Windows Makinelerini Hedefleyen TrickBot Bankacılık Truva Atı-Truva Atı

Yayınlanan: 2019-01-17

Dünyanın dört bir yanındaki insanlar, yasa dışı kazanç sağlamak veya kişisel verileri çalmak için tasarlanmış çeşitli kötü amaçlı yazılımların sürekli tehdidi altındadır. Ama özellikle en çok nefret edilen bir tür var; onlar Bankacılık Truva atları. Defalarca farklı şekillerde ortaya çıkıyorlar ve kullanıcıları sömürüyorlar. Ancak son zamanlarda ilgi odağı olan en kötüsü, Windows makinelerini hedef alan TrickBot Bankacılık Truva Atı. Bu özel Truva Atı'nın Avustralya, Asya ve Latin Amerika'yı başarıyla etkilediği tespit edildi. Şimdi Arjantin, Peru ve Şili'den geçerek milyonlarca makineye bulaşmayı planlıyor. 2017'de Lloyds Bank, İngiltere'den 25 dakikada 75000'den fazla e-posta gönderebilmelerinden, kötü şöhretlerinin ve zararlarının yoğunluğunu belirleyebilirsiniz.

TrickBot Truva Atı
Kaynak: – güvenlik gazetesi

Trickbot nedir?

Bu, URL yönlendirmeleri ve web enjeksiyonları dahil olmak üzere çok sayıda yeteneğe sahip, piyasadaki en aktif bankacılık Truva atlarından biridir. Bu ilk olarak Ekim 2016'da Avustralya'da tanımlandı ve tespit edildi. Trickbot'un küresel erişime sahip bir grup birey tarafından işletildiği ve yönetildiği tahmin edilmektedir. Ayrıca, farklı tekniklerle saldırdıkları için akıllıdırlar, yani %40 Yönlendirme ve %60'ını web enjeksiyonlarına bırakmışlardır. Şu anda 40 ülkede görülen bir model.

Bu kötü amaçlı yazılım, kimlik avı e-postaları yoluyla kullanıcılara teslim ediliyor, ancak sahte web siteleri gibi dağıtım için başka uygulamaları da keşfetmeye başladılar. Bu gibi durumlarda, esas olarak web enjeksiyonları yoluyla çalışırlar.

hile botu
Kaynak: – trendmicro

Web Enjeksiyonları

Web tarayıcısına, ziyaret ettiğiniz her web sitesini kontrol eden kötü amaçlı yazılım bulaşır. Bir bankacılık web sitesini ziyaret edene kadar her şey etkilenmeden kalır. Saldırganların temel amacı, kullanıcı bankacılık web sitelerinden herhangi birini ziyaret eder etmez, girilen kişisel bilgileri ve kimlik bilgilerini çalmak için ağ üzerinden bir kodun ele geçirildiği bankacılık web siteleri aracılığıyla kullanıcıları kimlik avı yapmaktır.

Web enjeksiyonlarında daha rahatsız edici olan şey, sadece web sitelerine bakarak hiçbir şey söyleyememenizdir çünkü virüslü olan web sitesi değil, web tarayıcısıdır. Bu senaryoda, anormal faaliyetleri nasıl belirleyebiliriz? Eh, bankacılık sayfasının kaynak koduna gitmeden kimse bunu yapamaz.

Tarayıcınıza virüs bulaşmadıysa, kodlar nispeten daha küçük olacaktır, eğer öyleyse, o zaman içinde bazı garip yeni işlevler göreceksiniz. Bazen, ek işlevler veya kodlar, işlevleri hakkında bize bilgi veren, yani kimlik bilgilerini çalmak ve bilgisayar korsanlarını bu konuda bilgilendirmek için yorumlara sahiptir.

URL Yönlendirme

TrickBot Bankacılık Truva Atı

URL yeniden yönlendirmenin kullanıldığı durumlar olsa da, bu uygulama giderek azalıyor. Bunun nedeni, herhangi bir yeniden yönlendirmenin tanımlanabilir olmasıdır. Yine, bilgisayar korsanları, alan adlarının kayıt kuralları nedeniyle, gezinirken bir kişiyi yeniden yönlendirmek için yalnızca benzer URL'ler oluşturabilir ve tam değil. Ve bu, birisi URL'lere dikkat ediyorsa fark edilebilir.

Trickbot Ne Yapar?

Kötü amaçlı yazılımın aşağıdakileri içeren birçok kötü amaçlı yeteneğe sahip olduğu bildiriliyor: –

  • Etkilenen cihazlar ile komut sunucusu arasında iletişimi başlatın.
  • Web'de gezinme oturumlarını kullanarak banka kimlik bilgileri, kişisel bilgiler vb. gibi gizli bilgileri çalın.
  • Etkilenen makineler ve ağlar hakkında ayrıntılı bilgi toplayın.
  • Çevrimiçi olarak kaydedilen hesap şifrelerini tehlikeye atın, çerezleri ve web geçmişini inceleyin.
  • Etkilenen ağdaki diğer makinelere bulaşarak erişimini genişletin.
  • VNC istemcileri, Uzaktan Erişim Aracı veya fidye yazılımı gibi kötü amaçlı başka araçlar kurun.

Trickbot Truva Atı Nasıl Çalışır?

TrickBot Truva Atı
Kaynak: – socprime

Ayrıca Okuyun : Emotet Trojan - Tehlikeli Bir Şekilde Evrimleşen Bir Bankacılık Truva Atı

Dağıtıldıktan sonra, TrickBot bankacılık truva atı kendini %APPDATA% içine kopyalar ve orijinal örneği kaldırır.

