ที่ติดไวรัสและเซิร์ฟเวอร์คำสั่ง
  • ขโมยข้อมูลที่เป็นความลับ เช่น ข้อมูลประจำตัวของธนาคาร ข้อมูลส่วนบุคคล ฯลฯ โดยใช้ประโยชน์จากเซสชันการท่องเว็บ
  • รวบรวมข้อมูลโดยละเอียดเกี่ยวกับเครื่องและเครือข่ายที่ได้รับผลกระทบ
  • ประนีประนอมรหัสผ่านของบัญชีที่บันทึกไว้ทางออนไลน์ ตรวจสอบคุกกี้ และประวัติเว็บ
  • ขยายการเข้าถึงโดยการแพร่ระบาดไปยังเครื่องอื่นบนเครือข่ายที่ติดไวรัส
  • ตั้งค่าเครื่องมือเพิ่มเติมสำหรับวัตถุประสงค์ที่เป็นอันตราย เช่น ไคลเอนต์ VNC, เครื่องมือการเข้าถึงระยะไกล หรือแรนซัมแวร์

โทรจัน Trickbot ทำงานอย่างไร?

โทรจัน TrickBot
ที่มา: – socprime

อ่านเพิ่มเติม : Emotet Trojan- โทรจันการธนาคารซึ่งมีวิวัฒนาการอย่างอันตราย

เมื่อปรับใช้แล้ว โทรจันของ TrickBot Banking จะทำซ้ำตัวเองเป็น%APPDATA% และลบตัวอย่างเดิม

นอกจากนี้ยังเพิ่มไฟล์สองไฟล์ที่เรียกว่า client_id และ group_tag ซึ่งสร้างขึ้นในเครื่องและใช้เพื่อตรวจจับบอทแต่ละตัวและการดำเนินการที่เกี่ยวข้อง ไฟล์เหล่านี้ไม่ได้เข้ารหัสและมีข้อความใน Unicode

client_id : รวมชื่อเครื่องที่ติดไวรัส เวอร์ชันของระบบปฏิบัติการ และสตริงที่สร้างแบบสุ่ม

โฟลเดอร์นี้มีไฟล์ชื่อ config.conf ดาวน์โหลดผ่านเซิร์ฟเวอร์ Command & Control (C&C) และเข้ารหัส

หมายเหตุ : C&C หรือ C2 ถูกใช้โดยผู้โจมตีทางไซเบอร์เพื่อจัดการการสื่อสารกับเครื่องที่ติดไวรัสภายในเครือข่ายที่ติดไวรัส

โฟลเดอร์ที่เรียกว่าโมดูลถูกสร้างขึ้นใน %APPDATA% ไฟล์อื่นๆ ที่ดาวน์โหลดผ่าน C&C คือ injectDll32 และ systeminfo32

injectDll32 - เป็นโมดูลนายธนาคารที่ฉีด DLLs ภายในเบราว์เซอร์เป้าหมายเพื่อเริ่มต้นการขโมยข้อมูลประจำตัว

systeminfo32 – ใช้สำหรับรวบรวมข้อมูลระบบทั่วไป

ไฟล์เหล่านี้ถูกเข้ารหัสด้วย นอกจากนี้ รายการเบราว์เซอร์เป้าหมายยังฮาร์ดโค้ดอยู่ใน injectDll32.dll TrickBot ทำให้มีประสิทธิภาพโดยสะสมตัวเองเป็นงานใน Windows Task Scheduler งานนี้เรียกง่ายๆ ว่า 'Bot' และไม่มีการพยายามซ่อนงานนี้ อย่างไรก็ตาม หากคุณพยายามฆ่างาน Task Scheduler Engine จะรีสตาร์ทโดยอัตโนมัติ

