A 2020-as amerikai választások előtt a Microsoft támadást indított a Trickbot nevű termékeny botnet ellen. Sikerült megölniük a fenyegetést? Elmagyarázzuk, hogyan pásztázott ki.
Botok és Botnetek
A bot egy olyan számítógép, amely sérült és fertőzött rosszindulatú. A rosszindulatú program bizonyos intézkedéseket hajt végre a fenyegetés szereplőjének érdekében. A botnet olyan robotok hálózata, amelyek egységesen működnek. Minél több bot van a botnetben, annál nagyobb a számítási teljesítménye. Hatalmasat alkot elosztott platformos számítástechnika a fenyegetés szereplőinek nevében dolgozik.
A botneteket olyan feladatokhoz lehet használni, mint pl bányászat kriptovaluták, előadó elosztott szolgáltatásmegtagadás támadásokként viselkedik spam farmok, a felhasználói hitelesítő adatok nagyarányú betakarításához, vagy titkos információk gyűjtéséhez egyénekről, hálózatokról és szervezetekről.
A bothálózatot alkotó robotok seregét a parancs és vezérlő kiszolgáló gyakran C2 szerverként emlegetik. A C2 szerver elfogadja az információkat a robotoktól, és válaszként követési parancsokat küld nekik. A C2 szerver új rosszindulatú terheléseket vagy plug-ineket is terjeszthet, amelyek új funkcionalitást nyújtanak a rosszindulatú program számára.
Trickbot
A Trickbot jól követelheti a világ leghírhedtebb botnet címét. Az életet a banki trójai 2016-ban bejelentkezési adatokat lopott a banki és egyéb fizetési platform-számlákra. Azóta folyamatosan fejlődik, és kifinomult malware szállító eszközzé fejlődött, amelyet más kiberbűnözők és fenyegetésszerző csoportok számára bérelnek fel.
2016 óta több mint egymillió számítástechnikai eszközt fertőzött meg, így hatalmas botnet és hatalmas árucikk az internetes bűnözők számára. Komoly fenyegetést jelent a vállalkozások számára, mivel terjesztési platformként használták ransomware mint például Ryuk és más nagynevű, nagyszabású ransomware-műveletek.
A fertőzések általában abból adódnak, hogy egy alkalmazott csaló e-mailbe esik, amelyet e-mail adathalász kampány részeként kaptak meg. Az e-mail rosszindulatú mellékletet tartalmaz. Amikor a felhasználó megpróbálja megnyitni a mellékletet – gyakran PDF vagy Word fájlként ábrázolva -, letölti és telepíti a Trickbot szoftvert.
Valójában a Trickbot akkora hálózat a veszélyeztetett gépektől, hogy egyetlen C2 szerver nem elegendő. A botok száma és a forgalom nagysága, valamint részben azért, mert némi redundanciát akartak beépíteni az infrastruktúrájukba, a Trickbot csoport megdöbbentő 69 C2 szervert használt az egész világon.
Tehát mi történne, ha a Trickbot fenyegetés színészei elveszítenék az összes C2 szerverükhöz való hozzáférést?
A Microsoft támadása a Trickbot ellen
2020 októberében a Microsoft, a kiválasztott partnerek és a hosting cégek együtt kezdtek dolgozni a Trickbot C2 szervereinek azonosításában és felszámolásában.
A Microsoft kezdeti elemzése azonosította 69 magos C2 szerver amelyek döntő fontosságúak voltak Trickbot működésében. 62-et azonnal letiltottak. A másik hét nem dedikált Trickbot szerver volt, hanem megfertőződtek A tárgyak internete (IoT) eszközök, amelyek ártatlan áldozatokhoz tartoznak.
Az IoT-eszközöket Trickbot eltérítette. Annak megakadályozása, hogy ezek az eszközök C2 szerverként viselkedjenek, valamivel több finomságot igényelt, mint amennyit megtagadtak a többi C2 szervertől, hogy rendelkeznek tárhelygel. Fertőtleníteni kellett őket, és vissza kellett térniük a szokásos szolgálatukra, ahelyett, hogy csak reszkető megállásba hozták volna őket.
