歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

TrickBot的演變歷程

來源:本站整理 作者:佚名 時間:2019-12-10 TAG: 我要投稿

一、背景
TrickBot銀行木馬首次出現在2016年,主要是通過掛馬網頁、釣魚郵件的方式進行傳播,最終進行竊取網銀賬號密碼等操作。在此之前,深信服安全團隊就對TrickBot銀行木馬進行跟蹤,并發布了分析文章《TrickBot銀行木馬歸來襲擊全球金融機構》與《TrickBot銀行木馬下發Ryuk勒索病毒企業損失慘重》,鑒于該家族近期較為活躍,我們從其演變歷程的角度給大家揭曉TrickBot銀行木馬背后那些事。
二、初出江湖
2016年9月TrickBot銀行木馬在針對澳大利亞銀行和金融服務客戶時首次被發現,開始進入安全研究員的視線,并且發現TrickBot與Dyre有非常多的相似之處,具有許多相同的功能,不同之處在于編碼方式(Dyre主要使用C語言、TrickBot主要使用C++)、惡意行為(TrickBot還會竊取加密貨幣錢包)、功能模塊(竊取OpenSSH私鑰和OpenVPN密碼和配置等主流應用程序)。
TrickBot銀行木馬從2016年出現到至今,在整體的病毒執行過程是趨于固定的,表現如下:
1. TrickBot銀行木馬運行后,首先從資源段加載核心代碼,然后會在%AppData%目錄下生成銀行木馬模塊核心組件模塊、主機ID等信息,并且通過添加為Windows Task來實現持久化。
2. 接著,從C&C下載加密后的核心功能模塊到%AppData%/Modules里,同時啟動多個svchost進程,然后將相應的模塊注入到svchost進程,這時病毒模塊會在受害者訪問各大銀行網站時盜取網站登錄憑證等。核心模塊如:
linjectDll32/injectDll64:注入瀏覽器進程,竊取銀行網站登錄憑據
lsysteminfo32/systeminfo64:收集主機基本信息
3. TrickBot通過HTTP post請求發送命令到C&C,格式為 /group_tag/client_id/命令ID
三、進擊的TrickBot
深諳“發展才是硬道理”的TrickBot銀行木馬,從2016年到2019年,不斷更新功能模塊和提高對抗成本,甚至聯合其他黑產團伙進行作案與提供訪問即服務,詳情如下所示:

· 功能模塊愈發完整
截止2019年,TrickBot銀行木馬已經積累有10個功能模塊,用于竊取OpenSSH私鑰和OpenVPN密碼和配置等,具體詳細如下所示:

· 增加對抗成本
– 在最初的版本的基礎上,加強了安全對抗成本,如關閉Windows Defender提高隱蔽性、使用無文件技術增加溯源成本等。
· 跨團伙作案
除了自身發展,TrickBot背后的運營團隊思路也獨特。通常情況下,惡意軟件之間是互為競爭的狀態,但TrickBot的運營團隊顯然不這么認為:
– 在2017年7月,TrickBot 銀行木馬攜手僵尸網絡 Necurs ,針對歐洲、加拿大、新西蘭、新加坡等國的金融機構發起攻擊;
– 在2018年6月,出現感染IcedID木馬的主機在下載TrickBot銀行木馬;
– 在2019年7月,深信服安全團隊捕獲到一起利用TrickBot下發Ryuk勒索病毒的攻擊事件;
· 訪問即服務?
– 在2019年7月,深信服安全團隊在分析一起Ryuk勒索病毒攻擊事件時,發現不管是被勒索加密的或未被勒索加密的內網主機均在半年前大量感染TrickBot銀行木馬,并且系統進程存在大量不正常的外連行為:

– 與此同時,于2019年FireEye在報告里提出:
1. 存在TrickBot木馬在感染主機后,會潛伏一段時間,并隨后向Ryuk勒索病毒提供僵尸網絡的訪問權限。
2. FireEye認為TrickBot對外提供僵尸網絡訪問權限,即訪問即服務,并且將這種方式稱為TEMP.MixMaster。
綜上內容,我們可以看到TrickBot銀行木馬的演變歷程,由最初的團伙作案演變為跨團伙作案,甚至有跡象表明TrickBot已經在提供訪問即服務。黑產團伙趨于產業化運作,防護者更不應該只是單純的安裝某個軟件,就指望著解決所有問題,還需要深層次多角度進行產業化對抗。
四、安全建議
TrickBot銀行木馬常常通過釣魚郵件和掛馬網站的方式進行入侵, 然后通過RDP協議、SMB協議等進行橫向傳播,所以深信服安全團隊再次提醒廣大用戶,注意日常防范措施:
1. 及時給電腦打補丁,修復漏洞;切勿打開來源不明的郵件附件和軟件;平常使用強密碼。
2. 如果業務上無需使用RDP的,建議關閉RDP。
最后,建議企業對全網進行一次安全檢查和殺毒掃描,加強防護工作。
 

【聲明】:黑吧安全網(http://www.650547.live)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        安徽快3自由的百科 开盘价格是怎么定的 安徽11选5高频 太阳城娱乐 黑龙江36选开奖后果 湖南体彩幸运赛车开奖视频 北京pk拾冠军计划免费 安徽快三跨度走势图 上证指数前世今生 湖北快三玩法技巧 如何看一只股票的k