Podle výzkumníků společnosti Forrester jsou botnety jednou z hlavních hrozeb roku 2020. Trickbot, jeden z nich, významně ohrožuje finanční operace firem. Pomocí několika pravidel firmu ochráníte.
Operace botnetu mohou být velice sofistikované: shromažďují informace o prohlížečích, získávají hesla, odcizují přihlašovací údaje nebo nasazují ransomware.
Nejhorší botnet - Trickbot
Jedním z nejhorších botnetů letošního roku byl Trickbot, který od roku 2016 kompromitoval přes milion počítačů po celém světě. V listopadu se několika společnostem (včetně ESETu a Microsoftu) podařilo oddělit infikované počítače od řídících serverů.
Poprvé jsme detekovali Trickbot na konci roku 2016 a od té doby se stal celosvětově nejrozšířenějším bankovním malwarem. Botnet cílil na různá odvětví – od školství, realit, úřadů, až po finanční sektor (na který útočil nejčastěji). Díky schopnosti odcizit bankovní údaje a provádět podvodné transakce představuje Trickbot hrozbu pro finance jakéhokoli podniku.
Třetina pluginů Tricbotu sloužila k ukradení dat
Trickbot je známý tím, že jde po heslech uložených v prohlížečích, pokladních systémech, krypto peněženkách nebo po přihlašovacích údajích do internetového bankovnictví, e mailu či krypto finančních služeb. Prvním payloadem phishingového e-mailu Trickbotu je nejčastěji trojský kůň Emotet, který pro změnu někdy stahuje Trickbot jako sekundární payload.
Trickbot má modulární architekturu a je extrémně všestranný. Škodlivé operace vykonává za pomoci pluginů, kterých jsme analyzovali 28, 11 z nich byly infostealery. Například:
- Pwgrab získává hesla z Filezilly, Microsoft Outlook a WinSCP;
- importDll získává informace z prohlížečů, jako historii procházení, soubory cookie či nastavení prohlížeče;
- psfin vyhledává konkrétní instance prodejních systémů;
- injectDll získává pomocí funkcí prohlížeče přihlašovací údaje uživatelů k webům bankovních institucí, což umožňuje operátorům Trickbotu provádět podvodné bankovní převody.
Námi detekované pluginy byly nejčastěji zaměřené na laterální pohyb v ohrožených sítích. Tyto moduly zvyšovaly šanci, že se útočníci v napadané síti udrží. Trickbot vyniká vysokou schopností šíření. Mimo jiné se vyskytuje jako malware-as-a-service, čili jej lze ke škodlivé činnosti pronajmout.
C&C servery jako prostředek k řízení činnosti
Jakmile jsou boti nasazeni, operátoři nad nimi udržují kontrolu prostřednictvím řídících serverů (C&C).
Aby se vyhnuli narušení serverové infrastruktury, jsou navržené pro využití různých serverových vrstev. Následně se hlavní modul Trickbotu nabourá do IoT zařízení, jehož adresu získá ze seznamu pevně nakódovaných adres C&C serveru.
Z kompromitovaného zařízení poté získává seznam dalších adres. Kontaktováním C&C serverů z druhého seznamu může bot získat další pluginy. Některé z těchto pluginů mají své vlastní servery C&C a tím jsou určeny k exfiltraci ukradených dat.
V listopadu se podařilo botnet narušit
Listopadová operace několika bezpečnostních firem a Microsoftu pomohla narušit klíčovou infrastrukturu Trickbotu, čímž snížila jeho provozovatelům schopnost komprimovat nová zařízení nebo nasadit ransomware. Aby bylo možné obnovit škodlivou činnost, bylo by nutné vybudovat infrastrukturu malware znovu, což je velmi nákladné.
Telemetrická data ukazují, že detekce Trickbotu výrazně klesly:
Z dat vyplývá že Trickbot skutečně ve své aktivitě výrazně oslabil. Současně se zásahem do Trickbotu narůstá detekce botnetu Emotet, který šíří nejen Trickbot, ale také malware Qbot.
Operace s cílem narušit Trickbot není první, na které se ESET podílel. V roce 2015 pomáhal vyřadit botnet Dorkbot a v roce 2017 botnet Gamarue (oba byly poprvé detekovány v roce 2011).
Jak se před botnety chránit?
Chraňte koncové stanice spolehlivým bezpečnostním softwarem, který nabízí dostatečně robustní detekční moduly jako anti-phishing, ochranu před botnety a zabezpečení plateb.
Ujistěte se, že je vaše síť aktualizovaná (obsahuje všechny bezpečnostní opravy), díky čemuž malware nemůže využít exploity jako EternalBlue a EternalRomance.
Omezte přístup ke vzdálením portům, obzvláště k portům RDP. Slabiny protokolu RDP jsou obecně zneužívány čím dál častěji. Při práci na dálku doporučujeme využívat dvoufaktorové ověření pro případ úniku bezpečnostních hesel. Na místě je odinstalování nepoužívaných aplikací a blokování nepoužívaných portů.
Pokud máte dostatečné kapacity, uvažte, jak útočníkům práci komplikovat a prodražit například vytvořením otevřených, nereagujících připojení, poskytováním falešných dat nebo vytvořením honeypotů.