集美阅读大全是一个以文章句子为主题的在线阅读网站。内含有各种经典好文章,爱情美文,诗歌散文,情感句子说说,范文资料等。读好文章,尽在集美阅读大全!!!
当前位置:集美阅读大全 >杂文 > 正文

Trickbot银行木马变种分析


概述

我们一直在跟踪Trickbot银行木马活动,最近在垃圾邮件中发现了一个Trickbot变种(TrojanSpy.Win32.TRICKBOT.TIGOCDC),其中包含带启用宏的Microsoft Word文档。 单击文档后,它会执行一个混淆的JS文件,并下载Trickbot作为其有效负载。 此恶意软件还会检查受影响计算机中正在运行的进程数,如果它检测到位于虚拟环境中,则恶意软件将不会继续执行其进程。

除了信息窃取功能之外,它还会删除具有特定扩展名的文件,然后将文件替换为恶意软件的副本。 Trickbot活动对美国影响最大。 它还向中国,加拿大和印度发送了垃圾邮件。

Trickbot银行木马变种分析图1 恶意软件工作流程

技术细节

在示例电子邮件中,垃圾邮件声称是广告提供商的订阅通知,通知用户已经提交了三年订阅的申请并与发件人进行结算。 邮件随后解释,在交易中将向用户的卡收取更多费用,从而诱导用户查看所有结算和订阅信息的附加文档,文档中包含了恶意脚本。

Word文档向用户显示以下通知(参见图2),该通知指出可以通过启用宏内容来查看内容。 该文档将JS脚本隐藏在文档本身而不是宏中,它通过使用与文档背景相同的字体颜色伪装脚本。

Trickbot银行木马变种分析

图2 Word文档

恶意脚本经过混淆并有不同的功能。其解密函数如下图所示:

Trickbot银行木马变种分析

图3 解密函数

在对文件进行反混淆处理后,我们能够对其进行进一步分析并观察其行为。 执行时,它将显示一个假的Microsoft错误,以欺骗用户,并在启用宏后弹出一条错误消息。 但实际上,JS文件已经在后台运行。

Trickbot银行木马变种分析

图4 伪造的Microsoft错误提示


为了持久控制受害者计算机,恶意软件将自身的副本命名为Shell.jse保存在Startup文件夹。JS文件还检查正在运行的进程,它检查受害者计算机中所有正在运行的进程的总数,若没有足够的进程,恶意脚本不会进行其他的操作,该策略是为了达到反分析的目的。

如果正在运行的进程少于1,400个字符(字符串的长度),则恶意软件会将其视为在虚拟或沙箱环境中运行。 它还将检查通用于分析的进程是否存在。 除此之外,恶意软件会检查其运行的环境是否与特定用户名相关。

Trickbot银行木马变种分析图5 进程和用户名检测

Trickbot银行木马变种分析图6 异常退出界面

以下是恶意软件在受影响系统中检查的进程和调试工具列表:

AgentSimulator.exe

B.exe

BehaviorDumper

BennyDB.exe

ctfmon.exe

DFLocker64

FrzState2k

gemu – ga.exe

iexplore.exe

ImmunityDebugger

LOGSystem.Agent.Service.exe

lordPE.exe

ProcessHacker

procexp

Procmon

PROCMON

Proxifier.exe

tcpdump

VBoxService

VBoxTray.exe

vmtoolsd

vmware

VzService.exe

windanr.exe

Wireshark

经过进一步分析,恶意软件检查的用户名如下:

Emily

HAPUBWS

Hong Lee

Johnson

milozs

Peter Wilson

SystemIT | admin

VmRemoteGuest

WIN7 – TRAPS

对于恶意软件的payload,它将连接到URL:185.159.82.15/hollyhole/c644.php然后检查要下载的文件。 如果是可执行文件,会将文件保存为%Temp%{random} .exe并在之后执行。 如果该文件不是可执行文件,则会将其作为{random} .cro保存在同一文件夹中。 然后使用certutil.exe解码.cro文件,命名为{random} .exe保存在同一目录中,然后执行。 经过进一步研究,我们发现下载的.exe文件是Trickbot恶意软件的变种。

Trickbot银行木马变种分析

图7 下载、重命名、保存、执行流程代码

除了窃取OS,CPU和内存信息等系统信息外; 也会收集用户帐户; 安装的计划和服务; IP配置; 和网络信息(配置,用户和域设置),还会从应用程序和Internet浏览器收集以下凭据和信息。

应用程序信息:

Filezilla

Microsoft Outlook

PuTTy

Remote Desktop (RDP)

VNC

WinSCP

浏览器凭据和信息(Google Chrome,Internet Explorer,Microsoft Edge和Mozilla Firefox):

自动填充数据

表单数据

浏览记录

信用卡数据

HTTP POST响应

cookie

用户名和密码

此恶意软件还使用名为psfin32的PoS(point-of-sale)提取模块,该模块识别位于感兴趣的域中的PoS相关术语。 该模块使用LDAP查询在具有以下子字符串的计算机上搜索PoS信息:

