TrickBot wechselt zu einem neuen Windows 10 UAC-Bypass, um die Erkennung zu umgehen

Der knifflige Trojaner entwickelt sich erneut und bleibt eines der fortschrittlichsten Vehikel für die Verbreitung von Malware.

Der TrickBot-Trojaner hat sich erneut weiterentwickelt, um seine Fähigkeit zu verbessern, sich der Erkennung zu entziehen. Diesmal wurde eine Funktion hinzugefügt, die die Windows 10-Benutzerkontensteuerung (UAC) umgehen kann, um Malware über mehrere Arbeitsstationen und Endpunkte in einem Netzwerk zu verbreiten, wie Forscher herausgefunden haben.

Forscher des Morphisec Labs-Teams sagten, dass sie im vergangenen März in einem Bericht, der letzte Woche veröffentlicht wurde, in aktuellen Beispielen von TrickBot Code entdeckt haben, der die Windows 10 WSReset UAC-Umgehung der Benutzerkontensteuerung nutzt, um die Benutzerkontenkontrolle zu umgehen und Malware zu verbreiten. UAC ist eine Windows-Sicherheitsfunktion, die Änderungen am Betriebssystem durch nicht autorisierte Benutzer, Anwendungen oder Malware verhindern soll.

Die TrickBot-Malware ist besonders gefährlich, da sie sich ständig mit neuen Funktionen weiterentwickelt, um die Erkennung der Auslieferung von Malware noch schwieriger zu machen, schrieb der Morphisec-Sicherheitsforscher Arnold Osipov in der Post.

"Fast täglich erfinden böswillige Akteure TrickBot neu und arbeiten daran, neue Wege zu finden, um den Trojaner auf die Rechner der Benutzer zu bringen", so Osipov. "Das macht TrickBot zu einem der fortschrittlichsten Mittel zur Verbreitung von Malware; die ständige Weiterentwicklung der für die Verbreitung verwendeten Methoden", so Osipov.

Der Bericht beschreibt im Detail, wie die neue TrickBot-Funktion funktioniert. Der WSReset UAC-Bypass prüft zunächst ein System darauf, ob es unter Windows 7 oder Windows 10 läuft, schrieb Osipov, wobei letzteres eine Bedingung dafür ist, dass die Malware den WSReset UAC-Bypass verwendet.

Diese Funktion ermöglicht es den TrickBot-Autoren, den WSReset.exe-Prozess auszunutzen, eine von Microsoft signierte ausführbare Datei, die zum Zurücksetzen der Windows-Speichereinstellungen verwendet wird, entsprechend ihrer Manifestdatei, sagte er.

Der Schlüssel zum Erfolg der neuen Funktionalität von TrickBot sei, dass die Eigenschaft "autoElevate" im Prozess auf "true" gesetzt werde, sagte er. "Dies ermöglicht es, den WSReset-UAC-Bypass für die Privilegienerweiterung zu verwenden", schrieb Osipov.

Wenn dies der Fall ist, entschlüsselt TrickBot seine Zeichenfolgen, um den WSReset UAC-Bypass zu verwenden, wie z.B. den Registrierungspfad und den auszuführenden Befehl. Als nächstes verwendet der Trojaner "reg.exe", um die relevanten Schlüssel hinzuzufügen, die es ihm ermöglichen, den WSReset UAC-Bypass zu verwenden, sagte er.

Der letzte Schritt in der neuen Umgehungsfunktion ist die Ausführung von WSReset.exe, "wodurch TrickBot mit erhöhten Berechtigungen ohne UAC-Eingabeaufforderung ausgeführt wird", erklärte Osipov.

"TrickBot macht das über die 'ShellExecuteExW'-API", schrieb er. "Diese endgültige ausführbare Datei ermöglicht es TrickBot, seine Nutzlast auf Workstations und anderen Endpunkten zu verteilen.

TrickBot wurde 2016 als Banking-Malware als Nachfolger des Banking-Trojaners Dyre entwickelt, hat sich aber seitdem zu einer universellen, modulbasierten Crimeware-Lösung entwickelt, die speziell auf Unternehmen ausgerichtet ist. In den vergangenen Jahren haben seine Entwickler eine bemerkenswert schnelle Entwicklung gezeigt, um neue, erfinderische und schwer fassbare Wege zu finden, um bösartige Nutzlasten zu verbreiten.

Allein im Jahr 2019 erschienen verschiedene Versionen von TrickBot, die dem Arsenal des Trojaners ständig neue Tricks hinzufügten, darunter eine Funktion, die nach Remote-Desktop-Anmeldedaten und einer Aktualisierung seines Passwortgrabbers geht, um Daten aus OpenSSH- und OpenVPN-Anwendungen ins Visier zu nehmen.

Die Forscher fanden im vergangenen Jahr auch Hinweise darauf, dass die hinter TrickBot stehende Crimeware-Organisation eine beispiellose Verbindung mit der nordkoreanischen APT-Gruppe Lazarus durch ein von TrickBot entwickeltes All-in-One-Angriffs-Framework namens Anchor Project hergestellt hat.

Im Jahr 2020 scheint sich ein weiteres Aufflammen der kriminellen Aktivitäten von TrickBot abzuzeichnen. Vor dem letzten Bericht enthüllte ein Team von SentinelLabs nur wenige Tage nach Beginn des neuen Jahres, dass TrickBot bereits durch eine verstohlene Hintertür mit dem Namen "PowerTrick" ergänzt worden war.

Anzeige

Anzeige