Trickbot
Trickbot یک ماژول بدافزار می باشد که اولین بار در سال 2016 مشاهده شد. در ابتدا به عنوان یک تروجان بانکی استفاده می شد به این دلیل که به عنوان جانشین تروجان بانکی Dyre ساخته شده بود. با گذشت زمان از یک تروجان صرفا بانکی به یک ماژول بدافزار تغییر یافت. معمولا هم از شیوه ارسال ایمیل برای ارائه Trickbot استفاده می گردد.
روش کار Trickbot
Trickbot به چندین روش مختلف از جمله فیشینگ ایمیل، Lateral Movment از طریق smb و یا به عنوان Payload مرحله دوم برای خانواده بدافزار ها مثل Emotet عمل می کند.
Trickbot اطلاعاتی مانند نام دامنه، محدوده ادرس IP شبکه آسیب دیده را برای مهاجم ارسال می کند و مهاجم خود برخی از این شبکه ها را برای شناسایی و بهره برداری انتخاب می کند. در Trickbot از ابزارهای اضافی مثل Cobalt Strike برای در اختیار گرفتن صفحه کلید، mimikatz برای سرقت اطلاعات و Blooadhound برای انجام شناسایی بیشتر استفاده می کند.
نکته حائز اهمیت این که Trickbot یک بدافزار مخفیانه نیست، بلکه مهاجمان از دسترسی هایی که به وسیله آن به دست می آورند تکنیک های پیچیده تری را برای عملیات مخرب خود به کار می بندند.
مهاجمانی که از Trickbot برای حمله استفاده کردند، مکانیزم های متفاوتی را برای فرار از شناسایی و اطمینان از اجرا شدن موفقیت آمیز آن به کار می گیرند.
از جمله تکتیک های مشاهده شده عبارتند از :
- پیوست های Word Macro
- پیوست های اکسل VBA Macro
- پیوست های ماکرو اکسل 4.0
- پیوست های پروتکل راه اندازی شبکه جاوا (jnlp.)
- لینک های Google Docs
البته زیرساخت ارسال کننده های ایمیل ها نیز متفاوت است. در اکثر تلاش ها، حمله کننده از حساب های ایمیل قانونی و یا پلاتفرم های آسیب دیده بازاریابی استفاده می کند. هرچند دیده شده است که اخیرا مهاجمان با استفاده از دامنه های سطح بالا و کمتر شناخته شده ، دامنه های خود را ثبت می کنند تا با ایجاد سرور ایمیل خود ، ایمیل های مخرب خود را ارسال نمایند.
ایمیل های ارسالی حاوی یک پیوست مخرب هستند که پس از باز شدن ، کاربر را وادار می کند تا ماکرو ها را فعال کند. سپس با استفاده از wscript، فایل مخرب jse راه اندازی می شود. اسکریپت jse اطلاعات مربوط به Active Directory را جمع آوری می کند و به زیرساخت های مهاجمان منتقل می کند. در ادامه فایل jse اطلاعات مربوط به شبکه، آنتی ویروس، تقش دامنه و ایمیل را برای مهاجم ارسال می کند.
همچنین مهاجم می تواند بعد از اتمام عملیات شناسایی شبکه و ساختار آن، از طریق کپی فایل مخرب jse که در پوشه Startup قرار داده است، در شبکه بماند و با استفاده از این فایل jse، می توانند مجددا به این شبکه بازگردند.
راه هایی برای کاهش این خطرپذیری
- تغییر تنظیمات ایمیل جهت مسدود سازی ایمیل های جعلی، هرزنامه و ایمیل های دارای بدافزار
- غیرفعال کردن مایکرو ها یا فقط فعال سازی مایکرو ها از برخی مکان های مطمئن
- استفاده از ابزارهایی مانند laps
- جلوگیری از ذخیره رمزهای عبور و اعتبارنامه برای احراز هویت شبکه
روش های تشخیص این حمله
با استفاده از آنتی ویروس، اجزای تهدید به عنوان بدافزار شناخته می شوند. استفاده از آنتی ویروس مایکروسافت یا سیندادسک که قابلیت های آنتی ویروس نسل بعدی از جمله یادگیری ماشینی و تشخیص رفتار را در خود جای داده اند.
