Trickbot的新把戏:密码窃取模块

阅读量    27187 |   稿费 170

分享到: QQ空间 新浪微博 微信 QQ facebook twitter

Trickbot作为一个简单的银行木马病毒,已经存在了很久。随着时间的发展,我们可以看到网络犯罪分子为这个恶意软件添加了不少新功能。去年三月,Tirckbot增加了一个可以规避检测和锁屏的功能。本月,我们发现Trickbot(由趋势科技检测为TSPY_TRICKBOT.THOIBEAI)拥有了一个密码窃取模块(pwgrab32),该模块可以窃取多个应用程序和浏览器的访问权,例如 Microsoft Outlook, Filezilla, WinSCP, Google Chrome, Mozilla Firefox, Internet Explorer, 还有Microsoft Edge。根据我们的监测显示,受这个Trickbot的新变种影响的用户主要来自美国,加拿大和菲律宾。

 

分析Trickbot的模块

恶意软件的作者一直在继续使用Trickbot的模块化结构—它能够自己从C&C服务器下载新模块并更新配置来使自己变成更加成熟。为了更好的了解这些威胁,我们需要分析Trickbot的不同模块,首先,我们从上个月发现的新模块pwgrab32开始。

pwgrab32模块

Trickbot的新模块,被称作pwgrab32或PasswordGrabber,能够窃取来自Filezilla, Microsoft Outlook,和WinSCP等应用程序的证书。

图1.受影响系统中Trickbot新模块pwgrab32的屏幕截图

图2.从FileZilla窃取FTP密码的新模块代码的截屏

图3.窃取Microsoft Outlook证书的新模块代码的屏幕截图

图4.从开源FTP WinSCP获取Trickbot密码的屏幕截图

除了从应用程序获取证书,它还可以从不少浏览器诸如Google Chrome, Mozilla Firefox, Internet Explorer, 和Microsoft Edge窃取以下信息:

  • 用户名和密码
  • Internet Cookies
  • 浏览器历史
  • 自动填充表单
  • HTTP Posts

图5. Trickbot代码的屏幕截图,其结构是从流行的Web浏览器窃取密码

需要注意的一点是,Trickbot不能从第三方密码管理应用从窃取密码。我们目前正在研究它能否从具有浏览器插件的密码管理软件中窃取密码。

shareDll32 模块

Trickbot使用shareDll32模块来帮助自己在网络中传播。他连接到C&C服务器http[:]//185[.]251[.]39[.]251/radiance[.]png来下载它自身的副本并将它保存为setuplog.tmp。

图6. Trickbot的shareDll32模块允许它连接到C&C服务器以下载自身的副本

图7.下载的文件保存为setuplog.tmp

然后,shareDll32模块使用WNetEnumResource和GetComputerNameW枚举和标识在同一域上连接的系统。

图8.使用WNetEnumResourceW和GetComputerNameW枚举和标识已连接系统的代码的屏幕截图

然后将文件setuplog.tmp复制到已发现的计算机或系统的管理共享中。

图9.复制到管理共享的setuplog.tmp的屏幕截图

为了让恶意软件在系统里更加根深蒂固,Trickbot还具有一个自启动服务,使得Trickbot能够在系统启动的同时运行。这项服务有以下的这些名字:

  • Service Techno
  • Service_Techno2
  • Technics-service2
  • Technoservices
  • Advanced-Technic-Service
  • ServiceTechno5

wormDll模块

wormDll32模块试图使用NetServerEnum和LDAP来查询识别网络中的服务器和域控制器。2017年,Flashpoint的安全研究人员首次发现了Trickbot的类蠕虫传播能力。

图10.使用NetServerEnum标识域中工作站和服务器的代码的屏幕截图

图11.使用LDAP查询标识网络中域控制器的代码的屏幕截图

图12.使用LDAP查询标识网络中非域控制器的计算机的代码的屏幕截图

我们还发现是似乎有一个叫”pysmb”的SMB协议的实现,利用NT LM 0.12来查询老的Windows系统和系统IPC共享。需要注意的一点是米这个功能似乎还处于开发阶段。

Figure13. 可能是SMB通信的代码的屏幕截图

networkDll32

Trickbot使用此加密模块扫描网络并窃取相关网络信息。它执行以下命令以收集有关受感染系统的信息:

图14. networkDll32模块执行的用于收集网络信息的命令的屏幕截图

Wormdll32模块

Wormdll32是Trickbot用于通过SMB和LDAP查询传播自身的加密模块。它与”wormDll”模块配合使用以达到在网络上传播的目的。

importDll32模块

该模块负责窃取浏览器数据,例如浏览历史记录,Cookie和插件等。

systeminfo32模块

一旦它被成功安装在系统中,Trickbot将收集系统信息,诸如操作系统,CPU和内存信息,用户帐号,已安装的程序和服务的列表等。

mailsearcher32模块

此模块会搜索受感染系统的文件以收集电子邮件地址以进行信息窃取。

收集垃圾邮件活动相关需求的电子邮件地址是恶意软件最常见的行为,然而,根据Kryptos Research最近的报告,Emotet银行木马不仅仅窃取电子邮件地址; 它还可以收集受Emotet感染的设备上的通过Microsoft Outlook发送和接收的电子邮件。根据Brad Duncan此前的研究 ,Emotet还能向用户传送这种能窃取密码的Trickbot变体和Azorult 。

injectDll32模块

此加密模块监视银行应用程序可能使用的网站。 它还用于使用反射DLL注入技术将代码注入其目标进程。

injectDll32监控银行相关网站的两种不同的凭证窃取方法:

