Vamos ver essa mec\u00e2nica em a\u00e7\u00e3o enquanto acompanhamos um analista real do CyberSOC investigando o caso do malware apelidado de “Trickbot”.<\/p>\n
\u00a0<\/p>\n
Origens do Trickbot<\/span><\/strong><\/h2>\n\u00a0<\/p>\n
Os CyberSOCs da Orange Cyberdefense v\u00eam rastreando o malware espec\u00edfico chamado Trickbot h\u00e1 algum tempo. \u00c9 comumente atribu\u00eddo a um Ator de Amea\u00e7a espec\u00edfico, geralmente conhecido sob o nome de Wizard Spider (Crowdstrike), UNC1778 (FireEye) ou Gold Blackburn (Secureworks).<\/p>\n
\u00a0<\/p>\n
O Trickbot \u00e9 um Trojan popular e modular, inicialmente usado para direcionar o setor banc\u00e1rio, que tamb\u00e9m foi usado para comprometer empresas de outros setores. Ele oferece v\u00e1rios tipos de cargas \u00fateis. O Trickbot evoluiu progressivamente para ser usado como Malware-as-a-Service (MaaS) por diferentes grupos de ataque.<\/p>\n
\u00a0<\/p>\n
O agente da amea\u00e7a por tr\u00e1s disso \u00e9 conhecido por agir rapidamente, usando a conhecida ferramenta de p\u00f3s-explora\u00e7\u00e3o Cobalt Strike para se mover lateralmente na infraestrutura de rede da empresa e implantar ransomware como Ryuk ou Conti como est\u00e1gio final. <\/span>Como \u00e9 usado para acesso inicial, ser capaz de detectar essa amea\u00e7a o mais r\u00e1pido poss\u00edvel \u00e9 um elemento-chave do sucesso para evitar novos ataques.<\/p>\n\u00a0<\/p>\n
Essa an\u00e1lise de amea\u00e7as se concentrar\u00e1 no agente de amea\u00e7as chamado TA551 e no uso do Trickbot como exemplo. Apresentarei como podemos realizar a detec\u00e7\u00e3o nas diferentes etapas da cadeia de morte, desde a infec\u00e7\u00e3o inicial por meio de campanhas de spam, passando para a detec\u00e7\u00e3o de ferramentas usadas pelo agente da amea\u00e7a durante o comprometimento. Tamb\u00e9m forneceremos algumas informa\u00e7\u00f5es adicionais sobre como o agente da amea\u00e7a est\u00e1 usando esse malware e a evolu\u00e7\u00e3o que levou.<\/p>\n
\u00a0<\/p>\n
1<\/strong> \u2014 Acesso inicial<\/strong><\/h4>\n\u00a0<\/p>\n
Desde junho de 2021, o grupo TA551 come\u00e7ou a entregar o malware Trickbot usando um zip criptografado. O pretexto do e-mail imita uma informa\u00e7\u00e3o importante para diminuir a vigil\u00e2ncia do usu\u00e1rio.<\/p>\n
\u00a0<\/p>\n
O anexo inclui um arquivo .zip que tamb\u00e9m inclui um documento. O arquivo zip sempre usa o mesmo nome de “request.zip” ou “info.zip” e o mesmo nome para o arquivo de documento.<\/p>\n
\u00a0<\/p>\n
NB: O Threat Actor usou o mesmo modus operandi antes\/em paralelo ao Trickbot para entregar outro malware. Observamos durante o mesmo per\u00edodo, de junho de 2021 a setembro de 2021, o uso do Bazarloader na carga de acesso inicial.<\/i><\/p>\n
\u00a0<\/p>\n\n\n\n
2<\/span><\/span><\/strong> – <\/span><\/span>Execu\u00e7\u00e3o<\/span><\/span><\/strong><\/h4>\n\u00a0<\/p>\n
Quando o usu\u00e1rio abre o documento com as macros habilitadas, um arquivo HTA ser\u00e1 descartado no sistema e iniciado usando cmd.exe. O arquivo HTA \u00e9 usado para baixar a DLL do Trickbot de um servidor remoto.<\/span><\/p>\n\u00a0<\/p>\n
Este comportamento est\u00e1 relacionado ao TA551, podemos identific\u00e1-lo com o padr\u00e3o “\/bdfh\/” na requisi\u00e7\u00e3o GET.<\/span><\/p>\n\u00a0<\/p>\n
\nGET \/bdfh\/M8v[..]VUb HTTP\/1.1<\/span><\/i><\/p>\nAceitar: *\/*<\/span><\/i><\/p>\nAnfitri\u00e3o: wilkinstransportss.com<\/span><\/i><\/p>\nTipo de conte\u00fado: application\/octet-stream<\/span><\/i><\/p>\n\u00a0<\/p>\n<\/blockquote>\n
NB: Padr\u00f5es relacionados ao TA551 evolu\u00edram com o tempo, desde meados de agosto de 2021, o padr\u00e3o mudou para “\/bmdff\/”. <\/span>A DLL \u00e9 registrada como um arquivo jpg para ocultar a extens\u00e3o real e tenta ser executada via regsvr32.exe. Em seguida, o Trickbot ser\u00e1 injetado em “wermgr.exe” usando t\u00e9cnicas de Process Hollowing.<\/p>\n\u00a0<\/p>\n
