Home Malware TrueBot: Panduan Lengkap

Malware TrueBot: Panduan Lengkap

Pusat Keamanan Cyber Kanada (CCCS) dan Pusat Berbagi Informasi dan Analisis Multi-Negara telah memperingatkan tentang varian malware Truebot yang baru diidentifikasi yang digunakan terhadap organisasi di AS dan Kanada. Dampak serangan Truebot dapat menjadi parah dan beragam, yang melibatkan pencurian data sensitif seperti informasi yang dapat diidentifikasi secara pribadi (PII), orin, keuangan, catatan keuangan, keuangan, catatan keuangan, keuangan, keuangan, catatan keuangan, keuangan, keuangan, catatan keuangan, intelin keuangan. TrueBot juga dapat menggunakan muatan malware tambahan, seperti ransomware, untuk mengenkripsi file kritis dan memeras pembayaran dari organisasi yang ditargetkan.CISA dan mitranya telah merilis gabunganPenasihat Keamanan Cybersen tentang Varian Malware TrueBotItu menjelaskan bagaimana TrueBot telah diamati dalam hubungan dengan Raspberry Robin dan bagaimana penjahat cyber dapat memperoleh akses awal, serta kemampuan untuk bergerak secara lateral dalam jaringan yang dikompromikan.

Pakar Salvagedata merekomendasikan langkah -langkah keamanan data proaktif, seperti cadangan reguler, praktik keamanan siber yang kuat, dan menjaga perangkat lunak tetap terkini, untuk melindungi terhadap serangan malware. Dan,Dalam hal serangan malware, hubungi kamiPakar Pemulihan Malwarelangsung.

Malware macam apa itu TrueBot?

TrueBot dapat diidentifikasi sebagai keduanya amalware botnetdan aTrojan.Downloader. Ini telah digunakan oleh kelompok -kelompok cyber berbahaya seperti CL0P Ransomware Gang untuk mengumpulkan dan mengeluarkan informasi dari korban targetnya. Ini mampu mengunduh dan melaksanakan muatan tambahan, menjadikannya malware yang ideal untuk kelompok IAB yang ingin menanam pintu belakang pada suatu sistem dan melakukan beberapa pengintaian dasar jaringan. Malware TrueBot memindai lingkungan yang dikompromikan untuk alat debugger dan menyebutkannya untuk menghindari pertahanan jaringan. Untuk mempertahankan silumannya, malware membatasi data yang dikumpulkan dan disinkronkan dengan data/lalu lintas jaringan organisasi keluar.

Apa itu malware botnet?

Botnet adalah jaringan perangkat yang terhubung dengan internet, seperti komputer, server, perangkat seluler, dan perangkat Internet of Things (IoT), yang terinfeksi dan dikendalikan oleh malware. Malware menginfeksi perangkat dan membuat bot, yang dikendalikan dari jarak jauh oleh penyerang atau bot-lebih. Tersembunyi dari pengguna perangkat.

Apa itu Trojan.Downloader?

Trojan.Downloader adalah jenis malware Trojan yang mengunduh dan menginstal perangkat lunak jahat lainnya atau file ke perangkat korban tanpa sepengetahuan atau persetujuan mereka. Pengunduh Trojan dapat disamarkan sebagai perangkat lunak yang sah atau bermanfaat, seperti pembaruan perangkat lunak atau permainan, dan sering didistribusikan sebagai bagian dari muatan program berbahaya lainnya, seperti trojan. Mereka juga dapat didistribusikan sebagai file yang disamarkan terlampir pada email spam, menggunakan program yang terdengar sah atau nama dokumen, seperti 'faktur' atau 'akun.exe', sebagai bentuk sederhana dari rekayasa sosial.

