TrickBotマルウェアとは?
TrickBot(または「TrickLoader」)は、バンキング情報、口座情報、 個人識別情報(PII)、さらにはビットコインなど、企業や消費者のデータを狙うバンキング型トロイの木馬として知られています。高度にモジュール化されたマルウェアであるため、どのような環境やネットワークにも適応することができます。
2016年の発見以来、このトロイの木馬が行ってきた数々のトリックは、開発者の創造性と敏捷性に起因している。窃取に加え、TrickBotには、エクスプロイトを使用して横方向に移動し、影響を受けたネットワーク内で足掛かりを得る機能、Server Message Block(SMB)共有を経由して自身のコピーを伝播する機能、Ryukランサムウェアのような他のマルウェアをドロップする機能、感染したホストマシン上の文書やメディアファイルをスカウトする機能が与えられています。
TrickBotはどのように拡散するのか?
Emotetと同様、TrickBotは、悪質なスパム(マルスパム)キャンペーンに埋め込まれたURLまたは感染した添付ファイルの形で、感染したシステムに到達する。
いったん実行されると、TrickBotは、広く知られている3つのNSAエクスプロイトのいずれかを使用してSMBの脆弱性を悪用することにより、ネットワーク内で横方向に拡散する: EternalBlue、EternalRomance、またはEternalChampionです。
Emotetは、二次感染の一部としてTrickBotをドロップすることもあります。
TrickBotの歴史は?
TrickBotは銀行情報を盗むことから始まりましたが、最初から単純なものではありません。
Malwarebytes 研究者が2016年にTrickBotを発見した当初、TrickBotはすでに「単純な」クレデンシャル・ステーラーには通常見られない属性を誇っていました。当初は、金融サービスや銀行データのユーザーを標的としていました。また、他のマルウェアもドロップします。
TrickBotはDyrezaの後継者という評判がある。TrickBotは、Dyrezaと似た値を持つ特定の変数や、TrickBotの作成者がTrickBotと通信するコマンド&コントロール(C&C)サーバーを設定する方法などの類似点を共有していた。このため多くの研究者は、Dyrezaを作成した人物またはグループがTrickBotも作成したと考えている。
2017年、開発者はTrickBotにワームモジュールを組み込みました。これは、WannaCryや EternalPetyaのような、ワームのような機能を持つランサムウェアキャンペーンの成功に触発されたと考えられます。開発者はまた、Outlookの認証情報を採取するモジュールも追加した。なぜOutlookなのか?世界中の何百もの組織と何百万人もの個人が、通常このウェブメールサービスを利用している。TrickBotが盗み出すデータの範囲も、クッキー、閲覧履歴、訪問したURL、Flash LSO(Local Shared Objects)など、多岐にわたる。
当時、これらのモジュールは新しかったが、うまくコード化されていなかった。
2018年、TrickBotはSMBの脆弱性を悪用し続けた。また、PowerShellコマンドを使用してWindows Defenderのリアルタイム監視を無効にするモジュールも搭載していた。暗号化アルゴリズムも更新されたが、残りのモジュール機能はそのままだった。TrickBotの開発者はまた、難読化要素を組み込むことで、セキュリティ研究者にコードを分解されないように安全性を確保し始めた。
年末には、TrickBotがEmotetを抜いて企業に対する脅威のトップにランクされた。
TrickBotの開発者は2019年に再びトロイの木馬に変更を加えた。具体的には、米国を拠点とする携帯電話キャリア、Sprint、Verizon Wireless、T-Mobileに対するウェビン・インジェクト機能の動作方法に変更を加えた。
最近、研究者たちはこのトロイの木馬の回避方法が改善されたことを指摘した。自身のコピーを拡散するモジュールであるMwormは、Nwormと呼ばれる新しいモジュールに置き換えられました。この新しいモジュールは、TrickBotのHTTPトラフィックを変更し、ドメイン・コントローラに感染した後にメモリから実行できるようにします。これにより、TrickBotは感染したマシン上に感染の痕跡を残さない。
トリックボットは誰をターゲットにしているのか?
最初は、誰でもTrickBotのターゲットになるように見えた。しかし近年では、OutlookやT-Mobileのユーザーのように、ターゲットがより具体的になってきているようだ。納税シーズンになると、TrickBotは税金をテーマにしたスパムを装うこともある。
2019年、DeepInstinctの研究者は、数百万人のユーザーから収穫された電子メールアドレスおよび/またはメッセンジャー認証情報のリポジトリを発見した。これらはGmail、Hotmail、Yahoo、AOL、MSNのユーザーのものである。
TrickBotから身を守るには?
TrickBotの仕組みを知ることは、組織や消費者がTrickBotから身を守る方法を知るための第一歩です。以下は、注意すべきその他の点です:
- ファーバー・リカバリー・スキャン・ツール(Farbar Recovery Scan Tool:FRST)など、このために特別に設計されたツールを実行して、侵害の可能性のあるインジケータ(Indicators of Compromise:IOC)を探します。これにより、ネットワーク内の感染したマシンを特定することができます。
- マシンが特定されたら、感染したマシンをネットワークから隔離する。
- TrickBotが悪用する脆弱性に対応するパッチをダウンロードし、適用する。
- 管理者共有を無効にする。
- すべてのローカル管理者とドメイン管理者のパスワードを変更する。
- 多層的な保護を備えたサイバーセキュリティプログラムを使用して、TrickBot 感染から身を守りましょう。Malwarebytes ビジネス向け製品およびプレミアムコンシューマ向け製品は、TrickBot をリアルタイムで検出してブロックします。
TrickBotの削除方法を教えてください。
TrickBotは完璧ではないし、(私たちが見てきたように)開発者は時に杜撰になることもある。重要なのは、TrickBot を駆除できることです。Malwarebytes ビジネスソリューションは 、感染したシステムを隔離し、修復し、今後の TrickBot やその他の厄介なマルウェア株の感染から保護することで、困難な作業の一部を簡単に行うことができます。