martedì 30 luglio 2019

Nuova versione di Trickbot attacca il Microsoft Windows Defender


Continua l'evoluzione del famigerato trojan bancario TrickBot per prevenire l'individuazione e ridurre le possibilità di rimozione dal sistema infetto: la nuova versione, individuata in diffusione nella giornata di ieri, concentra i propri sforzi contro Windows Defender, che è molto spesso l'unico antivirus installato sul computer di utenti che eseguono Windows 10.

Trickbot in breve
TrickBot è un trojan bancario che tenta il furto delle credenziali del banking online, dei portafogli di criptovaluta, le informazioni del browser e altre credenziali salvate sul tuo PC e browser. 

"TrickBot è una famiglia di trojan bancari che ormai è in diffusione da molto tempo, dal 2016: in continua evoluzione si distingue per l'architettura modulare, che gli permette di integrare nuovi moduli per ampliare la gamma delle azioni dannose che può eseguire su un sistema infetto. Ma non solo "commenta Alessandro Papini, Presidente di Accademia Italiana Privacy ed esperto di sicurezza IT "esegue numerose tecniche per garantirsi di restare nascosto agli antivirus e ai servizi di sicurezza in generale. Un malware molto insidioso, al punto che il CISA (il Dipartimento per le Cyber Infrastrutture della Sicurezza nazionale USA) lo ha approfondito in un apposito report-alert pubblicato ad Aprile, rivolto sopratutto alle aziende. La nuova versione rende essenziale, per gli utenti Windows 10, l'introduzione di ulteriori misure di sicurezza: è ormai pratica diffusa quella di limitarsi al solo Windows Defender come strumento di difesa del dispositivo e dei dati, ma, per quanto possa essere solido, questo caso dimostra che occorrono necessariamente più livelli di sicurezza". 

La catena di infezione
In prima battuta, quando Trickbot viene eseguito, avvia per prima cosa un loader che prepara il sistema all'infezione disabilitando i servizi Windows associati al vari software di sicurezza e esegue l'escalation dei privilegi di amministrazione per ottenere il controllo del sistema.

Completata questa fase, scarica "il cuore" dei propri componenti iniettando una libreria DLL, quindi scarica i moduli usati per rubare le informazioni dal computer ed eseguire altre attività dannose. 

Target: Windows Defender
Prima di questa versione, il loader di TrickBot eseguiva attacchi di base contro Windows Defender, eseguendo i seguenti passaggi: 
  • disabilita e poi cancella il servizio WindDefend;
  • termina i processi MsMpEng.exe, MSASCuiL.exe e MSASCui.exe;
  • aggiunge la policy DisableAntiSpyware Windows e lo imposta su "true" per disabilitare Windows Defender e altri software;
  • disabilita le notifiche di Windows Security;
  • disabilita la protezione in tempo reale di Windows Defender.
Tutto ciò, però, non era sufficiente agli attaccanti: la nuova versione è stata implementata con ulteriori tecniche per disabilitare Windows Defender. Sono ben 12 i metodi aggiuntivi per colpire Windows Defender e Microsoft Defender APT: sfruttando entrambi le impostazioni di registro o il comando Powershell Set-MPPreference per impostare le preferenze di Windows Defender.

Fonte: bleepingcomputer.com

Ecco alcune delle nuove armi di TrickBot contro Windows Defender:
  • DisableBehaviorMonitoring: disabilita il sistema di monitoraggio comportamentale;
  • DisableOnAccessProtection: dsabilita la scanzione quando si apre un file o un programma;
  • DisableScanOnRealtimeEnable: disabilita i processi di scansione.
  • tramite PowerShell configura le seguenti preferenze per Windows Defender
    -DisableRealtimeMonitoring: disabilita la scansione in tempo reale.
    -DisableBlockAtFirstSeen: disabilita la funzione di Protezione Cloud.
    -DisableIOAVProtection: disabilita la scansione dei file scaricati e degli allegati.
    -DisableIntrusionPreventionSystem: disabilita la protezione di rete per gli exploit di vulnerabilità conosciute.
    - DisableScriptScanning: disabilita la scansione degli script.
    - SevereThreatDefaultAction: imposta il valore a 6, cosa che disattiva il recupero automatico in caso di rischio grave. 
Quando TrickBot individua certi programmi di sicurezza installati, configurerà un debugger per quel processo usando la chiave di registro Image File Execution Option (IFEO) : questo farà si che il debugger sia lanciato prima dell'esecuzione del programma e, se tale debugger non esiste, il programma previsto non verrà avviato. Per quanto non sia correlato a Windows Defender, questa versione del processo usato come debugger è stato modificato in "kakugulykau", il che impedirà l'avvio dei programmi. 

I programmi il cui avvio viene impedito dal debugger IFEO sono:
  • MBAMService
  • SAVService
  • SavService.exe
  • ALMon.exe
  • SophosFS.exe
  • ALsvc.exe
  • Clean.exe
  • SAVAdminService.exe
  • SavService.exe
  • ALMon.exe

Nessun commento:

Posta un commento