https://www.bitdefender.com/blog/hotforsecurity/trickbot-malware-devs-implemented-anti-debugging-feature-that-crashes-researchers-browsers/
マルウェアの開発者は、セキュリティ研究者からコードを隠しておくために多大な努力を払っていますが、それには正当な理由があります。
コードの暗号化またはポリモーフィックコードの使用は、開発者がセキュリティソリューションによるコードの検出を阻止するために使用する2つの方法にすぎません。
セキュリティソリューションからマルウェアを隠そうとする彼らの試みでは、初期ペイロードが隠され、コード自体が難読化されています。
さらに、マルウェアはサーバー側のインジェクションを使用して追加のペイロードを展開します。
「インジェクションをさらに保護するために、TrickBotはJSコードにデバッグ防止スクリプトを追加しました」とセキュリティインテリジェンスの研究者とIBMは述べています。
「数ラウンド後、メモリは最終的に過負荷になり、ブラウザがクラッシュします。もちろん、これが唯一の対策ではありません。マルウェア開発者はまた、デッドコードまたは冗長コードを追加し、文字列を置き換え、必要な手段でコードを読み取れないようにします。現在、TrickBotは、運用中の著名なバンキング型トロイの木馬の1つです。そのモジュール式の性質とそれがオンラインで広がるさまざまな方法により、根絶することは非常に困難です。最善の保護は、従業員のトレーニング、多要素認証、電子メールセキュリティ、オフラインバックアップ、および横方向の動きを制限する改善されたネットワークアーキテクチャとともに、すべてのデバイスにセキュリティソリューションをインストールすることです。
TrickBotマルウェア開発者は、研究者のブラウザをクラッシュさせるデバッグ防止機能を実装しました、Silviu STAHIE
security summary
コメント