Ботнет Trickbot мертв – или это так? – CloudSavvy ИТ

В преддверии выборов в США в 2020 году Microsoft начала наступление на популярный ботнет под названием Trickbot. Удалось ли им убить угрозу? Объясняем, как все вышло.

Боты и ботнеты

А бот это компьютер, который был взломан и заражен вредоносное ПО. Вредоносная программа выполняет определенные действия в интересах злоумышленника. А ботнет сеть ботов, работающих в унисон. Чем больше ботов в ботнете, тем больше у него вычислительных мощностей. Он образует мощный распределенные платформенные вычисления работает от имени злоумышленников.

Ботнеты можно использовать для таких задач, как майнинг криптовалют, выполняя Распределенный отказ в обслуживании нападения, действующие как спам-фермы, чтобы собирать учетные данные пользователей в больших масштабах или скрытно собирать информацию об отдельных лицах, сетях и организациях.

Армия ботов, составляющих сеть ботов, управляется с командный и контрольный сервер часто упоминается как сервер C2. Сервер C2 принимает информацию от ботов и отвечает, посылая им команды для выполнения. Сервер C2 также может распространять новые вредоносные полезные нагрузки или плагины, которые предоставляют новые функции для вредоносных программ.

Трюк-бот

Trickbot может претендовать на звание самого печально известного ботнета в мире. Жизнь началась как банковский троян в 2016 году – кража учетных данных для входа в банковские и другие платежные платформы. С тех пор он непрерывно совершенствовался и превратился в сложный инструмент доставки вредоносных программ, который сдают в аренду другим киберпреступникам и группам злоумышленников.

С 2016 года он заразил более миллиона вычислительных устройств, что сделало его массовым ботнетом и мощным товаром для киберпреступников. Он представляет серьезную угрозу для бизнеса, поскольку использовался в качестве платформы распространения для программа-вымогатель такие как Рюк и другие громкие и масштабные операции с программами-вымогателями.

Заражение обычно происходит из-за того, что сотрудник попадает на мошенническое электронное письмо, отправленное ему в рамках кампании фишинга по электронной почте. Письмо содержит вредоносное вложение. Когда пользователь пытается открыть вложение – часто маскируясь под файл PDF или Word, – он загружает и устанавливает Trickbot.

Фактически, Trickbot – это такая большая сеть скомпрометированных машин, что одного сервера C2 недостаточно. Из-за количества ботов и объема трафика, а также отчасти из-за того, что они хотели создать некоторую избыточность в своей инфраструктуре, группа Trickbot использовала ошеломляющие 69 серверов C2 по всему миру.

Так что же произойдет, если злоумышленники Trickbot потеряют доступ ко всем своим серверам C2?

Наступление Microsoft против Trickbot

В октябре 2020 года Microsoft, избранные партнеры и хостинговые компании начали совместную работу по выявлению и устранению серверов C2 Trickbot.

Первоначальный анализ Microsoft выявил 69 основных серверов C2 это было критически важно для работы Trickbot. 62 из них вывели из строя сразу. Остальные семь не были выделенными серверами Trickbot, они были заражены. Интернет вещей (IoT) устройства, принадлежащие невинным жертвам.

Устройства Интернета вещей были похищены Trickbot. Чтобы эти устройства не вели себя как серверы C2, требовалось немного больше изящества, чем было использовано для отказа другим серверам C2 в размещении. Их нужно было продезинфицировать и вернуть к нормальной работе, а не просто остановить.

Как и следовало ожидать, банда Trickbot изо всех сил пыталась запустить и запустить замену серверов. Они создали 59 новых серверов. Они были быстро нацелены на Microsoft и ее союзники, и все, кроме одного – по состоянию на 18 октября 2020 года – были отключены. Включая исходные 69 серверов, 120 из 128 серверов Trickbot были отключены.

Как они это сделали

В октябре 2020 года Microsoft получила постановление суда США, разрешающее ей и ее партнерам отключать IP-адреса, используемые серверами TrickBot C2. Они сделали как сами серверы, так и их содержимое недоступными для операторов Trickbot. Microsoft работала по всему миру с поставщиками телекоммуникационных услуг и отраслевыми партнерами, включая Центр обмена информацией и анализа финансовых услуг (FS-ISAC), ESET, Люмен, NTT, и Symantec.

Том Берт из Microsoft (корпоративный вице-президент по безопасности и доверию клиентов) говорит, что Microsft может идентифицировать новый сервер Trickbot, выяснить, кто является хостинг-провайдером, уточнить юридические требования к ним по отключению сервера, а затем фактически отключить сервер в менее трех часов. Для случаев на территориях, где они уже закрыли сервер C2, некоторые из них можно ускорить, потому что законность либо уже на месте, либо процесс теперь хорошо понят. Их рекорд по отключению нового сервера C2 менее шести минут.

Команда Microsoft продолжает работать с Интернет-провайдеры (ISP) и национальные Команды реагирования на компьютерные чрезвычайные ситуации (CERT), чтобы помочь организациям очистить зараженные компьютеры.

