关键词:信息|木马|攻击|窃取|模块|母体窃取|信息|数据|亚信安全|内网|渗透

亚信安全捕获TrickBot木马故意模块母体文档文件目录深入分析

公司进到年终总结,严防TrickBot木马窃取信息

文章内容文件目录

深入分析 TrickBot木马攻击步骤: TrickBot木马故意模块 母体文档解析 TrickBot Loader程序流程解析 TrickBot木马故意模块功效 解决方法

TrickBot木马最开始发觉于2016年,初期是一款针对金融机构启动攻击的木马程序流程,其攻击总体目标包含400多家著名国际性金融机构。近些年,该木马不断发展趋势,其攻击范畴早已不但仅限于金融机构和金融机构,也扩展来到别的行业,其关键的目地是窃取公司和客户比较敏感信息。TrickBot木马的许多作用与此外一款金融机构木马程序流程Dyreza十分类似,其初期版本号,没有字符串数组数据加密作用,也基础沒有选用别的的抵抗方式,但现阶段时兴的TrickBot不但应用了强劲的数据加密作用,还应用了多种多样安全性抵抗技术性,促使安全性工作人员进行编码解析愈来愈艰难。

最近,亚信安全捕获根据装扮成 “公司员工本年度奖励金方案汇报”的垃圾短信散播的TrickBot木马最新消息变异,客户一旦点一下电子邮件中的连接,病毒感染母体文档(亚信安全检验为TrojanSpy.Win32.TRICKBOT.TIGOCFM)将会被执行,免费下载各种各样窃取信息和内部网散播的模块,搜集和窃取客户比较敏感信息,特别是在是在新春伊始,公司已经开展本年度归纳的独特阶段,必须严实预防该类垃圾短信和垂钓电子邮件攻击。

深入分析

TrickBot木马攻击步骤:

TrickBot木马故意模块

母体文档解析

此次捕获的样版是MFC撰写,装扮成dhtml2 MFC Application程序流程且具备合理合法的电子签名,实际文档信息以下:

该病毒感染最先获得資源模块BIZETTO数据信息,随后破译出恶意程序:

病毒感染最先会浏览远侧C&C服务器地址hxxps://myxxxxxxxxalip.com/raw获得网络ip:

随后再次破译和梳理出故意的PowerShell指令并实行,其关键作用是以远侧C&C网络服务器免费下载其关键的TrickBot Loader程序流程:

PowerShell脚本制作的关键作用是免费下载其关键的TrickBot Loader程序流程到当地临时性文件目录,随后实行。实际脚本制作编码及其运作系统进程以下图示:

TrickBot Loader程序流程解析

从以前的PowerShell脚本制作內容所知,免费下载后的文档最先必须开展XOR后才能够 实行。实际文档內容以下图示:

其会将本身拷贝到ProgramData文件目录中而且实行,假如该文档早已存有,其将会实行事后的故意个人行为:

其最先从資源模块载入有关数据信息,随后开展数次破译:

获得系统软件信息版本号便于明确事后的免费下载和载入的模块版本号:

载入特殊的DLL文档来检验是不是存有电脑杀毒软件,其相匹配关联以下:

特殊DLL文档 电脑杀毒软件 cmdvrt32.dll 科摩多网络信息安全套服 COMODO Internet Security snxhk.dll AVAST

该程序流程数次且经常开展破译出必须运作的恶意程序,提升调节难度系数:

免费下载故意模块,引入到explorer.exe系统进程中实行:

根据建立任务计划开展当地持久化:

TrickBot木马故意模块功效

TrickBot木马不断对其故意模块开展升级和改动,随后根据远程服务器开展下达,从初次发觉迄今,早已存有好几个故意模块,遮盖了好几个作用,主要包括电子邮件信息搜集,电脑浏览器数据信息窃取及其内部网外扩散等模块。实际模块两者之间相匹配作用以下:

控制模块名字 作用种类 实际作用 pwgrab32 数据窃取 窃取来源于Filezilla,Microsoft Outlook和WinSCP等程序运行的凭证。 shareDll32 内网渗透 在全部互联网中开展自身散播 wormDll32 内网渗透 试着应用NetServerEnum和LDAP查寻分辨互联网中的网络服务器和域控制器 networkDll32 内网渗透和数据窃取 扫描仪互联网并窃取有关互联网信息 importDll32 数据窃取 承担窃取电脑浏览器数据,比如访问历史纪录,Cookie和软件等 systeminfo32 数据窃取 搜集系统软件信息,如电脑操作系统,CPU和运行内存信息,客户账号,已程序安装和服务项目的目录。 mailsearche*** 数据窃取 检索受感柒系统软件的文档以搜集电子邮箱地址以开展信息窃取。 injectDll32 数据窃取 实行Web电脑浏览器引入窃取金融业帐户信息

扫描仪互联网和窃取互联网信息:

解决方法

不必点一下来路不明的电子邮件及其附注;

不必点一下来路不明的电子邮件中包括的连接;

选用高韧性的登陆密码,防止应用弱动态口令登陆密码,并按时拆换登陆密码;

开启系统软件自动升级,并检验升级开展安裝;

请来靠谱平台网站下载应用程序;

网页浏览的那时候不随便安装下载程序流程;

温馨提醒备份文件关键文本文档。备份文件的最好作法是采用3-2-1标准,即最少做三个团本,用二种不一样文件格式储存,并将团本放到外地储存。

IOC

文档SHA-1 文件名称 亚信安全检验名 880cecc01ecc88500e22d33dc9d0c762 Print.exe TrojanSpy.Win32.TRICKBOT.TIGOCFM

*本文作者:亚信安全,转截请标明来源于FreeBuf.COM

猜你喜欢