Siber güvenlik

TrickBot Nedir? TrickBot Nasıl Bulaşır?

Kötü bir yazılım türü olan TrickBot nedir, TrickBot Nasıl Bulaşır? bilmeniz gerekenleri detaylıca anlatıyoruz. İşte detaylar

TrickBot Nedir?

TrickBot veya TrickLoader, hem işletmeleri hem de kişileri hedefleyen bir bankacılık truva atıdır. Bu truva atıının hedef bilgileri şunlardır: bankacılık bilgileri, kimlik bilgileri, kişisel bilgiler ve hatta kişilerin Bitcoinleri

Oldukça modüler bir kötü amaçlı yazılım olarak, içinde bulunduğu her ortama veya ağa uyum sağlayabilir. Bu Truva Atı’nın 2016’daki keşfinden bu yana yaptığı birçok numara, geliştiricilerinin yaratıcılığına ve çevikliğine bağlanıyor.

TrickBot, sadece bilgileri almak ile kısıtlı değil. Açıklardan yararlanma, ağ içinde yer edinme, Sunucu İleti Bloğu (SMB) paylaşımları aracılığıyla kendi kopyalarını yayma, Ryuk fidye yazılımı gibi diğer kötü amaçlı yazılımları devre dışı bırakma gibi yeteneklere sahip.

2016’da TrickBot, bankacılık bilgilerini hedefleyen bir kötü yazılımdı. Hatta Anti-Malware araştırmacıları normalde basit kimlik hırsızlarında görülmeyen özelliklerle övünüyordu.

Başlangıçta, bankacılık verileri için finansal hizmetleri ve kullanıcıları hedef aldı. 2017’de geliştiriciler solucan (kendi kendine yayılabilen kötü yazılım) benzeri yeteneklere sahip başarılı fidye yazılımı kampanyalarından ilham aldığına inandığımız TrickBot’a bir solucan modülü ekledi. Bununla birlikte zamanla TrickBot’un çaldığı veri aralığı da genişledi: çerezler, tarama geçmişi, ziyaret edilen URL’ler, Flash LSO (Yerel Paylaşılan Nesneler) ve daha fazlası. Bu modüller o zamanlar yeni olmasına rağmen, iyi kodlanmamışlardı.

2018’de TrickBot, SMB güvenlik açığından yararlanmaya devam etti. Ayrıca, bir PowerShell komutu kullanarak Windows Defender’ın gerçek zamanlı izlemesini devre dışı bırakabiliyordu.

TrickBot geliştiricileri ayrıca, şaşırtma öğeleri ekleyerek kodlarının güvenlik araştırmacıları tarafından parçalara ayrılmasını önlemeye başladı. Yıl sonunda, TrickBot, Emotet’i geçerek işletmelere yönelik en büyük tehdit olarak sıralandı.

TrickBot Nasıl Bulaşır?

TrickBot etkilenen sistemlere gömülü URL’ler veya kötü amaçlı spam (malspam) kampanyalarındaki virüslü ekler şeklinde bulaşır.

TrickBot çalıştırıldıktan sonra, yaygın olarak bilinen üç NSA istismarından birini kullanarak SMB güvenlik açığından yararlanarak ağ içinde yanal olarak yayılır: EternalBlue, EternalRomance veya EternalChampion. Emotet, ikincil bir enfeksiyonun parçası olarak TrickBot’u da düşürebilir.

TrickBot’un Belirtileri

Kullanıcı gizlice çalışması amaçlandığından bir TrickBot enfeksiyonunun belirtilerini nadiren fark edecektir. Bir ağ yöneticisinin, trafikte olağandışı bir değişiklik veya yabancı veya kara listeye alınmış etki alanlarına ulaşma girişimi gibi saldırı belirtilerini fark etmesi mümkündür. Bununla birlikte, çoğu modern bulut veya hibrit çalışma ortamının genişleyen ve karmaşık doğasının yanı sıra TrickBot kötü amaçlı yazılımının karmaşık doğası göz önüne alındığında, bir TrickBot saldırısını tespit etmek insanlar için imkansız değilse de zordur.

Kuruluşlar, ağ trafiğini ve diğer etkinlikleri gerçek zamanlı olarak sürekli olarak izleyecek ve BT ekibini şüpheli davranışlara veya daha fazla araştırılması gereken anormal etkinliklere karşı uyaracak kapsamlı, gelişmiş bir siber güvenlik araç seti ile kendilerini korumalıdır.

İlgili Makaleler

Bir cevap yazın

E-posta hesabınız yayımlanmayacak.

Başa dön tuşu