Ayrıca, client_id ve group_tag adlı iki dosya ekler. Bunlar yerel olarak oluşturulur ve bireysel botu ve ilişkili olduğu işlemi algılamak için kullanılır. Bu dosyalar şifrelenmez ve Unicode'da metin içerir.

client_id : virüslü makinenin adını, işletim sisteminin sürümünü ve rastgele oluşturulmuş bir dizeyi içerir.

Klasör, config.conf adlı bir dosya içerir. Komut ve Kontrol (C&C) sunucusu aracılığıyla indirilir ve kodlanır.

Not : C&C veya C2, siber saldırganlar tarafından, virüslü bir ağ içindeki virüslü makinelerle iletişimi yönetmek için kullanılır.

%APPDATA% içinde Modüller olarak bilinen bir klasör oluşturulur. C&C aracılığıyla indirilen diğer dosyalar injectDll32 ve systeminfo32'dir.

injectDll32 – Kimlik bilgilerinin çalınmasını başlatmak için hedef tarayıcıların içine DLL'ler enjekte eden bir bankacı modülüdür

systeminfo32 – Genel sistem bilgilerini toplamak için kullanılır

Bu dosyalar da kodlanmıştır. Ayrıca, hedef tarayıcıların listesi injectDll32.dll içinde sabit kodlanmıştır. TrickBot, kendisini Windows Görev Zamanlayıcı'da bir görev olarak biriktirerek etkili hale getirir. Göreve basitçe 'Bot' denir ve bu görevi gizlemek için hiçbir girişimde bulunulmaz. Ancak, görevi sonlandırmaya çalışırsanız, Görev Zamanlayıcı Motoru onu otomatik olarak yeniden başlatır.

Ağ İletişimi

TrickBot kötü amaçlı yazılımı farklı sunucularla iletişim kurar. İlk başta, görünür bir IP almak için geçerli bir sunucuyla iletişim kurar. Şaşırtıcı bir şekilde, kendi Kullanıcı Aracısını, yani TrickLoader veya BotLoader'ı kullanır ve kendisini gerçek bir tarayıcı olarak maskelemeye çalışmaz. Ancak TrickBot'un Komuta ve Kontrol merkeziyle olan iletişiminin çoğu SSL şifrelidir.

client_id ve group_id, POST isteğinin URL'sinde ve ardından komut kimliğinde kullanılır. Bu, Dyreza kötü amaçlı yazılımında gözlemlenen bir özellikti. Ayrıca, ağ trafiğini şifrelemeden ek bir yük yüklenir. C&C'ler, güvenliği ihlal edilmiş kablosuz yönlendiricilere, yani MikroTik'e yüklenir. Bu, Dyreza ve TrickBot arasında ortak bulunan başka bir özelliktir. TrickBot ile ilgili bir başka garip şey de HTTP sertifikaları için özgün görünen adları kopyalamaya çalışmamasıdır. Tamamen rastgele veriler içerirler. Örneğin: -

https://193.9.28.24/tmt2/TESTMACHINE_W617601.653EB63213B91453D28A68C0FCA3AC4/5/sinj/

Sisteminizin Etkilendiği Belirtiler

Uç nokta kullanıcıları herhangi bir değişiklik görmez, ancak ağ yöneticisi görür. Belirti, trafikte veya kısıtlanmış URL'lere ve kara listeye alınmış IP'lere ulaşma çabalarında değişecektir. Bunun nedeni, kötü amaçlı yazılımın verileri bilgisayar korsanlarına iletmeye çalışmasıdır. Kontrol ve Komut (C&C) sunucusundan veri çekmeye ve görev almaya çalışır.

sonrası

Bu Truva Atı, EternalBlue güvenlik açığını kullandığından, yalnızca bir makineyi değil tüm ağı etkilemeye odaklanacaktır. Bu, ağınız bir kez etkilendiğinde, çıkış yolu olmadığı anlamına gelir. Belirli bir makineyi temizleyebilirsiniz, ancak tüm ağı temizleyemezsiniz. Bir dereceye kadar virüslü makineleri izole etmek ve bu Truva Atı'nı kaldırmak için çalışmak etkili olabilir.

Ağ makineleri etkilenirse izleyebileceğiniz birkaç adım: –

  1. Virüs bulaşmış makineyi/makineleri tespit edin.
  2. Onları ağdan ayırın.
  3. EternalBlue için Yamayı kullanın.
  4. İdari Paylaşımları Kısıtlayın.
  5. Aşağıdakiler gibi çeşitli dosya uzantılarına sahip ekleri engelleyin:

Exe|pif|tmp|urlpst|cmd|com|hta|js|wsf|vb|vbe|scr|reg|cer|bat|dll|dat|hlp|

  1. TrickBot bankacılık Truva atını kaldırın.
  2. Hesap kimlik bilgilerini değiştirin.

Okumalısınız : IcedID Yeni Bankacılık Truva Atı

Son Karar

Bu, yalnızca saldırganlığı nedeniyle değil, aynı zamanda sürekli gelişimi nedeniyle de oldukça tehlikelidir. Bu bankacılık Truva Atı'nın operatörleri ayrıca Outlook e-postalarında, verilere göz atmada ve hatta kripto para birimlerinde kullanıcıları hedeflemeye başladı. Cüzdanlarımızın ve hesaplarımızın boşa gitmesini istemiyorsak bir an önce savunma mekanizması geliştirmeliyiz!