Так Трикбот мертв?

Звонить рано. Инфраструктура, стоящая за вредоносным ПО, безусловно, находится в плохом состоянии. Но в прошлом Trickbot несколько раз изобретал себя заново. Возможно, он уже сделал это. Исследователи безопасности обнаружили новый тип бэкдора и загрузчика вредоносного ПО, который на уровне кода имеет сходство с вредоносным ПО Trickbot. Атрибуция нового вредоносного ПО, получившего название Bazar или BazarLoader, ведет прямо к двери банды Trickbot. Похоже, они уже работали над инструментом атаки следующего поколения до начала наступления Microsoft.

BazarLoader использует фишинговые кампании электронной почты для инициации заражения, но, в отличие от фишинговых писем Trickbot, они не содержат вложения. Вместо этого у них есть ссылки для загрузки или открытия документов в Гугл документы. Конечно, ссылки ведут жертву на мошеннические, похожие на сайты сайты. Содержание фишинговых писем представляло собой ложную информацию, относящуюся к таким различным темам, как платежные ведомости сотрудников и COVID-19.

Bazar спроектирован так, чтобы быть даже более незаметным, чем Trickbot, используя блокчейн шифрование для маскировки URL-адресов домена C2-сервера и система доменных имен (DNS) домены. Этот новый вариант уже был замечен в распространении вымогателя Ryuk, который исторически был известным клиентом Trickbot. Возможно, группа Trickbot уже перевела одного или нескольких своих клиентов на новый продукт?

Вещи собираются получить базар

Поскольку Trickbot превратился из троянских корней в расширяемую платформу для киберпреступлений по найму, добавить новые функции в Trickbot можно относительно легко. Злоумышленники создают новый плагин и загружают его с серверов C2 на машины ботнета. В декабре 2020 года был обнаружен новый плагин. В старом вредоносном ПО есть хоть какая-то жизнь, если он все еще получает новые функции.

Новый плагин позволяет Trickbot выполнять Унифицированный расширяемый интерфейс прошивки (UEFI) буткит-атака. Атака UEFI значительно усложняет удаление Trickbot с зараженных машин, даже после полной замены жесткого диска. Это также позволяет злоумышленникам блокировать компьютер путем шифрования его прошивки.

Так что Trickbot может исчезнуть, но группа, стоящая за Trickbot, готова развернуть свою новую вредоносную платформу Bazar. Microsoft и их союзники, безусловно, навредили Trickbot. Поскольку Trickbot стал практически неработоспособным, клиенты группы Trickbot будут оказывать на них давление, заставляя оказывать незаконные услуги, за которые они заплатили.

А когда среди ваших клиентов такие знаменитости, как спонсируемые государством Северной Кореи продвинутая постоянная угроза группа (APT) Лазарь вам понадобятся хорошие ответы на некоторые сложные вопросы о соглашении об уровне обслуживания и обслуживании клиентов. Возможно, именно это привело к тому, что группа Trickbot временно перешла на аутсорсинг некоторых своих услуг другой киберпреступной группе, чтобы попытаться сохранить какую-то операционную способность.

Не вступайте в армию ботнетов

Независимо от того, насколько сложными могут быть Trickbot и Bazar, они эффективны только в том случае, если способны заражать компьютеры и пополнять ряды своей армии ботнетов. Ключом к тому, чтобы избежать призыва на военную службу, является способность обнаруживать фишинговые письма и удалять их, а не поддаваться им.

Ключевым моментом здесь является обучение персонала информационной безопасности. Они получают электронные письма весь день каждый день. Им нужно все время думать в обороне. Эти точки помогут выявить фишинговые письма.

• С подозрением относитесь к необычным вещам. Вы когда-нибудь получали электронное письмо от отдела заработной платы, содержащее ссылки на Документы Google? Возможно нет. Это должно сразу вызвать у вас подозрения.
• Вам было отправлено письмо, или вы один из многих получателей? Есть ли смысл в том, что этот тип электронной почты должен доходить до более широкой аудитории?
• Текст в гиперссылке может означать что угодно, это не гарантирует, что ссылка действительно приведет вас туда. Наведите указатель мыши на любую ссылку в теле письма. В приложении электронной почты появится всплывающая подсказка с фактическим местом назначения ссылки. Если вы используете клиент веб-почты, назначение декодированной ссылки будет где-то отображаться, обычно в нижнем левом углу окна браузера. Если место назначения ссылки выглядит подозрительно, не нажимайте на нее.
• Правильная ли грамматика в письме? Соответствует ли электронное письмо правильному тону и используется ли фраза, которую вы ожидаете от такого типа общения? Орфографические ошибки и плохая грамматика следует воспринимать как предупреждающие знаки.
• Кажется ли, что логотипы, нижние колонтитулы и другие элементы корпоративной раскраски являются подлинными? Или они выглядят как копии низкого качества, которые были украдены откуда-то?
• Нет добросовестный организация всегда будет запрашивать пароли, данные учетной записи и другую конфиденциальную информацию.

Как всегда, профилактика лучше лечения.