Trickbot の巧妙なインジェクション手法:防御側の検出と分析を困難にする

Trickbot Injections Get Harder to Detect & Analyze

2022/01/25 DarkReading — トロイの木馬 Trickbot の作者は、このマルウェアに複数の防御層を追加し、悪意のオペレーションで用いられるインジェクションの、防御側による検出と分析を困難にしている。これらの機能は、マルウェアの配布目的で Trickbot が再利用される前に設計されていたものであり、オンライン・バンキング詐欺を目的とした攻撃を、想定したものと思われる。

銀行詐欺を実行するために情報を盗むプロセスで、Trustbot が使用する最新のコードインジェクションについて、IBM Trusteer の研究者たちが分析した。 彼らは、マルウェアが 2016年にリリースされて以来、この種の機能が改造されていることを発見した。

今回のアップデートには、新たなサーバー・サイド・インジェクションのメカニズムにおける、Command and Control (C2) サーバーとの暗号化通信/デバッグ防止機能/インジェクション・コードの難読化などの新しい方法が含まれている。IBM の Executive Security Adviser である Limor Kessem は、今回の変更について、Trickbot の開発者たちがセキュリティ研究者や検知ツールに対して、一歩先を行くために行ってきた努力の一環であると述べている。

Kessem は、「Trickbot のように、セキュリティ管理を突破するために設計されたマルウェアは、常にアップデートされる必要がある。具体的には、コードレベルでの変更やリソースの暗号化/暗号化/難読化などとなる。これらの努力により、検知と分析を可能な限り妨げようとする」と述べている。

Trickbot は、Chase や Bank of America などの銀行が、数百万ドルの損失を被った攻撃で使用された、バンキング・トロイの木馬 Dyre の運営者が、ロシアの司法当局に逮捕された直後に登場した。この高度にモジュール化されたツールは、Dyre と同様にバンキング・トロイの木馬としてスタートし、攻撃者が被害者の銀行口座にアクセスして金を盗めるように設計されている。その後に、Trickbot は、ランサムウェアや Emotet のようなバンキング・トロイの木馬などの、他のマルウェアを配布する手段へと変化していきた。

Trickbot の運営者は、これまでのところ、テイクダウンの圧力をほとんど受けていない。2020年10月には、Microsoft/ESET やセキュリティ・ベンダーの研究者たちが、Financial Services Information Sharing and Analysis Center と協力して、Trickbot の C2 インフラストラクチャを破壊する試みを実施した。当時、このマルウェアは 12か国の 100万台以上のシステムに感染していた。このテイクダウンの結果、異なる場所にある 19台の Trickbot の C2 サーバーが切断されたが、このマルウェアの運用に中程度の影響が生じたのみだった。昨年、ラトビア人の開発者が起訴された際には、ソフトウェア開発者/マルウェア専門家/マネーミュール /プログラマーなどの、約20名で構成された Trickbot グループのコアが存在したとされている。

さらなる保護

IBM は、TrickBot の最新バージョンを分析した結果、感染したマシンを持つユーザーがオンラインで銀行口座にアクセスしようとする際に、リアルタイムで使用されるコード注入に、オペレーターが特別な保護機能を追加していることを確認した。このコード・インジェクションは、ユーザーのブラウザから送信される情報が銀行のサーバーに到達する前に、その場で修正されるように設計されている。

Kessem によると、サイバー犯罪者が被害者を騙して機密情報を漏洩させる方法の1つは、被害者がオンラインで銀行とやり取りする際に想定されるフローを模倣/カスタマイズした、Web インジェクション・フローを使用することだ。Kessem は、「彼らは、自分たちのサーバー上に偽銀行サイトを作成して、被害者を誘導することもある。また、Dyre のように、人間が関与するような、より強固なスキームを構築する場合もある」とも述べている。

IBM の分析によると、Trickbot のオペレーターは、侵入したシステムのローカルに保存されている設定ファイルから注入コードを取得するのではなく、自分のサーバーからリアルタイムにコードを注入するようにしている。このようなサーバー・サイド・インジェクションは、ローカルに保存されたインジェクションに比べて、攻撃者によるリアルタイムかつ容易な操作を可能にする。また、特定したターゲットに対して、悪意のアクティビティを開始する手口について、防御側による理解が非常に困難になると、IBM は述べている。

また、Trickbot が使用している JavaScript のダウンローダーにも改良が加えられ、HTTPS プロトコルを使用して、攻撃者が管理するインジェクション・サーバーから Web インジェクションを安全に取得させるようになっている。このインジェクションは、特定の銀行の URL に合わせて作られており、攻撃者がオンライン銀行の口座から金を盗むための情報を、ユーザーを騙して漏らすように仕組まれている。

Trickbot の作者は、さらなる対策として、マルウェアの JavaScript コードにアンチ・デバッグ機能を追加している。このデバッグ機能は、セキュリティ研究者が疑わしいコードを分析する際に行う、いわゆる code beautifying を見抜くためのものだ。IBM によると、Trickbot の新しいデバッグ防止機構は、このような code beautifying の試みを検出すると、直ちにメモリが過負荷になりブラウザがクラッシュさせる処理を実行する。

また、Trickbot が自ら注入するコードは、高度に難読化されている。Base64でエンコードされており、人間の目には読めないコード/コード実行に関する情報を隠蔽/数字や変数の意図的かつ複雑な表現などの、さまざまな仕掛けが施されている。Kessem は、「攻撃者のテクニックを知ることで、防御者は何を期待すべきかを知り、難しい部分を解き明かし、マルウェアを分析し、制御を調整することが可能になる」 と述べている。

Trickbot に関するトピックの中では、2021年12月10日の「Emotet の復活と高機能化:TrickBot との協調は健在で危険度を増している」が、とても気になっています。また、最近のスティルス性マルウェアに関しては、2021年10月の「Wslink マルウェア:サーバーとして機能しインメモリでモジュールを実行」や、2021年12月の「Nobelium の最新マルウェア Ceeloader は高スティルス性で CSP と MSP を狙う」、同じく12月の「DarkWatchman マルウェアに注意:高スティルス性で Windows Registry に潜む」などがあり、防御側のハードルが上がっている感じがします。

%d bloggers like this: