Ботнет Trickbot мертв — или нет?
В преддверии выборов в США в 2020 году Microsoft начала наступление на плодовитый ботнет под названием Trickbot. Удалось ли им убить угрозу? Мы объясняем, как это получилось.
Боты и ботнеты
Бот – это компьютер, который был скомпрометирован и заражен вредоносным ПО. Вредоносное ПО выполняет какое-либо действие в интересах злоумышленника. Ботнет – это сеть ботов, которые работают в унисон. Чем больше ботов в ботнете, тем больше у него вычислительной мощности. Он формирует мощную распределенную вычислительную платформу, работающую от имени субъектов угроз.
Ботнеты можно использовать для таких задач, как добыча криптовалюты, выполнение распределенных атак типа «отказ в обслуживании», работа в качестве спам-ферм, сбор учетных данных пользователей в больших масштабах или тайный сбор информации об отдельных лицах, сетях и организациях.
Армия ботов, составляющих бот-сеть, управляется с сервера управления и контроля, который часто называют C2-сервером. Сервер C2 принимает информацию от ботов и отвечает, отправляя им команды следовать. Сервер C2 также может распространять новые вредоносные полезные нагрузки или подключаемые модули, которые обеспечивают новые функции для вредоносных программ.
Трикбот
Trickbot может претендовать на звание самого печально известного ботнета в мире. Он начал свою жизнь как банковский троянец в 2016 году, похищая учетные данные для входа в банковские аккаунты и аккаунты других платежных платформ. С тех пор он постоянно развивался и превратился в сложный инструмент доставки вредоносного ПО, который сдается в аренду другим киберпреступникам и группам злоумышленников.
С 2016 года он заразил более миллиона вычислительных устройств, что сделало его огромным ботнетом и мощным товаром для киберпреступников. Он представляет серьезную угрозу для бизнеса, поскольку использовался в качестве платформы для распространения программ-вымогателей, таких как Ryuk, и других широкомасштабных программ-вымогателей с громкими именами.
Заражение обычно происходит из-за того, что сотрудник попадается на мошенническое электронное письмо, отправленное ему в рамках фишинговой кампании по электронной почте. Электронное письмо содержит вредоносное вложение. Когда пользователь пытается открыть вложение, часто маскирующееся под файл PDF или Word, оно загружает и устанавливает Trickbot.
По сути, Trickbot представляет собой такую большую сеть скомпрометированных машин, что одного C2-сервера недостаточно. Из-за количества ботов и объема трафика, а отчасти из-за того, что они хотели создать некоторую избыточность в своей инфраструктуре, группа Trickbot использовала ошеломляющие 69 серверов C2 по всему миру.
Так что же произойдет, если злоумышленники Trickbot потеряют доступ ко всем своим C2-серверам?
Наступление Microsoft против Trickbot
В октябре 2020 года Microsoft, отдельные партнеры и хостинговые компании начали совместную работу по выявлению и устранению серверов C2 Trickbot.
Первоначальный анализ Microsoft выявил 69 основных серверов C2, которые имели решающее значение для операций Trickbot. Они немедленно вывели из строя 62 из них. Остальные семь не были выделенными серверами Trickbot, они были заражены устройствами Интернета вещей (IoT), принадлежащими невинным жертвам.
Устройства IoT были захвачены Trickbot. Чтобы запретить этим устройствам вести себя как серверы C2, требовалось немного больше ухищрений, чем для того, чтобы запретить другим серверам C2 иметь базу хостинга. Их нужно было продезинфицировать и вернуть к нормальной работе, а не просто остановить.
Как и следовало ожидать, банда Trickbot изо всех сил старалась запустить и запустить новые серверы. Они создали 59 новых серверов. Microsoft и ее союзники быстро нацелились на них, и все, кроме одного, по состоянию на 18 октября 2020 г., были отключены. Включая исходные 69 серверов, 120 из 128 серверов Trickbot были отключены.
Как они это сделали
В октябре 2020 года Microsoft получила постановление суда США, позволяющее ей и ее партнерам отключать IP-адреса, используемые серверами TrickBot C2. Они сделали как сами серверы, так и их содержимое недоступными для операторов Trickbot. Microsoft работала по всему миру с поставщиками телекоммуникационных услуг и отраслевыми партнерами, включая Центр обмена и анализа информации о финансовых услугах (FS-ISAC), ESET, Lumen, NTT и Symantec.
Том Берт (Tom Burt) из Microsoft (корпоративный вице-президент по безопасности и доверию клиентов) говорит, что Microsoft может идентифицировать новый сервер Trickbot, выяснить, кто является хостинг-провайдером, уточнить юридические требования, предъявляемые к ним, чтобы отключить сервер, а затем фактически отключить сервер в менее трех часов. Например, на территориях, где они уже закрыли сервер C2, некоторые из этих действий можно ускорить, потому что законность либо уже действует, либо процесс теперь хорошо понятен. Их рекорд по отключению нового сервера C2 составляет менее шести минут.
Команда Microsoft продолжает работать с поставщиками услуг Интернета (ISP) и национальными группами реагирования на компьютерные чрезвычайные ситуации (CERT), чтобы помочь организациям очистить зараженные компьютеры.
