La última versión de TrickBot emplea un nuevo e inteligente truco de ofuscación

Los investigadores de Huntress Labs han descubierto lo que describieron como un uso realmente inteligente de los scripts por lotes de Windows por parte de los autores de Trickbot para intentar escabullirse de la última versión de su malware más allá de las herramientas de detección automatizadas.

La técnica aprovecha la forma en que el intérprete de línea de comandos de Windows, cmd [.] Exe, lee e interpreta los datos que se escriben en la línea de comandos.  

Lo que los autores de Trickbot han hecho es usar un script por lotes para dividir su carga útil en numerosos trozos pequeños y luego usar el intérprete de línea de comandos para reconstruir la carga útil original, dice John Hammond, investigador de seguridad senior de Huntress.

«La esencia de esta técnica es sustituir cada personaje en una carga útil con un nuevo valor mapeado, por lo que la carga útil se puede crear lentamente con bloques de construcción».

Esta técnica no es específica de Trickbot. De hecho, cualquier otro código o muestra de malware puede hacer esto dentro de la secuencia de comandos por lotes de Windows, dice Hammond. Pero esta es la primera vez que Huntress ha observado a un actor de amenazas utilizando esta técnica de ofuscación exacta, dice. «Parece ser una técnica muy simple, y ahora que Trickbot la ha introducido, puede volverse más popular».

Aunque PowerShell y otras herramientas de línea de comandos ahora están disponibles para Windows, cmd [.] Exe sigue siendo el intérprete de línea de comandos predeterminado para el sistema operativo, como lo ha sido durante décadas. La tecnología es un buen objetivo para los atacantes porque proporciona una interfaz interactiva que pueden usar para ejecutar comandos, ejecutar programas maliciosos, eliminar archivos y realizar una variedad de otras acciones.

Por lo general, el símbolo del sistema se puede reforzar y bloquear con la lista blanca de aplicaciones o ajustes de configuración más seguros, señala Hammond. «Pero si un actor de amenazas puede acceder a él, es realmente un objetivo de alto valor», debido al grado de control que permite que un atacante establezca sobre el sistema operativo.

Según Huntress , el script por lotes que los autores de Trickbot han utilizado para ofuscar su carga útil parece una gran cantidad de código confuso con letras aleatorias y signos de porcentaje extraños esparcidos por todas partes. Pero un examen más detenido del código mostró que está diseñado para crear valores variables pequeños, de una letra o de dos caracteres, que son pequeñas porciones de la carga útil final. Aunque el código puede parecer completamente ininteligible, cmd [.] Exe lo interpreta y lo ejecuta.

Es preocupante que para un escáner automatizado, los fragmentos múltiples y más pequeños no aparezcan como cadenas maliciosas, por lo que el malware podría evadir la detección. «Este cargador ofuscado evade principalmente la detección basada en firmas, que busca cadenas o caracteres defectuosos conocidos que puedan indicar actividad maliciosa», dice Hammond.

Para las organizaciones, la conclusión principal es que las herramientas automatizadas no garantizan la protección contra todas las amenazas de malware. En este caso, la confusión que emplearon los autores de Trickbot habría sido relativamente fácil de detectar para los analistas humanos. Pero es posible que un escáner no vea ninguna evidencia de comandos maliciosos o incorrectos y deje que el malware se escape, dice Hammond.

«Una persona real puede mirar este script por lotes y decir, ‘oh, si solo agrega este comando aquí mismo, escupe la carga útil y le dice qué es exactamente lo que está tratando de hacer'», dice. «Las soluciones automatizadas no piensan ni pueden hacer eso».