La última versión de TrickBot emplea nuevas e inteligentes …



El malware se aprovecha de cómo funciona el intérprete de línea de comandos de Home windows para intentar pasar por alto las herramientas anti-detección, dice Huntress Labs.

Los investigadores de Huntress Labs han descubierto lo que describieron como un uso realmente inteligente de las secuencias de comandos por lotes de Home windows por parte de los autores de Trickbot para intentar escabullir la última versión de su malware más allá de las herramientas de detección automatizadas.

La técnica aprovecha la forma en que el intérprete de línea de comandos de Home windows, cmd (.) Exe, lee e interpreta los datos que se escriben en la línea de comandos.

Lo que los autores de Trickbot han hecho es usar un script por lotes para dividir su carga útil en numerosos fragmentos pequeños y luego usar el intérprete de línea de comandos para reconstruir la carga útil authentic, dice John Hammond, investigador de seguridad senior de Huntress.

«La esencia de esta técnica es sustituir cada personaje en una carga útil con un nuevo valor mapeado, por lo que la carga útil se puede crear lentamente con bloques de construcción».

Esta técnica no es específica de Trickbot. De hecho, cualquier otro código o muestra de malware puede hacer esto dentro de la secuencia de comandos por lotes de Home windows, dice Hammond. Pero esta es la primera vez que Huntress observa a un actor de amenazas usando esta técnica de ofuscación exacta, dice. «Parece ser una técnica muy easy, y ahora que Trickbot la ha introducido, puede volverse más well known».

Aunque PowerShell y otras herramientas de línea de comandos ahora están disponibles para Windows, cmd (.) Exe sigue siendo el intérprete de línea de comandos predeterminado para el sistema operativo, como lo ha sido durante décadas. La tecnología es un buen objetivo para los atacantes porque proporciona una interfaz interactiva que pueden usar para ejecutar comandos, ejecutar programas maliciosos, eliminar archivos y llevar a cabo una variedad de otras acciones.

Por lo normal, el símbolo del sistema se puede reforzar y bloquear con la lista blanca de aplicaciones o ajustes de configuración más seguros, señala Hammond. «Pero si un actor de amenazas puede acceder a él, es realmente un objetivo de alto valor», debido al grado de command que permite que un atacante establezca sobre el sistema operativo.

Según Huntress, el script por lotes que los autores de Trickbot han usado para ofuscar su carga útil parece un montón de código confuso con letras aleatorias y signos de porcentaje extraños esparcidos por todas partes. Pero un examen más detenido del código mostró que está diseñado para crear valores variables pequeños, de una letra o de dos caracteres, que son pequeños fragmentos de la carga útil ultimate. Aunque el código puede parecer completamente ininteligible, cmd (.) Exe lo interpreta y lo ejecuta.

Es preocupante que, para un escáner automatizado, los fragmentos múltiples y más pequeños no aparezcan como cadenas maliciosas, por lo que el malware podría evadir la detección. «Este cargador ofuscado evade principalmente la detección basada en firmas, que busca cadenas o caracteres incorrectos conocidos que puedan indicar actividad maliciosa», dice Hammond.

Para las organizaciones, la conclusión principal es que las herramientas automatizadas no garantizan la protección contra todas las amenazas de malware. En este caso, la confusión que emplearon los autores de Trickbot habría sido relativamente fácil de detectar para los analistas humanos. Pero es posible que un escáner no vea ninguna evidencia de comandos maliciosos o malos y deje que el malware se escape, dice Hammond.

«Una persona authentic podría mirar este script por lotes y decir, &#39oh, si solo agrega este comando aquí mismo, escupe la carga útil y le dice qué es exactamente lo que está tratando de hacer&#39», dice. «Las soluciones automatizadas no piensan ni pueden hacer eso».

Jai Vijayan es un reportero de tecnología experimentado con más de 20 años de experiencia en periodismo comercial de TI. Más recientemente, fue editor senior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia initial