Так Трикбот мертв?
Слишком рано звонить. Инфраструктура, стоящая за вредоносной программой, определенно находится в плохом состоянии. Но в прошлом Trickbot несколько раз изобретал себя заново. Возможно, это уже было сделано. Исследователи безопасности обнаружили новый тип вредоносного бэкдора и загрузчика, который на уровне кода похож на вредоносное ПО Trickbot. Атрибуция новой вредоносной программы, получившей название Bazar или BazarLoader, ведет прямо к двери банды Trickbot. Вероятно, они уже работали над инструментом атаки нового поколения до того, как началось наступление Microsoft.
BazarLoader использует фишинговые кампании по электронной почте для инициирования заражения, но, в отличие от фишинговых писем Trickbot, они не содержат вложений. Вместо этого у них есть ссылки для загрузки или открытия документов в Google Docs. Конечно, ссылки ведут жертву на мошеннические, похожие веб-сайты. Содержание фишинговых писем представляло собой фиктивную информацию, связанную с такими разными темами, как платежные ведомости сотрудников и COVID-19.
Bazar спроектирован так, чтобы быть еще более незаметным, чем Trickbot, используя шифрование блокчейна для маскировки URL-адресов доменов сервера C2 и доменов системы доменных имен (DNS). Этот новый вариант уже был замечен в распространении программы-вымогателя Ryuk, которая исторически была известным клиентом Trickbot. Возможно, группа Trickbot уже перевела одного или нескольких своих клиентов на новый продукт?
Вещи собираются получить Базар
Поскольку Trickbot превратился из своих троянских корней в расширяемую платформу для найма киберпреступников, добавление новых функций в Trickbot может быть достигнуто относительно легко. Злоумышленники пишут новый плагин и загружают его с серверов C2 на машины ботнета. В декабре 2020 года был обнаружен новый плагин. В старой вредоносной программе есть хоть какая-то жизнь, если она все еще получает новый функционал.
Новый подключаемый модуль позволяет Trickbot выполнять атаку с использованием буткита Unified Extensible Firmware Interface (UEFI). Атака UEFI значительно затрудняет удаление Trickbot с зараженных машин, даже после полной замены жесткого диска. Это также позволяет злоумышленникам заблокировать компьютер, зашифровав его прошивку.
Таким образом, Trickbot может исчезнуть, но группа, стоящая за Trickbot, готова развернуть свою новую платформу вредоносного ПО Bazar. Microsoft и их союзники определенно навредили Trickbot. Поскольку Trickbot стал почти неработоспособным, клиенты группы Trickbot будут оказывать на них давление, чтобы они оказывали незаконные услуги, за которые они заплатили.
А когда в число ваших клиентов входят такие знаменитости, как спонсируемая государством Северная Корея группа продвинутых постоянных угроз (APT) Lazarus, вам понадобятся хорошие ответы на некоторые сложные вопросы о вашем соглашении об уровне обслуживания и обслуживании клиентов. Возможно, это побудило группу Trickbot временно передать некоторые из своих услуг другой группе киберпреступников, чтобы попытаться сохранить какие-то операционные возможности.
Не присоединяйтесь к армии ботнетов
Какими бы изощренными ни были Trickbot и Bazar, они эффективны только в том случае, если способны заражать компьютеры и пополнять ряды своей армии ботнетов. Ключом к тому, чтобы избежать призыва, является возможность обнаруживать фишинговые электронные письма и удалять их, а не поддаваться на них.
Обучение персонала по вопросам кибербезопасности играет здесь ключевую роль. Они получают электронные письма весь день каждый день. Им нужно все время думать в обороне. Эти точки помогут идентифицировать фишинговые письма.
- С подозрением относитесь к необычным вещам. Вы когда-нибудь получали электронное письмо от отдела расчета заработной платы, содержащее ссылки на Документы Google? Возможно нет. Это должно сразу вызвать у вас подозрения.
- Электронное письмо было отправлено вам или вы являетесь одним из многих получателей? Есть ли смысл в том, что этот тип электронной почты должен быть адресован более широкой аудитории?
- Текст в гиперссылке может говорить что угодно. Это не гарантирует, что ссылка действительно приведет вас туда. Наведите указатель мыши на любые ссылки в теле письма. В приложении электронной почты появится всплывающая подсказка с фактическим назначением ссылки. Если вы используете клиент веб-почты, декодированная ссылка будет отображаться где-то, обычно в левом нижнем углу окна браузера. Если место назначения ссылки выглядит подозрительно, не нажимайте на него.
- Правильна ли грамматика в электронном письме? Имеет ли электронное письмо правильный тон и использует ли оборот речи, который вы ожидаете от такого типа общения? Орфографические ошибки и грамматические ошибки следует воспринимать как предупреждающие знаки.
- Являются ли логотипы, нижние колонтитулы и другие элементы корпоративной окраски подлинными? Или они выглядят как некачественные копии, взятые откуда-то еще?
- Ни одна добросовестная организация никогда не будет запрашивать пароли, данные учетной записи и другую конфиденциальную информацию.
Как всегда, профилактика лучше, чем лечение.