Ahogy az várható volt, a Trickbot banda megkísérelte a cserekiszolgálók elindítását és működését. 59 új szervert hoztak létre. Ezeket a Microsoft és szövetségesei gyorsan megcélozták, és egy kivételével – 2020. október 18-án – mindegyiket letiltották. Az eredeti 69 szervert beleszámítva a 128 Trickbot szerverből 120 le van tiltva.
Hogy csinálták
2020 októberében a Microsoft megszerezte az Egyesült Államok bírósági végzését, amely lehetővé tette számára és partnereinek, hogy tiltsák le a TrickBot C2 szerverek által használt IP-címeket. Magukat a szervereket és azok tartalmát is hozzáférhetetlenné tették a Trickbot operátorok számára. A Microsoft globálisan együttműködött a távközlési szolgáltatókkal és az ipari partnerekkel, ideértve a Pénzügyi szolgáltatások információmegosztó és elemző központja (FS-ISAC), ESET, Lumen, NTT, és Symantec.
A Microsoft Tom Burt (vállalati alelnök, Ügyfélbiztonság és bizalom) szerint a Microsft képes azonosítani egy új Trickbot szervert, kitalálni, hogy ki a tárhelyszolgáltató, kiegyenesíteni a törvényi előírásokat a kiszolgáló lebontására, majd a kiszolgáló tényleges letiltására kevesebb, mint három óra. Azokon a területeken, ahol már bezárták a C2 szervert, ezek egy része gyors nyomon követhető, mivel a törvényességek már érvényben vannak, vagy a folyamat ma már jól érthető. Rekordjaik az új C2 szerver lebontásáról kevesebb, mint hat perc.
A Microsoft csapata továbbra is együttműködik Internet szolgáltatók (ISP) és nemzeti Számítógépes vészhelyzeti csapatok (CERT), hogy segítsen a szervezeteknek megtisztítani a fertőzött számítógépeket.
Tehát Trickbot halott?
Túl korai hívni. A rosszindulatú programok mögött álló infrastruktúra minden bizonnyal rossz egészségi állapotban van. De Trickbot a múltban többször feltalálta önmagát. Lehet, hogy ezt már megtette. Biztonsági kutatók új típusú rosszindulatú programokat észleltek, amelyek kódszintű hasonlóságot mutatnak a Trickbot rosszindulatú programokkal. Az új kártevő – Bazar vagy BazarLoader névre keresztelt – hozzárendelése egyenesen a Trickbot banda ajtajához vezet. Valószínűnek tűnik, hogy a Microsoft offenzíva megkezdése előtt már dolgoztak egy következő generációs támadó eszközön.
A BazarLoader e-mail adathalász kampányokat használ a fertőzések kezdeményezésére, de a Trickbot adathalász e-mailekkel ellentétben nem tartalmaznak mellékletet. Ehelyett linkjeik vannak, amelyek a dokumentumok letöltésére vagy megnyitására szolgálnak Google Dokumentumok. Természetesen a linkek csaló, látszólagos weboldalakra terelik az áldozatot. Az adathalász e-mailek tartalma hamis információ volt olyan témákkal kapcsolatban, amelyek változatosak voltak, mint az alkalmazottak bérszámfejtése és a COVID-19.
A Bazart úgy tervezték, hogy még lopakodóbb legyen, mint a Trickbot blokklánc titkosítás a C2 szerver domain URL-jeinek és Domain név rendszer (DNS) domainek. Ez az új változat már látta a Ryuk ransomware terjesztését, amely történelmileg a Trickbot ismert ügyfele volt. Talán a Trickbot csoport egy vagy több ügyfelét már átállította új termékére?
A dolgok megszerzik Bazárt
Mivel a Trickbot a trójai gyökerekből kibővített kibérelhető számítógépes bűnözés platformjává vált, új funkciók hozzáadása a Trickbot-hoz viszonylag egyszerűen elérhető. A fenyegetés szereplői új plug-int írnak, és letöltik a C2 szerverekről a botnet gépekre. Új plugint észleltek 2020 decemberében. A régi rosszindulatú programokban legalább van élet, ha még mindig új funkciókat kap.
