آنالیز بدافزار TrickBot توسط آزمایشگاه امنیتی کوییک هیل

TrickBotMalware_Quick_HealTrickBot بدلیل روش ها و تکنیک های مختلف انتشار چند ریختی اش، بدافزار فعالی در ماه گذشته بوده است. ما نسخه های مشترک و رسانه انتشار مشابهی دیده ایم- ایمیل های اسپم. این ایمیل ها حاوی فایل پیوست و یا یک لینک مستقیم برای دانلود می باشند تا آلودگی را گسترش دهند.Trickbot در سرقت اطلاعات ورودی افراد (اطلاعات شخصی حساس و کد احراز هویت) مربوط به بانک ها دخیل است. تاکنون شاهد انتشار آن از طریق انواع فایل های به شرح زیر بودیم:

  1. VBS
  2. WSF
  3. PDF
  4. OLE

فایل های VBS، WSF، PDF و OLE پی لود را از لینک های مخرب مختلف به کامپیوتر هدف در یک فرمت متنی رمزگذاری شده دانلود می کنند که پس از آن رمزگشایی شده و به مکان %TEMP% رها می کنند.

%TEMP%\<8 to 9 random_character>.exe [فایل PE]
%TEMP%\<8 to 9 random_character>.exeA [فایل متنی رمزشده]

مثال
%temp%\fungedsp8.exe [فایل PE]
%temp%\fungedsp8.exe [فایل PE]

  1. برخی از هاست های مخرب که بدافزار به آن متصل می شود
    hxxp://provisionbazaar.com/56evcxv?
  2. hxxp://pluzcoll.com/56evcxv?
  3. hxxp://autoecole-jeanlouis.com/sdfgdsg1?
  4. hxxp://aprendersalsa.com/nhg67r?
    hxxp://ctinfotech.com/98tf77b
  5. hxxp://skynetwork.com.au/nc367f3n

جدول زیر موضوعات ایمیل و نام های مختلف فایل های پیوست را نشان می دهد

2017-08-14_13-17-24

شکل ۱

جدول زیر روند اخیر ایمیل های اسپم دریافت شده در آزمایشگاه امنیتی کوییک هیل از ۱۸ تا ۳۱ جولای ۲۰۱۷ را نشان می دهد.

شکل 2

شکل ۲

شناسایی کوییک هیل
کوییک هیل بطور فعال ایمیل های آلوده مربوط به بد افزار TrickBot را مسدود کرده و فایل های مخرب را همانطور که در زیر نشان داده شده است با موفقیت شناسایی می کند.

شکل 3

شکل ۳

فرآیند مراقبت
همان بدافزار از راه های مختلفی برای اجرا شدن روی دستگاه قربانی و گذشتن از سیستم احراز هویت شرکت و استفاده از آنها برای اهداف نامطلوب منتشر می شود.
ایمیل های مخرب به طور فزاینده ای از روش های مهندسی اجتماعی برای فریب قربانیان استفاده می کنند تا فایل های پیوست را باز کنند.

  1. مراحل امنیتی
    هر پیوست ایمیل دارای پسوندهای زیر نباید به طور مستقیم اجرا شود:

.js/.exe/.com/.pif/.scr/.hta/.vbs/.wsf/.jse/.jar

  1. هنگامی که ایمیل دریافت می کنید، بررسی کنید که از یک منبع اصلی است و آن را با نرم افزار آنتی ویروس به روز خود اسکن کنید.
  2. هرگز ماکروها یا حالت ویرایش را حتی درصورت درخواست فایل پیوست فعال نکنید.
  3. توصیه می شود تمام به روز رسانی های امنیتی برای سیستم عامل و برنامه هایی مانند نرم افزار Adobe، جاوا، مرورگرها، و غیره را اعمال کنید.
این نوشته در کوییک هیل ارسال و , , , , , , , , , , برچسب شده است. افزودن پیوند یکتا به علاقه‌مندی‌ها.

پاسخی بگذارید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *