Ultimate magazine theme for WordPress.

Trickbot Botnet ميت – أم هو كذلك؟ – CloudSavvy IT

5
شترستوك / WhataWin

في الفترة التي سبقت انتخابات الولايات المتحدة لعام 2020 ، شنت Microsoft هجومًا ضد شبكة بوت نت غزيرة الإنتاج تسمى Trickbot. هل تمكنوا من قتل التهديد؟ نحن نفسر كيف انتهى الأمر.

الروبوتات و Botnets

الروبوت هو جهاز كمبيوتر تم اختراقه وإصابته ببرامج ضارة. تنفذ البرامج الضارة بعض الإجراءات لصالح الفاعل المهدِّد. الروبوتات هي شبكة من الروبوتات التي تعمل في انسجام تام. كلما زاد عدد الروبوتات الموجودة في شبكة الروبوتات ، زادت قدرتها الحسابية. إنها تشكل منصة حوسبة قوية موزعة تعمل نيابة عن الجهات المهددة.

يمكن استخدام شبكات البوت نت لأداء مهام مثل تعدين العملات المشفرة ، أو تنفيذ هجمات رفض الخدمة الموزعة ، أو العمل كمزارع بريد عشوائي ، أو لجمع بيانات اعتماد المستخدم على نطاق واسع ، أو لجمع معلومات سرية عن الأفراد والشبكات والمؤسسات.

يتم التحكم في جيش الروبوتات المكونة لشبكة الروبوتات من خادم قيادة وتحكم يُشار إليه غالبًا باسم خادم C2. يقبل خادم C2 المعلومات من الروبوتات ويستجيب بإرسال أوامر للمتابعة. يمكن لخادم C2 أيضًا توزيع حمولات ضارة جديدة أو مكونات إضافية توفر وظائف جديدة للبرامج الضارة.

خدعة بوت

يمكن لـ Trickbot تقديم مطالبة جيدة للحصول على لقب أكثر الروبوتات شهرة في العالم. بدأت حياتها كأحد أحصنة طروادة المصرفية في عام 2016 ، حيث سرقت بيانات اعتماد تسجيل الدخول إلى الحسابات المصرفية وحسابات منصات الدفع الأخرى. ومنذ ذلك الحين ، تم تطويرها باستمرار وتطورت لتصبح أداة توصيل برمجيات خبيثة متطورة يتم توظيفها لمجرمي الإنترنت ومجموعات الجهات الفاعلة في التهديد.

لقد أصاب أكثر من مليون جهاز حوسبة منذ عام 2016 مما جعله شبكة بوت نت ضخمة وسلعة قوية لمجرمي الإنترنت. إنه يمثل تهديدًا كبيرًا للشركات لأنه تم استخدامه كمنصة توزيع لبرامج الفدية مثل Ryuk وعمليات الفدية الأخرى ذات الأسماء الكبيرة والواسعة النطاق.

عادةً ما تنجم العدوى عن سقوط موظف بسبب رسالة بريد إلكتروني احتيالية تم إرسالها إليه كجزء من حملة تصيد عبر البريد الإلكتروني. يحمل البريد الإلكتروني مرفقًا ضارًا. عندما يحاول المستخدم فتح المرفق – غالبًا ما يتنكر كملف PDF أو Word – فإنه يقوم بتنزيل وتثبيت Trickbot.

في الواقع ، تعد Trickbot شبكة كبيرة من الأجهزة المخترقة بحيث لا يكفي خادم C2 واحد. نظرًا لعدد الروبوتات وحجم حركة المرور ، وجزئيًا لأنهم أرادوا إنشاء بعض التكرار في البنية التحتية الخاصة بهم ، كانت مجموعة Trickbot تستخدم 69 خادمًا C2 مذهلاً حول العالم.

إذن ماذا سيحدث إذا فقد ممثلو تهديد Trickbot الوصول إلى جميع خوادم C2 الخاصة بهم؟

هجوم مايكروسوفت ضد Trickbot

في أكتوبر 2020 ، بدأت Microsoft وشركاء محددين وشركات مضيفة العمل معًا لتحديد خوادم C2 الخاصة بـ Trickbot وإزالتها.

حدد التحليل الأولي لشركة Microsoft 69 خادمًا أساسيًا C2 كانت حاسمة لعمليات Trickbot. قاموا بتعطيل 62 منهم على الفور. السبعة الأخرى لم تكن خوادم Trickbot مخصصة ، لقد أصيبوا بأجهزة إنترنت الأشياء (IoT) الخاصة بضحايا أبرياء.

تم اختطاف أجهزة إنترنت الأشياء بواسطة Trickbot. يتطلب إيقاف هذه الأجهزة من التصرف كخوادم C2 قدرًا أكبر قليلاً من البراعة مما تم استخدامه لحرمان خوادم C2 الأخرى من امتلاك قاعدة استضافة. كان لا بد من تطهيرها وإعادتها إلى الخدمة العادية بدلاً من مجرد إيقافها مرتجفًا.