\u00a0<\/p>\n
Essa an\u00e1lise de amea\u00e7as se concentrar\u00e1 no agente de amea\u00e7as chamado TA551 e no uso do Trickbot como exemplo. Apresentarei como podemos realizar a detec\u00e7\u00e3o nas diferentes etapas da cadeia de morte, desde a infec\u00e7\u00e3o inicial por meio de campanhas de spam, passando para a detec\u00e7\u00e3o de ferramentas usadas pelo agente da amea\u00e7a durante o comprometimento. Tamb\u00e9m forneceremos algumas informa\u00e7\u00f5es adicionais sobre como o agente da amea\u00e7a est\u00e1 usando esse malware e a evolu\u00e7\u00e3o que levou.<\/p>\n
\u00a0<\/p>\n
1<\/strong> \u2014 Acesso inicial<\/strong><\/h4>\n\u00a0<\/p>\n
Desde junho de 2021, o grupo TA551 come\u00e7ou a entregar o malware Trickbot usando um zip criptografado. O pretexto do e-mail imita uma informa\u00e7\u00e3o importante para diminuir a vigil\u00e2ncia do usu\u00e1rio.<\/p>\n
\u00a0<\/p>\n
O anexo inclui um arquivo .zip que tamb\u00e9m inclui um documento. O arquivo zip sempre usa o mesmo nome de “request.zip” ou “info.zip” e o mesmo nome para o arquivo de documento.<\/p>\n
\u00a0<\/p>\n
NB: O Threat Actor usou o mesmo modus operandi antes\/em paralelo ao Trickbot para entregar outro malware. Observamos durante o mesmo per\u00edodo, de junho de 2021 a setembro de 2021, o uso do Bazarloader na carga de acesso inicial.<\/i><\/p>\n
\u00a0<\/p>\n\n\n\n
2<\/span><\/span><\/strong> – <\/span><\/span>Execu\u00e7\u00e3o<\/span><\/span><\/strong><\/h4>\n\u00a0<\/p>\n
Quando o usu\u00e1rio abre o documento com as macros habilitadas, um arquivo HTA ser\u00e1 descartado no sistema e iniciado usando cmd.exe. O arquivo HTA \u00e9 usado para baixar a DLL do Trickbot de um servidor remoto.<\/span><\/p>\n\u00a0<\/p>\n
Este comportamento est\u00e1 relacionado ao TA551, podemos identific\u00e1-lo com o padr\u00e3o “\/bdfh\/” na requisi\u00e7\u00e3o GET.<\/span><\/p>\n\u00a0<\/p>\n
\nGET \/bdfh\/M8v[..]VUb HTTP\/1.1<\/span><\/i><\/p>\nAceitar: *\/*<\/span><\/i><\/p>\nAnfitri\u00e3o: wilkinstransportss.com<\/span><\/i><\/p>\nTipo de conte\u00fado: application\/octet-stream<\/span><\/i><\/p>\n\u00a0<\/p>\n<\/blockquote>\n
NB: Padr\u00f5es relacionados ao TA551 evolu\u00edram com o tempo, desde meados de agosto de 2021, o padr\u00e3o mudou para “\/bmdff\/”. <\/span>A DLL \u00e9 registrada como um arquivo jpg para ocultar a extens\u00e3o real e tenta ser executada via regsvr32.exe. Em seguida, o Trickbot ser\u00e1 injetado em “wermgr.exe” usando t\u00e9cnicas de Process Hollowing.<\/p>\n\u00a0<\/p>\n
\u00a0<\/p>\n
Quando o usu\u00e1rio abre o documento com as macros habilitadas, um arquivo HTA ser\u00e1 descartado no sistema e iniciado usando cmd.exe. O arquivo HTA \u00e9 usado para baixar a DLL do Trickbot de um servidor remoto.<\/span><\/p>\n \u00a0<\/p>\n Este comportamento est\u00e1 relacionado ao TA551, podemos identific\u00e1-lo com o padr\u00e3o “\/bdfh\/” na requisi\u00e7\u00e3o GET.<\/span><\/p>\n \u00a0<\/p>\n GET \/bdfh\/M8v[..]VUb HTTP\/1.1<\/span><\/i><\/p>\n Aceitar: *\/*<\/span><\/i><\/p>\n Anfitri\u00e3o: wilkinstransportss.com<\/span><\/i><\/p>\n Tipo de conte\u00fado: application\/octet-stream<\/span><\/i><\/p>\n \u00a0<\/p>\n<\/blockquote>\n NB: Padr\u00f5es relacionados ao TA551 evolu\u00edram com o tempo, desde meados de agosto de 2021, o padr\u00e3o mudou para “\/bmdff\/”. <\/span>A DLL \u00e9 registrada como um arquivo jpg para ocultar a extens\u00e3o real e tenta ser executada via regsvr32.exe. Em seguida, o Trickbot ser\u00e1 injetado em “wermgr.exe” usando t\u00e9cnicas de Process Hollowing.<\/p>\n \u00a0<\/p>\n\n
![\"\"](\"https:\/\/thehackernews-com.translate.goog\/new-images\/img\/b\/R29vZ2xl\/AVvXsEjCnvY7x3RqE1KmEZUVT8bcFFS8DXQ17eelSO0F30Y3VRPKWUj7MtNZHLCcXmgMDccULW0lxnINnmqXGn4d83wHIWfXcTL86OGda3lqO_Pyk9-mSv-LQ7MRrzSNewSdvWyuz5cbG7AzxOf_-EaW8puo5PK_webIt9XmDwyF2crBy6X8cAzXlhudgQoM\/s728-e100\/windows.jpg?_x_tr_sl=auto&_x_tr_tl=pt&_x_tr_hl=pt\")
<\/a><\/td>\n<\/tr>\n