1. صفحه نخست
  2. اخبار ایدکو
  3. توسعه‌دهندگان TrickBot قابلیت جدیدی برای این بدافزار معرفی کرده‌اند

وبلاگ بیت دیفندر

اخبار ، دیدگاه ها و نگرش کارشناسان بیت دیفندر

توسعه‌دهندگان TrickBot قابلیت جدیدی برای این بدافزار معرفی کرده‌اند

در گروهاخبار ایدکو، ۱۴۰۰/۱۱/۹

توسعه‌دهندگان TrickBot به این بدافزار قابلیت جدیدی را اضافه کرده‌اند که باعث می‌شود هیچ‌کس نتواند به کد نگاه کرده و زیربنای این بدافزار را کشف کند.به نقل از محققین امنیتی بدین‌ترتیب مرورگری که برای بررسی و کشف مورد استفاده قرار می‌گیرد از کار می‌افتد. توسعه‌دهندگان بدافزار همه تلاش خود را کرده‌اند تا کد خود را از دست محققین امنیتی مخفی نگه دارند. رمزگذاری کد یا استفاده از کد چندشکلی (پلی‌مورفیک) دو متودیست که توسعه‌دهندگان برای شناسایی نشدن توسط راهکارهای امنیتی استفاده می‌کنند. خوشبختانه فناوری یادگیری ماشین و اکتشاف بحری پیشرفته بر همه این متودها غلبه می‌کند؛ از این روست که بدافزار مذکور در نهایت دستش رو می‌شود. پی‌لودهای اولیه در تلاششان برای مخفی‌سازی این بدافزار از چشم راهکارهای امنیتی مخفی می‌شوند و خود کد نیز مبهم‌سازی می‌گردد. افزون بر این، TrickBot از تزریق‌های سمت سرور برای به خدمت گرفتن پی‌لودهای اضافی که می‌خواهند از چشم‌ها دور بمانند استفاده می‌کنند. محققین اطلاعات امنیتی و نیز سازمان IBM می‌گویند، «به منظور محافظت بیشتر از تزریق‌هایش، TrickBot  به کد JS خود اسکریپت ضددیباگ اضافه کرده است. هدف هم پیش‌بینی اقدامات معمول محققین است و نیز حصول اطمینان از اینکه تحلیل‌شان به در بسته خواهد خورد. در چنین سناریویی، TrickBot  می‌تواند اورلود مموری را که پیچ را از کار می‌اندازد و تحلیل را کُند می‌کند مورد هدف قرار دهد». وقتی محققین امنیتی سعی دارند کد را خواناتر سازند، از روش‌های مختلفی برای زیباسازی آن استفاده می‌کنند و همین بُعد محافظتی کار را خدشه‌دار می‌کند. به نقل از محققین، « TrickBot  برای شناسایی یک تشکیلات زیباسازی‌شده و انداختن آن در یک لوپی که سایز این حلقه پویا را با هر تکرار بیشتر می‌کند از RegEx استفاده می‌کند. بعد از چند راند، مموری در نهایت اورلد می‌شود و مرورگر از کار می‌افتد». البته که این تنها قابلیتی نیست که توسعه‌دهندگان بدافزار TrickBot اضافه کرده‌اند. همچنین کد مُرده یا اضافی را هم افزودند، رشته‌هایی جایگزین کردند به طوریکه کد با هیچ ابزاری خوانده نشود. در حال حاضر TrickBot یکی از تروجان‌های معروف بانکی است که هنوز فعالیت دارد. ماهیت ماژولار آن و روش‌های مختلف توزیعی که دارد باعث شده ریشه‌کن کردنش سخت باشد. بهترین راه محافظت کردن این است که روی هر دستگاهی راهکار امنیتی نصب کنید و نیز به کارمندان خود در خصوص مسائل امنیت سایبری آموزش داده، احراز هویت چندعاملی را فعال نموده، ایمیل را امنیت‌دهی کرده، بک‌آپ‌های آفلاین تهیه کرده و معماری شبکه را که اقدامات جانبی را محدود می‌سازند ارتقا دهید.