كما تتوقع ، سارعت عصابة Trickbot لبدء تشغيل خوادم بديلة وتشغيلها. قاموا بإنشاء 59 خادمًا جديدًا. استهدفت Microsoft وحلفاؤها هذه بسرعة ، وتم تعطيل جميع هؤلاء – اعتبارًا من 18 أكتوبر 2020 – باستثناء واحد. بما في ذلك 69 خادمًا أصليًا ، تم تعطيل 120 من أصل 128 خادم Trickbot.

كيف فعلوا ذلك

في أكتوبر 2020 ، حصلت Microsoft على أمر من المحكمة الأمريكية يسمح لها وشركائها بتعطيل عناوين IP التي تستخدمها خوادم TrickBot C2. لقد جعلوا الخوادم نفسها ومحتوياتها غير قابلة للوصول إلى مشغلي Trickbot. عملت Microsoft على مستوى العالم مع موفري خدمات الاتصالات وشركاء الصناعة بما في ذلك مركز تبادل وتحليل معلومات الخدمات المالية (FS-ISAC) و ESET و Lumen و NTT و Symantec.

يقول Tom Burt من Microsoft (نائب رئيس الشركة ، أمان العملاء والثقة) إن Microsft يمكنه تحديد خادم Trickbot جديد ، ومعرفة من هو مزود الاستضافة ، وتصحيح المتطلبات القانونية لهم لإسقاط الخادم ، ثم تعطيل الخادم فعليًا في أقل من ثلاث ساعات. بالنسبة للحالات الموجودة في المناطق التي أغلقت فيها بالفعل خادم C2 ، يمكن تتبع بعض ذلك بسرعة لأن الإجراءات القانونية إما موجودة بالفعل أو أن العملية أصبحت مفهومة جيدًا الآن. سجلهم في إنهاء خادم C2 جديد أقل من ست دقائق.

يواصل فريق Microsoft العمل مع مزودي خدمة الإنترنت (ISPs) وفرق الاستجابة للطوارئ الحاسوبية (CERT) لمساعدة المؤسسات على تنظيف أجهزة الكمبيوتر المصابة.

إذن هل Trickbot ميت؟

من السابق لأوانه الاتصال. البنية التحتية وراء البرمجيات الخبيثة هي بالتأكيد في حالة صحية سيئة. لكن Trickbot أعادت اختراع نفسها عدة مرات في الماضي. ربما فعلت ذلك بالفعل. اكتشف باحثو الأمن نوعًا جديدًا من البرامج الضارة الخلفية وأدوات التنزيل التي لها أوجه تشابه على مستوى الكود مع برنامج Trickbot الضار. إسناد البرامج الضارة الجديدة – التي يطلق عليها Bazar أو BazarLoader – تؤدي مباشرة إلى باب عصابة Trickbot. يبدو من المحتمل أنهم كانوا يعملون بالفعل على أداة هجوم من الجيل التالي قبل بدء هجوم Microsoft.

يستخدم BazarLoader حملات التصيد عبر البريد الإلكتروني لبدء الإصابات ، ولكن على عكس رسائل Trickbot التصيدية الإلكترونية ، فإنها لا تحمل أي مرفق. بدلاً من ذلك ، لديهم روابط تزعم تنزيل المستندات أو فتحها في محرر مستندات Google. بالطبع ، تأخذ الروابط الضحية إلى مواقع ويب احتيالية شبيهة. كان محتوى رسائل البريد الإلكتروني المخادعة معلومات زائفة تتعلق بمواضيع متنوعة مثل جداول رواتب الموظفين و COVID-19.

تم تصميم Bazar ليكون أكثر سرية من Trickbot ، وذلك باستخدام تشفير blockchain لإخفاء عناوين URL لمجال خادم C2 ونطاقات نظام اسم المجال (DNS). لقد شوهد هذا البديل الجديد بالفعل وهو يوزع Ryuk ransomware ، والذي كان تاريخياً عميلاً معروفًا لـ Trickbot. ربما قامت مجموعة Trickbot بتحويل واحد أو أكثر من عملائها إلى منتجهم الجديد بالفعل؟

تسير الأمور في طريق الحصول على بازار

نظرًا لأن Trickbot تطورت من جذورها في حصان طروادة لتصبح منصة جرائم إلكترونية قابلة للتأجير ، فإن إضافة وظائف جديدة إلى Trickbot يمكن تحقيقها بسهولة نسبيًا. يقوم ممثلو التهديد بكتابة مكون إضافي جديد وتنزيله من خوادم C2 إلى أجهزة الروبوتات. تم اكتشاف مكون إضافي جديد في ديسمبر 2020. هناك على الأقل بعض الحياة في البرامج الضارة القديمة إذا كانت لا تزال تحصل على وظائف جديدة.

يسمح المكون الإضافي الجديد لـ Trickbot بتنفيذ هجوم bootkit لواجهة البرامج الثابتة القابلة للتوسيع الموحدة (UEFI). يجعل هجوم UEFI إزالة Trickbot أكثر صعوبة من الأجهزة المصابة ، حتى أنه نجا من عمليات تبديل القرص الصلب الكاملة. كما أنه يسمح للجهات الفاعلة بالتهديد بتدمير جهاز الكمبيوتر عن طريق خلط برامجه الثابتة.

لذلك قد يتلاشى Trickbot ، لكن المجموعة التي تقف وراء Trickbot جاهزة لنشر نظامها الأساسي الجديد للبرامج الضارة ، Bazar. من المؤكد أن مايكروسوفت وحلفاؤها أساءوا إلى Trickbot. مع جعل Trickbot غير قابل للتشغيل تقريبًا ، كان عملاء مجموعة Trickbot يمارسون الضغط عليهم لتقديم خدمات غير قانونية دفعوا مقابلها.

وعندما يقوم عملاؤك بتضمين شخصيات بارزة مثل مجموعة التهديد المستمر المتقدمة (APT) في كوريا الشمالية (APT) Lazarus ، فستحتاج إلى بعض الإجابات الجيدة على بعض الأسئلة الصعبة حول اتفاقية مستوى الخدمة وخدمة العملاء. قد يكون هذا هو ما دفع مجموعة Trickbot إلى نقل بعض خدماتها مؤقتًا إلى مجموعة أخرى من مجرمي الإنترنت ، لمحاولة الحفاظ على نوع من القدرة التشغيلية.

لا تنضم إلى جيش الروبوتات

بغض النظر عن مدى تطور Trickbot و Bazar ، فإنها تكون فعالة فقط إذا كانت قادرة على إصابة أجهزة الكمبيوتر لتضخم صفوف جيش الروبوتات الخاص بهم. مفتاح تجنب التجنيد الإجباري هو القدرة على اكتشاف رسائل البريد الإلكتروني المخادعة وحذفها بدلاً من الوقوع في حبها.

تدريب الموظفين للتوعية بأمن الإنترنت هو المفتاح هنا. يتلقون رسائل البريد الإلكتروني طوال اليوم كل يوم. إنهم بحاجة إلى التفكير بشكل دفاعي طوال الوقت. ستساعد هذه النقاط في تحديد رسائل البريد الإلكتروني المخادعة.

  • كن حذرًا من الأشياء الخارجة عن المألوف. هل تلقيت من قبل بريدًا إلكترونيًا من قسم الرواتب يحتوي على روابط لمُحرر مستندات Google؟ على الاغلب لا. يجب أن يثير ذلك شكوكك على الفور.
  • هل تم إرسال البريد الإلكتروني إليك ، أم أنك واحد من العديد من المستلمين؟ هل يعقل أن هذا النوع من البريد الإلكتروني يجب أن يذهب إلى جمهور أوسع؟
  • يمكن جعل النص الموجود في الارتباط التشعبي ليقول أي شيء ، وهذا لا يضمن أن الرابط سيأخذك بالفعل إلى هناك. قم بتمرير مؤشر الماوس فوق أي روابط في نص البريد الإلكتروني. في تطبيق البريد الإلكتروني ، سيظهر تلميح أداة مع وجهة الارتباط الفعلية فيه. إذا كنت تستخدم عميل بريد ويب ، فسيتم عرض وجهة الارتباط التي تم فك تشفيرها في مكان ما ، عادةً في الركن الأيمن السفلي من نافذة المتصفح. إذا كانت وجهة الارتباط تبدو مريبة ، فلا تنقر عليها.
  • هل القواعد النحوية في البريد الإلكتروني صحيحة؟ هل يضرب البريد الإلكتروني النغمة الصحيحة ويستخدم صيغة العبارة التي تتوقعها في هذا النوع من الاتصال؟ يجب أن تؤخذ الأخطاء الإملائية وقواعد اللغة السيئة كعلامات تحذير.
  • هل تبدو الشعارات والتذييلات والعناصر الأخرى لطلاء الشركة أصلية؟ أم أنها تبدو وكأنها نسخ منخفضة الجودة تم انتزاعها من مكان آخر؟
  • لا حسن النية ستطلب المؤسسة مطلقًا كلمات المرور وتفاصيل الحساب والمعلومات الحساسة الأخرى.

كالعادة ، الوقاية خير من العلاج.

اترك رد

لن يتم نشر عنوان بريدك الإلكتروني.