در صورت استفاده از سیستم شناسایی و پاسخ در نقاط پایانی هوپان (EDR) که یکی از اساسی ترین ماژول های راهکار گسترده شناسایی و پاسخ نخجیرپان (XDR) میباشد، تحلیل فعالیت های مرتبط و هشدارهای زیر مشاهده می گردد:
- بدافزار Trickbot
- سند مخرب مورد استفاده در Trickbot
- فایل پیوست شده مخرب مورد استفاده در Trickbot
این تهدید از تکنیک های زیر که در جدول مایتر اتک موجود می باشد استفاده نموده است.
| Initial Access | Execution | Persistence | Privilege Escalation | Defense Evasion | Discovery | Collection | Command and Control | Exfiltration |
| Drive-by Compromise | Command and Scripting Interpreter | Account Manipulation | Abuse Elevation Control Mechanism | Abuse Elevation Control Mechanism | Account Discovery | Adversary-in-the-Middle | Application Layer Protocol | Automated Exfiltration |
| Exploit Public-Facing Application | Container Administration Command | BITS Jobs | Access Token Manipulation | Access Token Manipulation | Application Window Discovery | Archive Collected Data | Communication Through Removable Media | Data Transfer Size Limits |
| External Remote Services | Deploy Container | Boot or Logon Autostart Execution | Boot or Logon Autostart Execution | BITS Jobs | Browser Bookmark Discovery | Audio Capture | Data Encoding | Exfiltration Over Alternative Protocol |
| Hardware Additions | Exploitation for Client Execution | Boot or Logon Initialization Scripts | Boot or Logon Initialization Scripts | Build Image on Host | Cloud Infrastructure Discovery | Automated Collection | Data Obfuscation | Exfiltration Over C2 Channel |
| Phishing | Inter-Process Communication | Browser Extensions | Create or Modify System Process | Deobfuscate/Decode Files or Information | Cloud Service Dashboard | Browser Session Hijacking | Dynamic Resolution | Exfiltration Over Other Network Medium |
| Replication Through Removable Media | Native API | Compromise Client Software Binary | Domain Policy Modification | Deploy Container | Cloud Service Discovery | Clipboard Data | Encrypted Channel | Exfiltration Over Physical Medium |
| Supply Chain Compromise | Scheduled Task/Job | Create Account | Escape to Host | Direct Volume Access | Cloud Storage Object Discovery | Data from Cloud Storage Object | Fallback Channels | Exfiltration Over Web Service |
| Trusted Relationship | Shared Modules | Create or Modify System Process | Event Triggered Execution | Domain Policy Modification | Container and Resource Discovery | Data from Configuration Repository | Ingress Tool Transfer | Scheduled Transfer |
| Valid Accounts | Software Deployment Tools | Event Triggered Execution | Exploitation for Privilege Escalation | Execution Guardrails | Domain Trust Discovery | Data from Information Repositories | Multi-Stage Channels | Transfer Data to Cloud Account |
| System Services | External Remote Services | Hijack Execution Flow | Exploitation for Defense Evasion | File and Directory Discovery | Data from Local System | Non-Application Layer Protocol | ||
| User Execution | Hijack Execution Flow | Process Injection | File and Directory Permissions Modification | Group Policy Discovery | Data from Network Shared Drive | Non-Standard Port | ||
| Windows Management Instrumentation | Implant Internal Image | Scheduled Task/Job | Hide Artifacts | Network Service Scanning | Data from Removable Media | Protocol Tunneling | ||
| Modify Authentication Process | Valid Accounts | Hijack Execution Flow | Network Share Discovery | Data Staged | Proxy | |||
| Office Application Startup | Impair Defenses | Network Sniffing | Email Collection | Remote Access Software | ||||
| Pre-OS Boot | Indicator Removal on Host | Password Policy Discovery | Input Capture | Traffic Signaling | ||||
| Scheduled Task/Job | Indirect Command Execution | Peripheral Device Discovery | Screen Capture | Web Service | ||||
| Server Software Component | Masquerading | Permission Groups Discovery | Video Capture | |||||
| Traffic Signaling | Modify Authentication Process | Process Discovery | ||||||
| Valid Accounts | Modify Cloud Compute Infrastructure | Query Registry |