Innovatie & Strategie

Security
Trickbot-infecties

Trickbot-botnet 'aangevallen' door Microsoft en ESET

Omvangrijk en complex botnet krijgt klap van verenigde securitybedrijven.

© ESET
12 oktober 2020

Omvangrijk en complex botnet krijgt klap van verenigde securitybedrijven.

Microsoft, ESET en een internationale reeks andere securityleveranciers hebben het beruchte Trickbot-botnet aangepakt en schade berokkend. Dit is gedaan in aanloop naar de Amerikaanse presidentsverkiezingen. Geruchten over een 'aanval' op Trickbot deden afgelopen week al de ronde, waarbij gewag werd gemaakt van een actie van het Cyber Command van het Amerikaanse leger. Naast het op de korrel nemen van Trickbots infrastructuur is ook auteursrecht met succes ingezet tegen dit grote botnet.

De uitbaters van Trickbot maken zich schuldig aan diverse cybercriminele activiteiten. Deze lopen uiteen van het stelen van inloggegevens en het uitvoeren van ransomware-aanvallen. De doelwitten zijn ook uiteenlopend; van gewone consumenten tot grootzakelijke ondernemingen. Diverse mediaberichten spreken nu van het onderuit halen van dit botnet, maar dat valt te betwijfelen. In de praktijk zijn botnets lastig echt uit te roeien, omdat de beheerders van zulke malafide infrastructuur rekening houden met uitval, zoals ook door acties van securitybedrijven en wetshandhavers. Een botnettracker van de non-profit malwarebestrijder Abuse.ch toont aan dat veel Trickbot-servers weliswaar zijn uitgeschakeld, maar dat er nog wel enkele operationeel zijn. Van daaruit valt de botnet-infrastructuur te updaten en weer uit te bouwen.

Hardcoded c&c-lijst

Opvallend aan Trickbot is echter dat het hoofdcomponent van deze modulaire malware een vaste configuratie heeft ingebouwd met een lijst van aansturingsservers (c&c-servers), merkt securityleverancier ESET op in een blogpost over deze internationale oprolactie. Deze versleutelde, hardcoded configuratie is effectief gekraakt door onderschepping van configuratieverzoeken van de diverse plug-ins voor deze modulaire botnetsoftware. Daarna konden dus de c&c-servers aangepakt worden, wat de securitybedrijven in samenwerking met telecomaanbieders wereldwijd hebben gedaan.

Microsoft stelt in zijn eigen blogpost dat het hiervoor een internationale groep heeft gevormd, waarbij de Digital Crimes Unit (DCU) van de Windows-maker de onderzoeksactiviteiten heeft geleid. Dit omvatte de detectie, analyse, telemetrie en reverse engineeren van de malwarecode. Het bedrijf heeft daarbij aanvullende data en inzichten verkregen van vele andere securitypartijen. Daaronder naast ESET ook Symantec (een divisie van Broadcom), NTT, Black Lotus Labs (van Lumen), FS-ISAC, en ook Microsofts divisie voor de eigen Windows Defender-securitysoftware. Laatstgenoemde heeft voor clouddienst Microsoft 365 een toegewijd team voor analyse van digitale dreigingen (threat intelligence).

Al 4 jaar lang

ESET meldt dat het Trickbot al sinds eind 2016 in de gaten heeft gehouden. In de jaren sinds die eerste detectie van deze botnetmalware heeft het securitybedrijf de opkomst en verspreiding in kaart gebracht. Trickbot heeft wereldwijd meer dan een miljoen apparaten geïnfecteerd. "Alleen al in 2020 heeft ons geautomatiseerde platform meer dan 125.000 kwaadaardige samples geanalyseerd, en meer dan 40.000 configuratiebestanden gedownload en ontsleuteld." Die versleutelde configuratiebestanden doen dienst voor de diverse plug-ins waarmee Trickbot voor verschillende cybercriminele operaties valt op te tuigen en in te zetten.

Begin deze maand wist IT-beveiligingsbedrijf G Data al te melden dat de hoeveelheid Trickbot-malware het afgelopen half jaar bijna is verdrievoudigd. Cybercriminelen wisten om de 6,5 minuut een nieuwe sample van deze malware te maken. Die hoge 'productiviteit' heeft een enorme variëteit geschapen, wat detectie en effectieve bestrijding lastig maakt. Naast de reguliere middelen voor botnetbestrijding van code-analyse, opsporing en offline halen van c&c-servers, heeft Microsoft ook een nieuw wapen ingezet. Namelijk: auteursrecht.

Nieuw wapen: auteursrecht

Voor de Amerikaanse rechter heeft Microsoft met succes geargumenteerd dat Trickbot inbreuk maakt op auteursrecht op de software van Microsoft. De malware gebruikt namelijk programma's van die Windows- en Office-leverancier om criminele daden te plegen. Zo gebruikt Trickbot bijvoorbeeld Word-documenten en Excel-bestanden met malafide macro's erin, die vanuit gekaapte mailboxen worden gemaild aan nieuwe slachtoffers. Naast deze twee soorten Microsoft-bestanden gebruikt dit botnet ook andere attachments voor de verdere verspreiding via mail.

Lees meer over
Lees meer over Innovatie & Strategie OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.