ظهور مجدد بدافزار TrickBot اما این دفعه برای لینوکس

تلاش متخصصان برای کم کردن فعالیت TrickBot باعث شده است که اکثر زیرساخت های مهم آن غیر فعال شود ، اما عوامل سازنده این بدافزار بیکار ننشسته اند. بر اساس یافته های جدید شرکت امنیت سایبری Netscout ، نویسندگان TrickBot بخشی از کد خود را به لینوکس منتقل کرده اند تا تعداد قربانیان را افزایش دهند.

TrickBot، یک Trojan برای به وجود آردن ضرر مالی است که برای اولین بار در سال ۲۰۱۶ کشف شد، به طور یک معمول حل بدافزاری مبتنی بر ویندوز بوده و از ماژول های مختلفی برای انجام طیف وسیعی از فعالیت های خرابکارانه در شبکه قربانی ، از جمله سرقت اعتبارنامه و انجام حملات باج افزار استفاده می کند.

اما طی چند هفته گذشته، به کمک تلاش های دو جانبه تحت هدایت تیم سایبری ایالات متحده و مایکروسافت ۹۴٪ از سرورهای کنترل و توسعه TrickBot (C2) که در حال استفاده بودند و زیرساخت های جدید TrickBot را تشکیل می داد، غیر فعال شد.

علی رغم اقدامات انجام شده برای جلوگیری از TrickBot ، مایکروسافت هشدار داد که احتمال می رود عوامل TrickBot برای احیای عملکرد خود تلاش کنند.

ماژول Anchor بدافزار TrickBot

در پایان سال ۲۰۱۹ ، یک ماژول در TrickBot به نام Anchor با استفاده از پروتکل DNS برای ارتباط پنهانی با سرورهای C2 کشف شد.

SentinelOne گفت: این ماژول به عوامل این بدافزار اجازه می دهد تا از این چارچوب در برابر قربانیان با ضاخصه های مهمتری استفاده کنند. برای مثال ، IBM X-Force در اوایل آوریل امسال حملات سایبری جدیدی را مشاهده کرد که نشان دهنده همکاری بین FIN6 و گروه TrickBot برای استفاده از ماژول Anchor بر علیه سازمان ها برای کسب سود مالی است.

محققان NTT در گزارشی در سال ۲۰۱۹ گفتند ، این قابلیت جدید که “Anchor_DNS” نیز نامیده می شود ، سیستم فرد آلوده را مجبور به استفاد  از DNS tunneling برای برقراری ارتباط با سرور C2 استفاده کند، که داده ها را به عنوان پاسخ resolved IP به سرور های مقصد منتقل می کند.

اما یک نمونه جدید که توسط وایلون گرانج ، محقق امنیتی در ژوئیه کشف شد ، نشان داد که ماهیت و قابلیت های Anchor_DNS به نسخه جدید backdoor لینوکس به نام “Anchor_Linux” منتقل شده است.

گرانج گفت: “این بدافزار یک backdor سبک لینوکس است که اغلب به عنوان قسمتی از فایل zip ارسال و دریافت می شود و پس از اجرا، خود را به عنوان یک cron نصب می کند، و در نهایت شروع به هدایت ترافیک DNS سیستم فرد آلوده به سمت سرور C2 خود می کند.”

نحوه کارکرد ارتباطات C2 با استفاده از Anchor چگونه است

آخرین تحقیقات رمزگشایی Netscout مربوط به جریان ارتباطی بین ربات و سرور C2 است. در مرحله اولیه ، کاربر “c2_command 0” را به همراه اطلاعات مربوط به سیستم آسیب دیده و شناسه ربات به سرور ارسال می کند سپس به عنوان یک تأیید ، ربات همان پیام را به C2 ارسال می کند ، به دنبال آن سرور از راه دور فرمان اجرای کد را بر روی سیستم کاربر صادر می کند و در آخرین مرحله ، ربات نتیجه اجرای کد را به سرور C2 ارسال می کند.

Suweera De Souza، محقق امنیت Netscout نیز این گونه توصیف کرد: “هر بخش از ارتباط گرفتن با C2 دنباله ای از ۳ درخواست مختلف DNS را دنبال می کند.”

TrickBot


طبق تحقیقات آخرین داده های ارسال شده توسط سرور C2 مربوط به طیف وسیعی از دستورات است و برای اجرای ربات از طریق cmd.exe یا با تزریق آن به چندین فرآیند در حال اجرا مانند Windows File Explorer یا Notepad استفاده می کنند.

دی سوزا گفت: “پیچیدگی ارتباطات Anchor C2 و  payload هایی که ربات می تواند اجرا کند ، نه تنها بخشی از توانایی های قابل توجه عوامل Trickbot را نشان می دهد می کند ، بلکه توانایی آنها در نوآوری رو به پیشرفت ، که با اجرای این فرآیند بر روی لینوکس پر رنگ تر شده است را هم مشخص می کند.

  • Active Directory Pentesting Full Course – Red Team Hacking

Active Directory Pentesting Full Course – Red Team Hacking

Active Directory Pentesting Full Course – Red Team Hacking   اکثر شبکه های امروزی از سرویس اکتیو دایرکتوری برای مدیریت اکانتینگشبکه استفاده میکنند . در واقع سرویس AD برای مدیریت لاگین و دسترسی [...]