TrickBot Kimdir?

TrickBot - kötü amaçlı yazılımı nedir?  

☀ TrickBot (veya "TrickLoader") bankacılık bilgileri, hesap kimlik bilgileri, kişisel olarak tanımlanabilir bilgiler (PII) ve hatta bitcoin'ler gibi verileri için hem işletmeleri hem de tüketicileri hedefleyen tanınmış bir bankacılık Truva Atı'dır. Oldukça modüler bir kötü amaçlı yazılım olarak, kendisini içinde bulduğu herhangi bir ortama veya ağa uyum sağlayabilir. Bu Truva Atı'nın keşfedildiği 2016 yılından bu yana yaptığı pek çok numara, geliştiricilerinin yaratıcılığına ve çevikliğine bağlanıyor. Hırsızlığa ek olarak, TrickBot'a yanal olarak hareket etme ve açıklardan yararlanarak etkilenen bir ağda yer edinme, Sunucu İleti Bloğu (SMB) paylaşımları aracılığıyla kendi kopyalarını yayma, Ryuk fidye yazılımı gibi diğer kötü amaçlı yazılımları bırakma ve belgeler ve medya için keşif yapma yetenekleri verildi. virüslü ana makinelerdeki dosyalar.

TrickBot nasıl yayılır? 

☀ Emotet gibi, TrickBot da etkilenen sistemlere gömülü URL'ler veya kötü amaçlı spam (malspam) kampanyalarındaki virüslü ekler biçiminde ulaşır. TrickBot çalıştırıldıktan sonra, yaygın olarak bilinen üç NSA açığından birini kullanarak SMB güvenlik açığından yararlanarak ağ içinde yanal olarak yayılır: EternalBlue, EternalRomance veya EternalChampion. Emotet ayrıca ikincil bir enfeksiyonun parçası olarak TrickBot'u düşürebilir.

TrickBot'un geçmişi nedir? 

☀ TrickBot bir bankacılık bilgi hırsızı olarak başladı, ancak hiçbir şey basit değil, en başından beri bile. hacking araştırmacıları ilk olarak 2016'da TrickBot'u bulduklarında, zaten normalde "basit" kimlik bilgisi hırsızlarında görülmeyen niteliklerle övünüyordu. Başlangıçta, bankacılık verileri için finansal hizmetleri ve kullanıcıları hedef aldı. Ayrıca diğer kötü amaçlı yazılımları da düşürür. 

TrickBot, ilk olarak 2014'te ortaya çıkan başka bir kimlik bilgisi hırsızı olan Dyreza'nın halefi olma ününe sahiptir. C&C) TrickBot'un iletişim kurduğu sunucular. Bu, birçok araştırmacının Dyreza'yı yaratan kişi veya grubun TrickBot'u da yarattığına inanmasına neden oldu. 

2017'de geliştiriciler, WannaCry ve EternalPetya gibi solucan benzeri yeteneklere sahip başarılı fidye yazılımı kampanyalarından ilham aldığına inandığımız TrickBot'a bir solucan modülü ekledi. Geliştiriciler ayrıca Outlook kimlik bilgilerini toplamak için bir modül eklediler. Neden Outlook? Dünya çapında yüzlerce kuruluş ve milyonlarca kişi genellikle bu web posta hizmetini kullanır. TrickBot'un çaldığı veri aralığı da genişledi: çerezler, tarama geçmişi, ziyaret edilen URL'ler, Flash LSO (Yerel Paylaşılan Nesneler) ve daha fazlası. 

Bu modüller o zamanlar yeni olmasına rağmen iyi kodlanmamıştı. 

2018'de TrickBot, SMB güvenlik açığından yararlanmaya devam etti. Ayrıca, bir PowerShell komutu kullanarak Windows Defender'ın gerçek zamanlı izlemesini devre dışı bırakan modülle donatıldı. Şifreleme algoritmasını da güncellemiş olsa da, modül işlevinin geri kalanı aynı kaldı. TrickBot geliştiricileri ayrıca, gizleme unsurlarını dahil ederek kodlarının güvenlik araştırmacıları tarafından parçalanmasını önlemeye başladı. 

Yıl sonunda TrickBot, Emotet'i geride bırakarak işletmelere yönelik en büyük tehdit olarak sıralandı.

TrickBot geliştiricileri, 2019'da yine Trojan'da bazı değişiklikler yaptı. Özellikle, webinject özelliğinin ABD merkezli mobil operatörler Sprint, Verizon Wireless ve T-Mobile'a karşı çalışma biçiminde değişiklikler yaptılar. 

Son zamanlarda, araştırmacılar bu Truva Atı'nın kaçırma yönteminde bir gelişme olduğunu fark ettiler. Kendisinin bir kopyasını yaymaktan sorumlu modül olan Mworm, yerini Nworm adlı yeni bir modüle bıraktı. Bu yeni modül, TrickBot'un HTTP trafiğini değiştirerek, bir etki alanı denetleyicisine bulaştıktan sonra bellekten çalışmasına izin verir. Bu, TrickBot'un etkilenen makinelerde herhangi bir enfeksiyon izi bırakmamasını sağlar.

Trickbot kimi hedefliyor? 

☀ İlk başta, herhangi biri TrickBot'un hedefi gibi görünüyordu. Ancak son yıllarda, Outlook veya T-Mobile kullanıcıları gibi hedefleri daha belirgin hale geldi. Zaman zaman, TrickBot'un vergi sezonunda vergi temalı bir spam olarak gizlendiği görülür. 

2019'da DeepInstinct araştırmacıları, milyonlarca kullanıcıdan toplanan e-posta adresleri ve/veya haberci kimlik bilgilerinin bulunduğu bir havuz buldu. Bunlar Gmail, Hotmail, Yahoo, AOL ve MSN kullanıcılarına aittir.

TrickBot'tan nasıl korunabilirim? 

☀ TrickBot'un nasıl çalıştığını öğrenmek, kuruluşların ve tüketicilerin kendilerini bundan nasıl koruyabileceklerini bilmenin ilk adımıdır. Dikkat etmeniz gereken diğer bazı şeyler şunlardır: 

• Farbar Kurtarma Tarama Aracı (FRST) gibi özellikle bunun için tasarlanmış araçları çalıştırarak olası Uzlaşma Göstergelerini (IOC) arayın. Bunu yapmak, ağ içindeki virüslü makineleri tanımlayacaktır.
• Makineler tanımlandıktan sonra, virüslü makineleri ağdan izole edin. 
• TrickBot'un yararlandığı güvenlik açıklarını gideren yamaları indirin ve uygulayın. 
• Yönetimsel paylaşımları devre dışı bırakın. 
• Tüm yerel ve etki alanı yönetici parolalarını değiştirin. 

• Çok katmanlı korumaya sahip bir siber güvenlik programı kullanarak kendinizi TrickBot bulaşmasından koruyun.