内容简介:TrickBot通过不断增加窃取用户凭证的新模块而不断进化,我们已发布的最新进展是关于它的pwgrab32模块。最近,我们又发现了一个新的POS相关的恶意模块,使得该银行木马更加危险。一旦受感染的计算机连接到支持POS服务和设备的网络,新模块将开始活动。我们目前正在研究恶意软件的作者是如何利用这些信息的,因为他们已经成功渗透了安装了POS相关服务的网络,但却没有获取信用卡,ATM或其他银行相关的特定数据。在此阶段,他们可能正在收集信息,以便为将来的入侵做准备。
前言
TrickBot通过不断增加窃取用户凭证的新模块而不断进化,我们已发布的最新进展是关于它的pwgrab32模块。最近,我们又发现了一个新的POS相关的恶意模块,使得该银行木马更加危险。一旦受感染的计算机连接到支持POS服务和设备的网络,新模块将开始活动。
我们目前正在研究恶意软件的作者是如何利用这些信息的,因为他们已经成功渗透了安装了POS相关服务的网络,但却没有获取信用卡,ATM或其他银行相关的特定数据。在此阶段,他们可能正在收集信息,以便为将来的入侵做准备。
psfin32模块分析
新模块psfin32与其之前的信息收集模块类似,但做了一些修改,仅识别特定网络中POS相关的内容。该模块通过域控制器和基本帐户识别网络中的POS服务,并使用LDAP查询来访问Active Directory服务(ADS,负责存储有关网络上对象的信息)。LDAP查询在全局编录的DNS主机名中搜索包含以下字符串的计算机:
POS | LANE | BOH |
---|---|---|
REG | STORE | ALOHA |
CASH | RETAIL | MICROS |
如果未查询到任何信息,它还会根据以下内容对网络中的不同帐户或对象执行其他查询:
sAMAccountName:用于支持旧版Windows操作系统版本,如Windows NT 4.0,Windows 95,Windows 98和LAN Manager
网站名称:
组织单位(OU):
除域控制器外,它还使用UserAccountControl(UAC)8192向网络中具有基本帐户或用户的计算机发送查询。
一旦TrickBot收集到了信息,它就会将信息存储到其预先配置的“Log”文件中,通过POST方式发送到其C&C服务器Dpost上。如果无法访问C&C服务器,则会提示“Dpost服务器不可用”,否则提示会显示“报告已成功发送”。
考虑到模块的部署时间,威胁参与者可能正在利用假期来收集和发送信息,特别是在Brad Duncan在ISC上发表了相关报告之后,该报告讨论了针对美国的关于TrickBot宏的恶意垃圾邮件活动。虽然当时分析的样本文件和URL已无法访问,但依然对个人和企业起到警告作用:不要打开可疑的电子邮件,文件和附件。
防范策略
鉴于TrickBot的模块化特性,我们可以预期它会有更多的变种,使其更难以检测和防御。个人和企业可以通过多层防御使自己免受像TrickBot这样的银行木马侵害。同时确保只安装,下载和浏览白名单下的应用程序和站点。
Indicator of Compromise
SHA256
SHA256
a9b00d12f7fa52209a8ead91bb595522effc0ab5e4dcfa02e0d145ae7ea1cb19
*参考来源: trendmicro.com ,xxx编译整理,转载请注明来自 FreeBuf.COM。
以上所述就是小编给大家介绍的《TrickBot银行木马最新的POS相关模块psfin32分析》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!
猜你喜欢:- 银行木马Trickbot新模块:密码抓取器分析
- 针对银行木马BokBot核心模块的深入分析
- 针对TrickBot银行木马新模块pwgrab的深入分析
- TrickBot银行木马“锦上添花”:再增加载器模块
- 木马分析:分析针对意大利的Ursnif银行木马
- 驱动人生供应链木马攻击2019.1.30变种木马分析
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。