*ALOHA*

*BOH*

*CASH*

*LANE*

*MICROS*

*POS*

*REG*

*RETAIL*

*STORE*

*TERM*

该变体还会安装shadnewdll代理模块,用于拦截和修改受影响设备上的Web流量,通过流量修改进行虚假银行交易。 该模块与银行木马IcedID有相似之处,后者将受害者重定向到虚假的在线银行网站。

在恶意软件无法连接的情况下,它将在计算机中搜索具有以下扩展名的文件。

.doc

.xls

.pdf

.rtf

.txt

.pub

.odt

.ods

.odp

.odm

.odc

.odb

具有上述扩展名的文件将保存在%Temp%文件夹中的ascii.txt。 然后将所有文件删除并替换为恶意软件和扩展名.jse的副本(但实际上是JS文件)。

Trickbot银行木马变种分析

图8 扫描替换文件代码片段

解决方案

据报道,Trickbot已窃取超过2.5亿个帐户。新变体展示了网络犯罪分子如何不断调整现有的银行木马以增加新功能。但是,用户只需遵循垃圾邮件的最佳处理方法就可防止这些攻击。

除了意识到垃圾邮件的特殊标记,例如可疑的发件人地址和明显的语法错误,我们还建议用户不要打开未经验证的电子邮件附件。用户和企业也可以使用多层方法来抵御Trickbot等威胁所带来的风险。

IoCs

Trickbot银行木马变种分析

*参考来源:TrendMicro,由Kriston编译,转载请注明来自FreeBuf.COM

未经允许不得转载:杂烩网 » Trickbot银行木马变种分析

课后答案张九龄《望月怀远》阅读答案及全诗翻译赏析

望月怀远张九龄海上生明月,天涯共此时。情人怨遥夜,竟夕起相思。灭烛怜光满,披衣觉露滋。不堪盈手赠,还寝梦佳期。注释⑴怀远:怀念远方的亲人。⑵最前面两句:辽阔无边的大海上升起一轮明月,使人想起了远在天涯……
2023-11-22 04:53暂无评论阅读详情

课后答案王安石《次韵唐公三首其三旅思》阅读答案

次韵唐公三首其三旅思王安石此身南北老,愁见问征途。地大蟠三楚,天低入五湖。看云心共远,步月影同孤。慷慨秋风起,悲歌不为鲈②。注:①张壤,字唐公,北宋嘉佑六年契丹国母生辰使,王安石友人。②《晋书&mid……
2023-11-22 04:52暂无评论阅读详情

笔记心得各级干部学习执法为民心得体会

  “各级干部都要牢固树立全心全意为人民服务的思想和真心实意对人民负责的精神,做到心里装着群众,凡事想着群众,工作依靠群众,一切为了群众。要坚持权为民所用,情为民所系,利为民所谋,为群众诚……
2023-11-22 04:12暂无评论阅读详情

笔记心得寒假大学生社会实践心得体会

  自从走进了大学,就业问题就似乎总是围绕在我们的身边,成了说不完的话题。在现今社会,招聘会上的大字报都总写着“有经验者优先”,可还在校园里面的我们这班学子社会经验又会拥有多少……
2023-11-22 04:08暂无评论阅读详情

协议书济南市某美容院转让协议第2篇

  __________美容院根据中华人民共和国国务院劳动法规和________市私营企业劳动管理实施办法,结合本美容院经营的具体所需今制订此劳动合同书。  双……
2023-11-22 02:36暂无评论阅读详情

剧本劳模宣传短剧剧本《阿咪也想当劳模》

  1、机械厂门卫处,日,外。  清早,机械厂班长李玉伟开着别克赛欧小汽车驶进厂区,门卫室内的保安一边按开电动门,一边朝李玉伟摆手。  李玉伟:(摇下车窗,笑着打招呼)小秦,早。  保安小秦:(笑着)……
2023-11-22 02:11暂无评论阅读详情

教程灰雀说课稿

灰雀说课稿  灰雀说课稿(一):  《灰雀》说课稿  一、说教材  《灰雀》是义务教育课程标准实验教科书,小学语文第五册第二单元的一篇讲读课文。这篇课文记叙了列宁在莫斯科郊外养病期间爱护灰雀的故事。列……
2023-11-22 00:41暂无评论阅读详情

课件“吴隐之字处默,濮阳鄄城人”阅读答案及原文

吴隐之字处默,濮阳鄄城人。美姿容,善谈论,博涉文史,以儒雅标名。弱冠而介立,有清操,虽儋石无储,不取非其道。事母孝谨,及其执丧,哀毁过礼。与太常韩康伯邻居,康伯母,贤明妇人也,每闻隐之哭声,辍餐投箸,……
2023-11-22 00:38暂无评论阅读详情

标签