Az új beépülő modul lehetővé teszi a Trickbot számára a Unified Extensible Firmware Interface (UEFI) bootkit támadás. Az UEFI-támadás miatt a Trickbotot sokkal nehezebb eltávolítani a fertőzött gépekből, még a merevlemez teljes cseréjét is túlélve. Ez lehetővé teszi a fenyegetett szereplők számára, hogy számítógépet téglázzanak a firmware kódolásával.
Tehát a Trickbot elenyészhet, de a Trickbot mögött álló csoport készen áll az új kártevő platform, a Bazar telepítésére. A Microsoft és szövetségeseik minden bizonnyal bántják Trickbotot. Mivel a Trickbot szinte működésképtelenné vált, a Trickbot csoport ügyfelei nyomást gyakorolnak rájuk, hogy illegális szolgáltatásokat fizessenek.
És amikor az ügyfelek között vannak olyan világítótestek, mint Észak-Korea államilag támogatott előrehaladott tartós fenyegetés csoport (APT) Lázár jó válaszokra lesz szüksége a szolgáltatási szintű megállapodással és az ügyfélszolgálattal kapcsolatos nehéz kérdésekre. Ez lehet az, ami a Trickbot csoportot arra késztette, hogy szolgáltatásaikat átmenetileg kiszervezze egy másik számítógépes bűnözői csoportba, hogy megpróbálja fenntartani valamilyen működési képességét.
Ne csatlakozzon a Botnet hadsereghez
Függetlenül attól, hogy a Trickbot és a Bazar mennyire kifinomult lehet, csak akkor hatékonyak, ha képesek megfertőzni a számítógépeket, hogy megduzzasztják botnet-hadseregük sorait. A sorkatonaság elkerülésének kulcsa az, hogy képes legyen észrevenni az adathalász e-maileket, és törölni őket ahelyett, hogy nekik esne.
A kulcs a személyzet kiberbiztonsági tudatossága szempontjából kulcsfontosságú. Minden nap e-maileket kapnak. Folyamatosan védekezően kell gondolkodniuk. Ezek a pontok segítenek azonosítani az adathalász e-maileket.
- Legyen gyanakvó a szokatlan dolgokkal szemben. Volt már valaha e-mailje a fizetési osztálytól, amely a Google Dokumentumok linkjeit tartalmazta? Valószínűleg nem. Ennek azonnal fel kell vetnie a gyanúját.
- Elküldték Önnek az e-mailt, vagy Ön a sok címzett egyike? Van-e értelme annak, hogy az ilyen típusú e-mailek szélesebb közönséghez kerüljenek?
- A hiperhivatkozás szövege bármit mondhat, ez nem garantálja, hogy a link valóban oda vezet. Vigye az egérmutatót az e-mail törzsében található linkek fölé. Egy e-mail alkalmazásban megjelenik egy eszköztipp a link tényleges céljával együtt. Ha webmail klienst használ, akkor a dekódolt linkcél valahol megjelenik, általában a böngészőablak bal alsó sarkában. Ha a link célállomása gyanúsnak tűnik, ne kattintson rá.
- Helyes az e-mail nyelvtana? Megfelelően szól-e az e-mail, és használja-e azt a fordulatot, amelyre az ilyen típusú kommunikációban számíthat? A helyesírási hibákat és a rossz nyelvtant figyelmeztető jeleknek kell tekinteni.
- Úgy tűnik, hogy a logók, láblécek és a vállalati megjelenés egyéb elemei valódiak? Vagy rossz minőségű másolatoknak tűnnek, amelyeket máshonnan ragadtak meg?
- Nem jóhiszemű a szervezet bármikor kér jelszavakat, számlaadatokat és egyéb érzékeny információkat.
Mint mindig, a megelőzés is jobb, mint a gyógyítás.