Semua yang kita ketahui tentang malware truebot

Nama yang dikonfirmasi

  • Virus truebot

Jenis ancaman

  • Malware
  • Trojan
  • Virus mencuri kata sandi
  • Malware perbankan
  • Spyware

Muatan

  • Raspberry Robin
  • FLAWEDGRACE
  • Serangan kobalt
  • Ransomware cl0p,

Metode distribusi

  • Teknik Sosial
  • Phishing
  • Eksploitasi CVE-2022-31199
  • Malvertising
  • Kit Eksploitasi
  • Perangkat lunak bajakan

Konsekuensi

  • Kata sandi curian dan informasi perbankan
  • Pencurian identitas
  • Komputer korban ditambahkan ke botnet.

Bagaimana malware TrueBot menginfeksi mesin atau jaringan?

Malware, seperti ransomware, menggunakan beberapa taktik untuk menginfeksi mesin dan sistem, kebanyakan dengan mengeksploitasi kerentanan. Ini termasuk perangkat lunak yang tidak ditambal dan kata sandi yang lemah.

Teknik Sosial

Para penyerang menggunakan taktik rekayasa sosial untuk memanipulasi orang agar berbagi informasi yang tidak boleh mereka bagikan, mengunduh perangkat lunak yang tidak boleh mereka unduh, mengunjungi situs web yang tidak boleh mereka kunjungi, mengirimkan uang kepada para penjahat, atau membuat kesalahan lain yang membahayakan keamanan pribadi atau organisasi mereka.

Phishing

Malware TrueBot secara historis mengandalkan email phishing sebagai metode pengiriman utama, menipu penerima untuk mengklik hyperlink berbahaya atau menyembunyikan malware sebagai pemberitahuan pembaruan perangkat lunak.

Pelajari lebih lanjut:

Eksploitasi Kerentanan CVE-2022-31199

Malware TrueBot secara aktif mengeksploitasi CVE-2022-31199, kerentanan eksekusi kode jarak jauh dalam komponen perekaman video aktivitas pengguna Auditor Netwrix yang memungkinkan penyerang jarak jauh yang tidak terauthentikasi untuk mengeksekusi kode sewenang-wenang sebagai pengguna NT Authoritysystem pada sistem yang terpengaruh, termasuk pada monitor Auditor Netwrix pada sistem. Para penyerang menggunakan kerentanan ini untuk memberikan varian Malware TrueBot baru dan untuk mengumpulkan dan mengeluarkan informasi dari organisasi di AS dan Kanada.

Kit malvertising dan eksploitasi

Malvertising adalah penggunaan iklan online, yang tampaknya sah, untuk menyebarkan malware. Kit Eksploitasi adalah perangkat lunak pra-paket yang dapat digunakan untuk mengeksploitasi kerentanan dalam suatu sistem.

Perangkat lunak bajakan

Penyerang dapat menginfeksi perangkat lunak bajakan dengan malware dan mendistribusikannya melalui situs torrent atau platform berbagi file lainnya.

Metode Eksekusi Malware TrueBot

Malware TrueBot adalah malware canggih yang menggunakan berbagai metode untuk menginfeksi sistem dan jaringan. Tujuan utama dari infeksi truebot adalah untuk mengeksfiltrat data sensitif dari host yang dikompromikan untuk keuntungan finansial.

Pengumpulan data

Selama tahap pertama proses eksekusi TrueBot, ia memeriksa versi saat ini dari sistem operasi (OS) dengan rtlgetVersion dan arsitektur prosesor menggunakan getnativeSystemInfo. Selama fase eksekusi Flawedgrace, tikus menyimpan muatan yang dienkripsi dalam registri. Alat ini dapat membuat tugas yang dijadwalkan dan menyuntikkan muatan ke msixec.exe dan svchost.exe, yang merupakan proses perintah yang memungkinkan Flawedgrace untuk membuat koneksi perintah dan kontrol (C2) ke server jarak jauh, serta memuat pustaka tautan dinamis (DLL) untuk menyelesaikan escalation hak istimewa. Beberapa jam pasca akses awal, TrueBot telah diamati menyuntikkan suar Cobalt Strike ke dalam memori dalam mode tidak aktif selama beberapa jam pertama sebelum memulai operasi tambahan.

