TrickBot银行木马“锦上添花”:再增加载器模块

栏目: IT技术 · 发布时间: 4年前

内容简介:TrickBot银行木马自2016年问世以来,一直活跃至今。它从最初的银行木马发展到今天已经成为一款强大的恶意家族软件,其功能包括盗取用户电子邮箱、收集系统信息以及盗取浏览器隐私信息等等。经过几年的发展,TrickBot银行木马已经变得高度模块化,其可以由威胁参与者根据目标环境进行配置,进而实现不同的恶意功能。亚信安全也曾多次披露该木马的攻击活动(具体可见参考链接),如下表格是TrickBot银行木马主要模块的详细信息。近期,亚信安全网络实验室关注到该木马新增了加载器模块,该模块可以使TrickBot银行木

TrickBot银行木马自2016年问世以来,一直活跃至今。它从最初的银行木马发展到今天已经成为一款强大的恶意家族软件,其功能包括盗取用户电子邮箱、收集系统信息以及盗取浏览器隐私信息等等。经过几年的发展,TrickBot银行木马已经变得高度模块化,其可以由威胁参与者根据目标环境进行配置,进而实现不同的恶意功能。亚信安全也曾多次披露该木马的攻击活动(具体可见参考链接),如下表格是TrickBot银行木马主要模块的详细信息。

TrickBot银行木马“锦上添花”:再增加载器模块

近期,亚信安全网络实验室关注到该木马新增了加载器模块,该模块可以使TrickBot银行木马自身加载其他的恶意程序,例如勒索程序,挖矿程序等。其实早在去年有友商披露Trickbot木马下发Ryuk勒索病毒的攻击活动,此模块的增加使其加载其他恶意程序变得更加快捷,本文将会对此模块进行详细的分析。

在今年2月份,此木马为了更加快速扩散自身,添加了RDP扫描模块,其主要使用蛮力破解RDP,成功后将自身投放到新的设备中,亚信安全检测此模块为TrojanSpy.Win32.TRICKBOT.SMZM3。短短2个月的时间,该木马再度更新模块,可见其制作团队仍然在不断地扩展功能,不断地进行商业化。亚信安全将会持续关注TrickBot银行木马的发展动态。

病毒详细分析

TrickBot银行木马的加载器模块目前已经更新多个版本,其主要执行流程没有变化,主要的执行函数在导出的Control函数中,通过创建线程执行主要的恶意行为。

TrickBot银行木马“锦上添花”:再增加载器模块

TrickBot银行木马“锦上添花”:再增加载器模块

其首先通过WinHTTP函数访问远程地址下载文件到本地。如下图是本次样本访问的IP以及文件名称。值得注意的是,主要的字符串使用宽UNICODE字符混淆,静态下无法直接查看。

TrickBot银行木马“锦上添花”:再增加载器模块 TrickBot银行木马“锦上添花”:再增加载器模块

其具体下载执行流程如下:

TrickBot银行木马“锦上添花”:再增加载器模块

然后将文件写到本地。

TrickBot银行木马“锦上添花”:再增加载器模块

该病毒首先会依次判断系统目录,APPDATA目录和Temp目录,可以访问的目录将会作为下载文件本地的存放路径。

TrickBot银行木马“锦上添花”:再增加载器模块

然后利用Windows API函数GetNamedSecurityInfoA、SetNamedSecurityInfoW和SetEntriesInAclW修改文件的安全访问权限,目的是为了绕过从远程位置下载的文件执行保护。

TrickBot银行木马“锦上添花”:再增加载器模块

最后创建进程执行远程下载的文件。

TrickBot银行木马“锦上添花”:再增加载器模块

关联分析

我们通过样本获取到相关的IP和文件信息,通过亚信安全高级威胁情报平台关联到相关URL的活动。

TrickBot银行木马“锦上添花”:再增加载器模块

通过进一步分析和关联,发现此模块已经更新了多个版本并且交付多个恶意样本。

TrickBot银行木马“锦上添花”:再增加载器模块

更多关联URL和样本信息如下所示,可见该模块近期使用频繁。由于TrickBot银行木马攻击活动多数是通过垃圾邮件方式投递,所以我们建议用户勿随意点击电子邮件的附件和链接,亚信安全邮件网关DDEI和IMSA等安全产品都可以提前有效拦截恶意的邮件和邮件附件以及其中的可疑链接。

TrickBot银行木马“锦上添花”:再增加载器模块


以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

Perl最佳实践

Perl最佳实践

康韦 / Taiwan公司 / 东南大学出版社 / 2008-3 / 78.00元

《Perl最佳实践》中所有的规则都是为了写出清晰、健壮、高效、可维护和简洁的程序而设计。Conway博士并不自诩这些规则是最广泛和最清晰的实践集,但实际上,《Perl最佳实践》确实提供了在实践中被广泛认可和应用的建议,而不是象牙塔似的编程理论。许多程序员凭直觉来编程,这些直觉来自于他们早期养成的习惯和风格。这样写出的程序似乎自然、直观,而且看起来也很不错。但是,如果你想严肃地对待程序员这份职业,那......一起来看看 《Perl最佳实践》 这本书的介绍吧!

HTML 压缩/解压工具
HTML 压缩/解压工具

在线压缩/解压 HTML 代码

JS 压缩/解压工具
JS 压缩/解压工具

在线压缩/解压 JS 代码

Markdown 在线编辑器
Markdown 在线编辑器

Markdown 在线编辑器