เครือข่ายการสื่อสาร

มัลแวร์ TrickBot สื่อสารกับเซิร์ฟเวอร์ต่างๆ ในตอนแรก มันจะสื่อสารกับเซิร์ฟเวอร์ที่ถูกต้องเพื่อรับ IP ที่มองเห็นได้ น่าแปลกที่มันใช้ User Agent ของตัวเองเช่น TrickLoader หรือ BotLoader และไม่พยายามปิดบังตัวเองว่าเป็นเบราว์เซอร์ที่แท้จริง แต่การสื่อสารส่วนใหญ่ของ TrickBot กับศูนย์บัญชาการและควบคุมนั้นเข้ารหัส SSL

client_id และ group_id ใช้ใน URL ของคำขอ POST ตามด้วยรหัสคำสั่ง นี่เป็นลักษณะเฉพาะที่ตรวจพบในมัลแวร์ Dyreza นอกจากนี้ เพย์โหลดเพิ่มเติมจะถูกโหลดโดยไม่เข้ารหัสทราฟฟิกเครือข่าย C&C ได้รับการติดตั้งบนเราเตอร์ไร้สายที่ถูกบุกรุก เช่น MikroTik นี่เป็นอีกหนึ่งคุณลักษณะที่พบได้ทั่วไประหว่าง Dyreza และ TrickBot สิ่งที่แปลกอีกอย่างเกี่ยวกับ TrickBot ก็คือมันไม่ได้พยายามคัดลอกชื่อที่ดูเหมือนจริงสำหรับใบรับรอง HTTPs ซึ่งรวมถึงข้อมูลแบบสุ่มทั้งหมด ตัวอย่างเช่น: –

https://193.9.28.24/tmt2/TESTMACHINE_W617601.653EB63213B91453D28A68C0FCA3AC4/5/sinj/

อาการที่ระบบของคุณได้รับผลกระทบ

ผู้ใช้ปลายทางจะไม่เห็นการเปลี่ยนแปลงใดๆ แต่ผู้ดูแลระบบเครือข่ายจะเห็น อาการจะเปลี่ยนไปในการเข้าชมหรือความพยายามในการเข้าถึง URL ที่ถูกจำกัดและ IP ที่ขึ้นบัญชีดำ สิ่งนี้เกิดขึ้นเนื่องจากมัลแวร์พยายามส่งต่อข้อมูลไปยังแฮกเกอร์ จะพยายามถอนข้อมูลและรับงานจากเซิร์ฟเวอร์การควบคุมและคำสั่ง (C&C)

ควันหลง

เนื่องจากโทรจันนี้ใช้ช่องโหว่ EternalBlue มันจะมุ่งเน้นไปที่การส่งผลกระทบต่อเครือข่ายทั้งหมด ไม่ใช่แค่เครื่องเท่านั้น ซึ่งหมายความว่าเมื่อเครือข่ายของคุณได้รับผลกระทบ จะไม่มีทางออก คุณสามารถทำความสะอาดเครื่องบางเครื่องได้ แต่ไม่สามารถล้างข้อมูลในเครือข่ายทั้งหมดได้ การแยกเครื่องที่ติดไวรัสและการทำงานเพื่อลบโทรจันนี้อาจมีประสิทธิภาพในระดับหนึ่ง

คุณสามารถปฏิบัติตามขั้นตอนต่อไปนี้ได้หากเครื่องเครือข่ายได้รับผลกระทบ: –

  1. ตรวจพบเครื่องที่ติดเชื้อ
  2. แยกพวกเขาออกจากเครือข่าย
  3. ใช้โปรแกรมแก้ไขสำหรับ EternalBlue
  4. จำกัดการแชร์การบริหาร
  5. บล็อกไฟล์แนบที่มีนามสกุลไฟล์ต่างๆ เช่น:

exe | pif | tmp | urlpst | cmd | com | hta | js | wsf | vb | vbe | scr | reg | cer | bat | dll | ข้อมูล | hlp |

  1. ลบโทรจัน TrickBot Banking
  2. เปลี่ยนข้อมูลบัญชี

ต้องอ่าน : IcedID New Banking Trojan

คำตัดสินสุดท้าย

สิ่งนี้เป็นอันตรายอย่างยิ่งไม่เพียงเพราะความก้าวร้าวเท่านั้น แต่ยังเป็นเพราะวิวัฒนาการอย่างต่อเนื่อง ผู้ให้บริการโทรจันธนาคารนี้เริ่มกำหนดเป้าหมายผู้ใช้ในอีเมล Outlook เรียกดูข้อมูลและแม้แต่สกุลเงินดิจิทัล เราจำเป็นต้องมีกลไกการป้องกันโดยเร็ว หากเราไม่ต้องการให้กระเป๋าเงินและบัญชีของเราว่างเปล่า!