Penemuan dan penghindaran pertahanan

Mengikuti pemeriksaan awal untuk informasi sistem, TrueBot dapat menyebutkan semua proses berjalan, mengumpulkan data host lokal yang sensitif, dan mengirim data ini ke string data yang dikodekan yang dijelaskan di bawah ini untuk pelaksanaan tahap kedua. Berdasarkan IOCS, TrueBot juga dapat menemukan protokol keamanan perangkat lunak dan sistem faciling yang membantu dalam pelapisan pertahanan, juga memungkinkan sinka dengan kompromi. menggunakan teknik canggih untuk menghindari deteksi dengan solusi keamanan tradisional. Mereka memanfaatkan berbagai metode untuk menyamarkan malware dalam format file yang sah, membuatnya lebih sulit bagi sistem keamanan untuk mengidentifikasi dan memblokir. Secara akibat, TrueBot menggunakan metode pengkodean dan enkripsi untuk mengaburkan kegiatannya, sehingga lebih sulit bagi analis keamanan untuk menganalisis dan mendeteksi kegiatan jahatnya.

Exfiltrasi Data

TrueBot membuat koneksi menggunakan pengidentifikasi unik (GUID) yang baru dihasilkan secara global, dan domain yang dikaburkan kedua untuk menerima muatan tambahan, replikasi diri di seluruh lingkungan, dan/atau menghapus file yang digunakan dalam operasinya. Malware truebot dapat mengunduh modul berbahaya tambahan, memuat kode shell, dan menggunakan berbagai alat untuk menavigasi navigasi yang terinfeksi secara diam-diam.

Indikator Malware TrueBot dari Kompromi (IOC)

Badan Keamanan Cybersecurity dan Infrastructure (CISA) telah mengeluarkan peringatan penasehat bahwa beberapa kelompok aktor ancaman menggunakan varian malware truebot baru dalam serangan terhadap organisasi di AS dan Kanada. Penasihat berisi indikator kompromi (IOC) yang dapat digunakan organisasi untuk mengidentifikasi aktivitas renebot dalam lingkungan mereka. Organisasi yang mengidentifikasi IOC dalam lingkungan mereka harus segera menerapkan tanggapan insiden dan langkah -langkah mitigasi yang dirinci dalam penasihat dan melaporkan intrusi ke CISA atau FBI. Beberapa perusahaan IOCS harus diawasi adalah:

  • Pendaftar- GKG [.] Administrator Layanan Proksi Domain Net
  • AKU P- 193.3.19 [.] 173 (Rusia)
  • Domain- https: // corporacionhardsoft [.] Com/gambar/2/document_16654.exe
  • Hash md5- 6164E9D297D29AA8682971259DA06848
  • Mengajukan- Document_May_24_16654 [.] Exe
  • Mengajukan- C: IntelruntiMebroker [.] Exe
  • Mengajukan- Document_16654 [.] EXE

Bagaimana menangani serangan malware truebot

Langkah pertama untuk memulihkan diri dari serangan TrueBot adalah mengisolasi komputer yang terinfeksi dengan melepaskannya dari Internet dan menghapus perangkat yang terhubung. Kemudian, Anda harus menghubungi otoritas lokal. Dalam kasus penduduk dan bisnis AS, itu adalah FBI danPusat Keluhan Kejahatan Internet (IC3).Untuk melaporkan serangan malware, Anda harus mengumpulkan setiap informasi yang Anda bisa tentang hal itu, termasuk:

  • Tangkapan layar dari uang tebusan
  • Komunikasi dengan aktor ancaman (jika Anda memilikinya)
  • Sampel file terenkripsi

Namun, jika Anda lebih sukaHubungi Profesional, lalu tidak melakukan apa -apa.Tinggalkan setiap mesin yang terinfeksi seperti itudan memintaLayanan penghapusan ransomware darurat. Memulai kembali atau mematikan sistem dapat membahayakan layanan pemulihan. Menangkap RAM dari sistem langsung dapat membantu mendapatkan kunci enkripsi, dan menangkap file penetes, yaitu file yang menjalankan muatan jahat, mungkin direkayasa terbalik dan mengarah pada dekripsi data atau memahami bagaimana ia beroperasi. Anda harustidak menghapus malware, dan simpan setiap bukti serangan itu. Itu penting untukForensik digitalJadi para ahli dapat melacak kembali ke grup peretas dan mengidentifikasi mereka. Itu dengan menggunakan data pada sistem yang Anda terinfeksiSelidiki serangan itu dan temukan yang bertanggung jawab.Investigasi serangan dunia maya tidak berbeda dari investigasi kriminal lainnya: perlu bukti untuk menemukan penyerang.