首先,当用户登录其名单上的任何受监控银行网站时,如大通银行,花旗银行,美国银行,斯巴达银行,桑坦德银行,汇丰银行,加拿大帝国商业银行(CIBC)和Metro银行,Trickbot会向C&C服务器发送POST响应以提取用户的登录凭据。

其次,Trickbot会监控用户是否访问其列表中的某些银行相关网站,例如C. Hoare&Co银行,圣詹姆斯广场银行和苏格兰皇家银行,并将用户重定向到假冒网络钓鱼网站。

银行URL Trickbot监控着包括来自美国,加拿大,英国,德国,澳大利亚,奥地利,爱尔兰,伦敦,瑞士和苏格兰的网站。

 

Trickbot其他的一些需要的注意的”把戏”

Trickbot通常通过垃圾邮件来传播。该恶意软件会通过执行某些命令和修改注册表项来禁用Microsoft的内置防病毒软件Windows Defender。

此外,它还会终止与Windows Defender相关的进程,例如MSASCuil.exe,MSASCui.exe和反间谍软件实用程序Msmpeng.exe 。它还有一个自动启动机制(Msntcs),它在系统启动时首次触发,并在首次执行后每十分钟触发一次。

它还会禁用以下反恶意软件的服务:

  • MBamService(Malwarebytes相关进程)
  • SAVService(Sophos AV相关进程)

它的反分析能力还能检查系统并在找到确切的模块诸如pstorec.dll, vmcheck.dll, wpespy.dll, 和dbghelp.dll时终止自身。

对抗Trickbot的技巧:趋势科技解决方案
恶意软件作者持续使用新模块更新Trickbot和Emotet等银行木马,使其更难以检测和打击。 用户和企业可以使用多层方法来降低银行特洛伊木马等威胁带来的风险的保护。

趋势科技的XGen security提供跨代混合威胁防御技术,可以以保护系统免受各种类型的威胁,包括银行木马,勒索软件和加密货币挖掘恶意软件。 它在网关和端点上具有高保真的机器学习功能,可以保护物理,虚拟和云工作负载。 通过Web/URL过滤,行为分析和自定义沙盒等功能,XGen security可以抵御目前很多绕过传统控制的威胁; 包括利用已知,未知或未公开的漏洞; 窃取或加密个人身份数据; 或进行恶意加密货币挖掘的行为。还有各种智能,优化和连接,XGen security使趋势科技的套件更为有力。

 

Ioc

Trickbot C&C servers

  • 103[.]10[.]145[.]197:449
  • 103[.]110[.]91[.]118:449
  • 103[.]111[.]53[.]126:449
  • 107[.]173[.]102[.]231:443
  • 107[.]175[.]127[.]147:443
  • 115[.]78[.]3[.]170:443
  • 116[.]212[.]152[.]12:449
  • 121[.]58[.]242[.]206:449
  • 128[.]201[.]92[.]41:449
  • 167[.]114[.]13[.]91:443
  • 170[.]81[.]32[.]66:449
  • 173[.]239[.]128[.]74:443
  • 178[.]116[.]83[.]49:443
  • 181[.]113[.]17[.]230:449
  • 182[.]253[.]20[.]66:449
  • 182[.]50[.]64[.]148:449
  • 185[.]66[.]227[.]183:443
  • 187[.]190[.]249[.]230:443
  • 190[.]145[.]74[.]84:449
  • 192[.]252[.]209[.]44:443
  • 197[.]232[.]50[.]85:443
  • 198[.]100[.]157[.]163:443
  • 212[.]23[.]70[.]149:443
  • 23[.]226[.]138[.]169:443
  • 23[.]92[.]93[.]229:443
  • 23[.]94[.]233[.]142:443
  • 23[.]94[.]41[.]215:443
  • 42[.]115[.]91[.]177:443
  • 46[.]149[.]182[.]112:449
  • 47[.]49[.]168[.]50:443
  • 62[.]141[.]94[.]107:443
  • 68[.]109[.]83[.]22:443
  • 70[.]48[.]101[.]54:443
  • 71[.]13[.]140[.]89:443
  • 75[.]103[.]4[.]186:443
  • 81[.]17[.]86[.]112:443
  • 82[.]222[.]40[.]119:449
  • 94[.]181[.]47[.]198:449

SHA256

TSPY_TRICKBOT.THOIBEAI:
806bc3a91b86dbc5c367ecc259136f77482266d9fedca009e4e78f7465058d16

分享到: QQ空间 新浪微博 微信 QQ facebook twitter
|推荐阅读
|发表评论
|评论列表
加载更多