Chaîne d'attaque TrickBot : déconstruction et atténuation

Non seulement TrickBot est devenu un cheval de Troie bancaire hautement capable mais il permet aussi désormais la reconnaissance active, l'exfiltration de données, la progression latérale et la diffusion de ransomwares.

TrickBot est l’un des malwares les plus courants et fructueux aujourd’hui. Également appelé TrickLoader ou Trickster, c’est un cheval de Troie bancaire qui est apparu fin 2016 et dont nous avons la trace dans nos labos depuis début 2017. A l’origine, TrickBot semblait très proche de Dyre, une variante de malware antérieure, elle-même très proche de la famille de malwares Zeus. C’est le dernier malware d’une longue lignée de chevaux de Troie ayant évolué sur plus de dix ans.

Les premières versions de TrickBot étaient efficaces techniquement, mais limitées dans leur champ d’action car elles visaient essentiellement des banques régionales américaines. Comme la plupart des chevaux de Troie bancaires, il vise une liste de sites web, qu’il intercepte et manipule pour en capturer des informations et rediriger des transactions. Au fil du temps, ce malware a continué d’évoluer pour viser une liste grandissante de banques en ligne. Il s’est aussi doté de nouvelles fonctionnalités telles que : le vol de données des e-mails et navigateurs, le vol de cryptomonnaie visant coinbase.com, l’exploit EternalBlue pour la progression latérale, le vol de base de données Active Directory (module ADll), la configuration en temps réel via Command and Control Server (C2), la désactivation de contrôles de sécurité, ou encore le chiffrement de données (malware Ryuk).

Non seulement TrickBot est devenu un cheval de Troie bancaire hautement capable mais il permet aussi désormais la reconnaissance active, l’exfiltration de données, la progression latérale et la diffusion de ransomwares.

La méthode de diffusion la plus courante de TrickBot est l’envoi de fichiers Microsoft Office (quasiment toujours des documents Word contenant des macros malveillantes) par e-mail. Cela suppose une interaction de l’utilisateur pour que le contenu du document s’exécute. Pour que l’utilisateur active le contenu, différentes techniques d’ingénierie sociale sont employées. La plus courante consiste à prétendre qu’Office a été mis à jour ou qu’une mise à jour est nécessaire et que l’utilisateur doit prendre connaissance du contenu pour finaliser la mise à jour. D’autres variants, moins courants, procèdent par le biais de fausses factures ou de bons de livraison UPS.

TrickBot mise sur l’utilisation abusive de comptes admin

Le malware utilise les privilèges administrateur pour s’infiltrer dans le système d’exploitation, désactiver les contrôles antivirus, voler des identifiants et effectuer d’autres activités illégales. TrickBot ne peut aboutir que si l’utilisateur a des droits admin. Il use de différentes techniques de contournement UAC pour rehausser silencieusement les privilèges des malwares sans alerter les utilisateurs. Ces contournements UAC exploitent des applications Microsoft de confiance autorisées à rehausser leurs privilèges sans déclencher de message d’autorisation UAC visible par l’utilisateur final. Ainsi, TrickBot utilise une combinaison d’applications Windows natives et les privilèges administrateur de l’utilisateur pour se relancer en silence comme processus privilégié sur le système.

Une fois que Trickbot a procédé à l’élévation via un bypass UAC, il dispose des privilèges administrateur pour apporter des changements importants au système. Il peut notamment désactiver des paramètres et outils de sécurité IT permettant à l’agresseur de s’implanter plus largement dans le système et d’introduire de nouvelles charges utiles, sans risque d’être détecté. Ayant pris possession du système, il peut lancer l’un de ses nombreux modules pour voler des données, collecter des identifiants, injecter du code malveillant dans des sites web de banque, lancer une charge de ransomware, etc.

Sans privilège, pas d’abus possible

La plupart des fonctionnalités de TrickBot supposent que l’utilisateur ait des privilèges administrateur exploitables par le malware. C’est un bon exemple d’anéantissement des investissements consentis dans des outils de sécurité des terminaux, car si les utilisateurs disposent de comptes admin locaux, ceux-ci peuvent être exploités de façon à désactiver quasiment tous les contrôles des terminaux.

Les contournements UAC exploitent les utilisateurs disposant de privilèges admin locaux. Or ceci peut être atténué au moyen d’une solution endpoint privilege management permettant de supprimer les privilèges admin locaux et d’appliquer des privilèges plus granulaires pour n’élever que les tâches et les outils indispensables.

Les contournements UAC devraient pouvoir être empêchés facilement par une solution robuste de gestion des privilèges. Ainsi, l’application Windows légitime peut toujours s’exécuter et élever ses privilèges sans autoriser l’infiltration de charges de malwares. Cette fonctionnalité empêche le malware de procéder facilement à l’élévation de privilèges et complique les tentatives de désactivation des contrôles de sécurité.

Une fois les privilèges administrateur retirés, la surface d’attaque est considérablement réduite et il est possible d’ajouter des couches de contrôles applicatifs pour empêcher des applications inconnues, comme la charge d’un malware, de s’exécuter en premier. Dès qu’un malware est empêché de s’exécuter, d’élever les privilèges ou de s’évader, le terminal visé est bien mieux protégé.