TrickBot银行木马“锦上添花”:再增加载器模块

栏目: IT技术 · 发布时间: 4年前

内容简介:TrickBot银行木马自2016年问世以来,一直活跃至今。它从最初的银行木马发展到今天已经成为一款强大的恶意家族软件,其功能包括盗取用户电子邮箱、收集系统信息以及盗取浏览器隐私信息等等。经过几年的发展,TrickBot银行木马已经变得高度模块化,其可以由威胁参与者根据目标环境进行配置,进而实现不同的恶意功能。亚信安全也曾多次披露该木马的攻击活动(具体可见参考链接),如下表格是TrickBot银行木马主要模块的详细信息。近期,亚信安全网络实验室关注到该木马新增了加载器模块,该模块可以使TrickBot银行木

TrickBot银行木马自2016年问世以来,一直活跃至今。它从最初的银行木马发展到今天已经成为一款强大的恶意家族软件,其功能包括盗取用户电子邮箱、收集系统信息以及盗取浏览器隐私信息等等。经过几年的发展,TrickBot银行木马已经变得高度模块化,其可以由威胁参与者根据目标环境进行配置,进而实现不同的恶意功能。亚信安全也曾多次披露该木马的攻击活动(具体可见参考链接),如下表格是TrickBot银行木马主要模块的详细信息。

TrickBot银行木马“锦上添花”:再增加载器模块

近期,亚信安全网络实验室关注到该木马新增了加载器模块,该模块可以使TrickBot银行木马自身加载其他的恶意程序,例如勒索程序,挖矿程序等。其实早在去年有友商披露Trickbot木马下发Ryuk勒索病毒的攻击活动,此模块的增加使其加载其他恶意程序变得更加快捷,本文将会对此模块进行详细的分析。

在今年2月份,此木马为了更加快速扩散自身,添加了RDP扫描模块,其主要使用蛮力破解RDP,成功后将自身投放到新的设备中,亚信安全检测此模块为TrojanSpy.Win32.TRICKBOT.SMZM3。短短2个月的时间,该木马再度更新模块,可见其制作团队仍然在不断地扩展功能,不断地进行商业化。亚信安全将会持续关注TrickBot银行木马的发展动态。

病毒详细分析

TrickBot银行木马的加载器模块目前已经更新多个版本,其主要执行流程没有变化,主要的执行函数在导出的Control函数中,通过创建线程执行主要的恶意行为。

TrickBot银行木马“锦上添花”:再增加载器模块

TrickBot银行木马“锦上添花”:再增加载器模块

其首先通过WinHTTP函数访问远程地址下载文件到本地。如下图是本次样本访问的IP以及文件名称。值得注意的是,主要的字符串使用宽UNICODE字符混淆,静态下无法直接查看。

TrickBot银行木马“锦上添花”:再增加载器模块 TrickBot银行木马“锦上添花”:再增加载器模块

其具体下载执行流程如下:

TrickBot银行木马“锦上添花”:再增加载器模块

然后将文件写到本地。

TrickBot银行木马“锦上添花”:再增加载器模块

该病毒首先会依次判断系统目录,APPDATA目录和Temp目录,可以访问的目录将会作为下载文件本地的存放路径。

TrickBot银行木马“锦上添花”:再增加载器模块

然后利用Windows API函数GetNamedSecurityInfoA、SetNamedSecurityInfoW和SetEntriesInAclW修改文件的安全访问权限,目的是为了绕过从远程位置下载的文件执行保护。

TrickBot银行木马“锦上添花”:再增加载器模块

最后创建进程执行远程下载的文件。

TrickBot银行木马“锦上添花”:再增加载器模块

关联分析

我们通过样本获取到相关的IP和文件信息,通过亚信安全高级威胁情报平台关联到相关URL的活动。

TrickBot银行木马“锦上添花”:再增加载器模块

通过进一步分析和关联,发现此模块已经更新了多个版本并且交付多个恶意样本。

TrickBot银行木马“锦上添花”:再增加载器模块

更多关联URL和样本信息如下所示,可见该模块近期使用频繁。由于TrickBot银行木马攻击活动多数是通过垃圾邮件方式投递,所以我们建议用户勿随意点击电子邮件的附件和链接,亚信安全邮件网关DDEI和IMSA等安全产品都可以提前有效拦截恶意的邮件和邮件附件以及其中的可疑链接。

TrickBot银行木马“锦上添花”:再增加载器模块


以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

金字塔原理

金字塔原理

[美] 巴巴拉·明托 / 王德忠、张珣 / 民主与建设出版社 / 2002-12 / 39.80元

《金字塔原理》是一本讲解写作逻辑与思维逻辑的读物,全书分为四个部分。 第一篇主要对金字塔原理的概念进行了解释,介绍了如何利用这一原理构建基本的金字塔结构。目的是使读者理解和运用简单文书的写作技巧。 第二篇介绍了如何深入细致地把握思维的环节,以保证使用的语句能够真实地反映希望表达的思想要点。书中列举了许多实例,突出了强迫自己进行“冷静思维”对明确表达思想的重要性。 第三篇主要针对的......一起来看看 《金字塔原理》 这本书的介绍吧!

JSON 在线解析
JSON 在线解析

在线 JSON 格式化工具

MD5 加密
MD5 加密

MD5 加密工具