1. Hubungi Penyedia Respons Insiden Anda

Respons insiden cyber adalah proses menanggapi dan mengelola insiden keamanan siber. Retainer respons insiden adalah perjanjian layanan dengan penyedia keamanan siber yang memungkinkan organisasi mendapatkan bantuan eksternal dengan insiden keamanan siber. Ini memberi organisasi bentuk keahlian dan dukungan terstruktur melalui mitra keamanan, memungkinkan mereka untuk merespons dengan cepat dan efektif selama insiden dunia maya. Pengikut respons insiden menawarkan ketenangan pikiran kepada organisasi, menawarkan dukungan ahli sebelum dan setelah insiden keamanan siber. Sifat dan struktur spesifik pengikut respons insiden akan bervariasi sesuai dengan penyedia dan persyaratan organisasi. Penahan respons insiden yang baik harus kuat tetapi fleksibel, memberikan layanan yang terbukti untuk meningkatkan postur keamanan jangka panjang organisasi.Jika Anda menghubungi penyedia layanan IR Anda, mereka dapat segera mengambil alih dan memandu Anda melalui setiap langkah dalam pemulihan ransomware.Namun, jika Anda memutuskan untuk menghapus sendiri malware dan memulihkan file dengan tim TI Anda, maka Anda dapat mengikuti langkah selanjutnya.

2. Identifikasi infeksi malware

Anda dapat mengidentifikasi malware mana yang terinfeksi mesin Anda dengan menggunakan aAlat ID Ransomware. Anda juga dapat memeriksa jenis malware dengan IOC -nya. Indikator kompromi (IOC) adalah petunjuk digital yang digunakan oleh para profesional keamanan siber untuk mengidentifikasi kompromi sistem dan kegiatan jahat dalam jaringan atau lingkungan TI. Mereka pada dasarnya adalah versi digital dari bukti yang tersisa di tempat kejadian, dan IOC potensial termasuk lalu lintas jaringan yang tidak biasa, login pengguna istimewa dari negara -negara asing, permintaan DNS aneh, perubahan file sistem, dan banyak lagi. Ketika IOC terdeteksi, tim keamanan mengevaluasi kemungkinan ancaman atau memvalidasi keasliannya. IOC juga memberikan bukti tentang apa yang dimiliki penyerang jika mereka memang menyusup ke jaringan.

3. Gunakan cadangan untuk mengembalikan data

Cadangan adalah cara paling efisien untuk memulihkan data. Pastikan untuk menyimpan cadangan setiap hari atau mingguan, tergantung pada penggunaan data Anda.

4. Hubungi Layanan Pemulihan Malware

Jika Anda tidak memiliki cadangan atau perlu bantuan menghapus malware dan menghilangkan kerentanan, hubungi layanan pemulihan data. Membayar tebusan tidak menjamin data Anda akan dikembalikan kepada Anda. Satu -satunya cara yang dijamin Anda dapat mengembalikan setiap file adalah jika Anda memiliki cadangan. Jika tidak, Layanan Pemulihan Data Ransomware dapat membantu Anda mendekripsi dan memulihkan file. Salvagedata para ahli dapat dengan aman mengembalikan file Anda dan mencegah malware Truebot menyerang jaringan Anda lagi. Hubungi ahli kami 24/7 untuk layanan pemulihan ransomware.

