TrickBot skiftar till en ny Windows 10 UAC Bypass för att undvika upptäckt

Den luriga trojanen TrickBot utvecklas ännu en gång, och är fortsatt den mest avancerade koden för att leverera malware.

TrickBot skiftar till en ny Windows 10 UAC Bypass för att undvika upptäckt

Den 3:e februari skrev Threatpost en artikel om trojanen TrickBots nya knep för att kunna leverera skadlig kod.

Trojanen har på nytt utökat sin förmåga att undgå upptäkt, denna gång genom att passera Windows 10 User Account Control (UAC) i syfte att leverera malware till arbetsstationer och servrar på ett nätverk.

Forskare vid Morphisec Labs säger att att de upptäkt kod i mars 2019 vilket använder sig av Windows 10 WSReset UAC Bypass för att undvika UAC skyddet i en rapport från förra veckan. UAC är en Windows säkerhetsfunktion vilket har till syfte att motverka förändringar av systemet utav obehöriga användare, program och skadlig kod.

TrickBot trojanen är synnerligen farlig då den fortlöpande utvecklas med ny funktionalitet i syfte att förbättra dess förmåga att undvika upptäkt och sin aktivitet när annan skadlig kod installeras, Morphisec säkerhetsforskare Arnold Osipov skriver i sitt inlägg ”On almost a daily basis, malicious actors reinvent TrickBot and work to find new pathways to deliver the trojan onto machines. This is what makes TrickBot among the most advanced malware delivery vehicles, the constant evolution of methodologies used for delivery.

Rapporten beskriver detaljerat hur de nya funktionerna fungerar. WSReset UAC Bypass kontrollerar först ett system om det är Windows 7 eller 10, om det senare, nyttjas WSReset UAC Bypass.

Denna funktion tillåter utvecklarna att utnyttja WSReset.exe processen, vilket är en Microsoft-signerad programvara som används för att nollställa Windows Store inställningar.

En nyckel till dess framgång är att ”autoElevate” egenskapen i processen är satt till ”true” vilket är vad som tillåter WSReset UAC Bypass utnyttjas för behörighetshöjningen.
TrickBot dekrypterar dess strängar för att kunna utnyttja WSReset UAC Bypass, såsom dess register värden. Därefter används ”reg.exe” för att registrera nödvändiga nycklar i registret vilket möjliggör utnyttjandet av WSReset UAC Bypass.

Det slutliga steget är att exekvera WSReset.exe, vilket startar trojanen i upphöjt behörighetsläge utan någon UAC prompt. Detta görs med hjälp av ”ShellExecuteExW” API och med detta kan TrickBot slutligen leverera sin skadliga kod till alla anslutna Windows datorer på nätverket.