企业进入年度总结,谨防TrickBot木马窃取信息
2020-01-21 14:00:28 Author: www.freebuf.com(查看原文) 阅读量:142 收藏

TrickBot木马最早发现于2016年,早期是一款专门针对银行发动攻击的木马程序,其攻击目标包括400余家知名国际银行。近年来,该木马不断地发展,其攻击范围已经不仅限于银行和金融企业,也拓展到了其他行业,其主要的目的是窃取企业和用户敏感信息。TrickBot木马的很多功能与另外一款银行木马程序Dyreza非常相似,其早期版本,没有任何字符串加密功能,也基本没有采用其他的对抗手段,但目前流行的TrickBot不仅使用了强大的加密功能,还使用了多种安全对抗技术,使得安全人员对其进行代码分析越来越困难。

近期,亚信安全截获通过伪装成 “企业员工年度奖金计划报告”的垃圾邮件传播的TrickBot木马最新变种,用户一旦点击邮件中的链接,病毒母体文件(亚信安全检测为TrojanSpy.Win32.TRICKBOT.TIGOCFM)将会被执行,下载各种窃取信息和内网传播的模块,收集和窃取用户敏感信息,尤其是在新年伊始,企业正在进行年度汇总的特殊时期,需要严密防范此类垃圾邮件和钓鱼邮件攻击。

详细分析

TrickBot木马攻击流程:

TrickBot木马恶意模块

母体文件分析

本次截获的样本是MFC编写,伪装成dhtml2 MFC Application程序且具有合法的数字签名,具体文件信息如下:

该病毒首先获取资源模块BIZETTO数据,然后解密出恶意代码:

病毒首先会访问远端C&C服务器地址hxxps://myxxxxxxxxalip.com/raw获取IP地址:

然后继续解密和整理出恶意的PowerShell命令并执行,其主要功能是从远端C&C服务器下载其核心的TrickBot Loader程序:

PowerShell脚本的主要功能是下载其核心的TrickBot Loader程序到本地临时目录,然后执行。具体脚本代码以及运行进程如下所示:

TrickBot Loader程序分析

从之前的PowerShell脚本内容可知,下载后的文件首先需要进行XOR后才可以执行。具体文件内容如下所示:

其会将自身复制到ProgramData目录中并且执行,如果该文件已经存在,其将会执行后续的恶意行为:

其首先从资源模块读取相关数据,然后进行多次解密:

获取系统信息版本以便确定后续的下载和加载的模块版本:

加载特定的DLL文件来检测是否存在杀毒软件,其对应关系如下:

特定DLL文件 杀毒软件
cmdvrt32.dll 科摩多网络安全套装 COMODO Internet Security
snxhk.dll AVAST

该程序多次且频繁进行解密出需要运行的恶意代码,增加调试难度:

下载恶意模块,注入到explorer.exe进程中执行:

通过创建计划任务进行本地持久化:

TrickBot木马恶意模块作用

TrickBot木马持续对其恶意模块进行更新和修改,然后通过远程服务器进行下发,从首次发现至今,已经存在多个恶意模块,覆盖了多个功能,其中包括邮件信息收集,浏览器数据窃取以及内网扩散等模块。具体模块与其对应功能如下:

模块名称 功能类型 具体功能
pwgrab32 数据窃取 窃取来自Filezilla,Microsoft Outlook和WinSCP等应用程序的凭据。
shareDll32 内网渗透 在整个网络中进行自我传播
wormDll32 内网渗透 尝试使用NetServerEnum和LDAP查询识别网络中的服务器和域控制器
networkDll32 内网渗透和数据窃取 扫描网络并窃取相关网络信息
importDll32 数据窃取 负责窃取浏览器数据,例如浏览历史记录,Cookie和插件等
systeminfo32 数据窃取 收集系统信息,如操作系统,CPU和内存信息,用户帐户,已安装程序和服务的列表。
mailsearche*** 数据窃取 搜索受感染系统的文件以收集电子邮件地址以进行信息窃取。
injectDll32 数据窃取 执行Web浏览器注入窃取金融账户信息

扫描网络和窃取网络信息:

解决方案

不要点击来源不明的邮件以及附件;

不要点击来源不明的邮件中包含的链接;

采用高强度的密码,避免使用弱口令密码,并定期更换密码;

打开系统自动更新,并检测更新进行安装;

请到正规网站下载应用程序;

浏览网页的时候不随意下载安装程序;

请注意备份重要文档。备份的最佳做法是采取3-2-1规则,即至少做三个副本,用两种不同格式保存,并将副本放在异地存储。

IOC

文件SHA-1 文件名称 亚信安全检测名
880cecc01ecc88500e22d33dc9d0c762 Print.exe TrojanSpy.Win32.TRICKBOT.TIGOCFM

*本文作者:亚信安全,转载请注明来自FreeBuf.COM


文章来源: https://www.freebuf.com/articles/terminal/224581.html
如有侵权请联系:admin#unsafe.sh