Mencegah serangan malware truebot

Mencegah malware adalah solusi terbaik untuk keamanan data. lebih mudah dan lebih murah daripada pulih dari mereka. Malware TrueBot dapat membebani masa depan bisnis Anda dan bahkan menutup pintunya. Ini adalah beberapa tips untuk memastikan Anda bisaHindari serangan malware:

  • Pertahankan sistem operasi dan perangkat lunak terkinidengan tambalan dan pembaruan keamanan terbaru. Ini dapat membantu mencegah kerentanan yang dapat dieksploitasi oleh penyerang.
  • Gunakan kata sandi yang kuat dan unikuntuk semua akun dan aktifkan otentikasi dua faktor jika memungkinkan. Ini dapat membantu mencegah penyerang mendapatkan akses ke akun Anda.
  • Berhati -hatilah dengan email, tautan, dan lampiran yang mencurigakan.Jangan buka email atau klik tautan atau lampiran dari sumber yang tidak diketahui atau mencurigakan.
  • Gunakan perangkat lunak antivirus dan anti-malware terkemukaDan teruskan tetap mutakhir. Ini dapat membantu mendeteksi dan menghilangkan malware sebelum dapat menyebabkan kerusakan.
  • Gunakan firewalluntuk memblokir akses tidak sah ke jaringan dan sistem Anda.
  • Segmentasi jaringanUntuk membagi jaringan yang lebih besar menjadi sub-jaringan yang lebih kecil dengan interkonektivitas terbatas di antara mereka. Ini membatasi gerakan lateral penyerang dan mencegah pengguna yang tidak sah mengakses kekayaan dan data intelektual organisasi.
  • Batasi hak istimewa penggunaUntuk mencegah penyerang mendapatkan akses ke data dan sistem sensitif.
  • Mendidik karyawan dan stafTentang cara mengenali dan menghindari email phishing dan serangan rekayasa sosial lainnya.

Related Posts

Cara menambahkan tim Microsoft dengan mudah

Cara menambahkan tim Microsoft dengan mudah

2025-05-07
Cara memperbaiki printer yang tidak responsif di windows 11

Cara memperbaiki printer yang tidak responsif di windows 11

2025-04-29
Cara membuat dan menggunakan titik pemulihan sistem di Windows 11

Cara membuat dan menggunakan titik pemulihan sistem di Windows 11

2025-05-01
Cara Menghapus Layanan Windows melalui CMD atau PowerShell

Cara Menghapus Layanan Windows melalui CMD atau PowerShell

2025-10-16
Cara Membuka Kunci Negara di iPhone: Panduan Lengkap

Cara Membuka Kunci Negara di iPhone: Panduan Lengkap

2025-09-18
Bisakah Mac mendapatkan virus & mengapa Anda membutuhkan antivirus untuk Mac

Bisakah Mac mendapatkan virus & mengapa Anda membutuhkan antivirus untuk Mac

2025-03-08
Apakah Spotify Spy On You

Apakah Spotify Spy On You

2024-12-09
Thinkpad Helix Windows 8 Tablet Password Reset

Thinkpad Helix Windows 8 Tablet Password Reset

2025-05-08
Cara Menghapus Layanan Windows melalui CMD atau PowerShell

Cara Menghapus Layanan Windows melalui CMD atau PowerShell

2025-10-16
Ulasan StartMail

Ulasan StartMail

2025-11-01
5 cara untuk menemukan IMEI nomor telepon Samsung

5 cara untuk menemukan IMEI nomor telepon Samsung

2025-04-30
Cara menonaktifkan mode grafik kalkulator di windows 10

Cara menonaktifkan mode grafik kalkulator di windows 10

2025-05-07
Panduan ARC Raiders

Panduan ARC Raiders

2025-11-08
VPN terbaik untuk Mauritius pada tahun 2025

VPN terbaik untuk Mauritius pada tahun 2025

2024-12-16
Pembaruan Pratinjau Windows 11 KB5064080 Membawa Cadangan Windows untuk Organisasi

Pembaruan Pratinjau Windows 11 KB5064080 Membawa Cadangan Windows untuk Organisasi

2025-08-26