IT業界社群及資訊平台

【炒股係咁就好】TrickBot又升值 新技能分析屏幕解像度延長壽命

自 2016 年 9 月首次被黑客用嚟攻擊澳洲銀行同埋金融業客戶,TrickBot 喺短短 4 年間,經過 N 段進化,次數已經超越《龍珠》入面嘅斯路加布歐。每次進化,呢隻 Malware 就更古惑,由起初一隻銀行木馬變成而家嘅萬能 Key,理所當然成為資訊保安平台重點監視對像。今次 N+1 段進化,TrickBot 學識去分辨入侵系統係咪 Virtual Machine (VM),如果係就立即停止運作,隱藏實力阻止研究人員分析戰鬥招數。

單純學識避過監察同分析,使唔使開個 Po 嚟講咁隆重呀?咁先要回顧一下 TrickBot 本身嘅「成就」。呢一刻 TrickBot 最少有 10 款 Module 去偷 OpenSSH 私匙和 OpenVPN 密碼和配置,另外具備橫向感染網絡、瀏覽器上偷個人資料、偷「曲奇」、偷目錄管理服務數據、偷遠端桌面協定、VNC 與 PuTTY 個人資料、鎖屏、連鎖引入其他 Malware 等技能,最出名就係孖住 Ryuk 勒索程式攻陷用家,又有試過轉拍 Emotet,感染力與破壞力已達新冠病毒級。出道 4 年所造成嘅損失難以估計,去年就曾入侵超過 2.5 億個電郵帳號,堪稱當今世上 3 大 Malware 之一。

受聘網絡保安企業 MalwareLab 嘅調查員 Maciej Kotowicz 最近發現,有 TrickBot 開始偵測電腦屏幕解像度,當解像度設定為 800 x 640 或 1024 x 768 時,便會休眠。呢個功能完全針對資安平台研究員以 VM監察 TrickBot 而設,因為為咗節省系統資源,VM 嘅屏幕像素一向 set 得較低,平衡過利弊之後,黑客就寧願放棄呢批 VM,以及真係採用咁低屏幕像素運作嘅系統,以減少俾資安研究員採集攻擊數據嘅風險,令 TrickBot 唔會咁快被攔截。一隻原本已經非常古惑嘅 Malware,依家仲要識得左閃右避,實在令研究團隊更難捕捉。不過曲線咁講,如果你將自己個芒嘅 Resolution 轉到得  1024 x 768,就可以減少受感染嘅風險啦。

資料來源:https://bit.ly/2BFYsbn

相關文章:【成就解鎖】TrickBot再進化 雙重驗證保安失效