歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

企業進入年度總結,謹防TrickBot木馬竊取信息

來源:本站整理 作者:佚名 時間:2020-01-21 TAG: 我要投稿

TrickBot木馬最早發現于2016年,早期是一款專門針對銀行發動攻擊的木馬程序,其攻擊目標包括400余家知名國際銀行。近年來,該木馬不斷地發展,其攻擊范圍已經不僅限于銀行和金融企業,也拓展到了其他行業,其主要的目的是竊取企業和用戶敏感信息。TrickBot木馬的很多功能與另外一款銀行木馬程序Dyreza非常相似,其早期版本,沒有任何字符串加密功能,也基本沒有采用其他的對抗手段,但目前流行的TrickBot不僅使用了強大的加密功能,還使用了多種安全對抗技術,使得安全人員對其進行代碼分析越來越困難。
近期,亞信安全截獲通過偽裝成 “企業員工年度獎金計劃報告”的垃圾郵件傳播的TrickBot木馬最新變種,用戶一旦點擊郵件中的鏈接,病毒母體文件(亞信安全檢測為TrojanSpy.Win32.TRICKBOT.TIGOCFM)將會被執行,下載各種竊取信息和內網傳播的模塊,收集和竊取用戶敏感信息,尤其是在新年伊始,企業正在進行年度匯總的特殊時期,需要嚴密防范此類垃圾郵件和釣魚郵件攻擊。

詳細分析
TrickBot木馬攻擊流程:

TrickBot木馬惡意模塊

母體文件分析
本次截獲的樣本是MFC編寫,偽裝成dhtml2 MFC Application程序且具有合法的數字簽名,具體文件信息如下:

該病毒首先獲取資源模塊BIZETTO數據,然后解密出惡意代碼:



病毒首先會訪問遠端C&C服務器地址hxxps://myxxxxxxxxalip.com/raw獲取IP地址:



然后繼續解密和整理出惡意的PowerShell命令并執行,其主要功能是從遠端C&C服務器下載其核心的TrickBot Loader程序:



PowerShell腳本的主要功能是下載其核心的TrickBot Loader程序到本地臨時目錄,然后執行。具體腳本代碼以及運行進程如下所示:



TrickBot Loader程序分析
從之前的PowerShell腳本內容可知,下載后的文件首先需要進行XOR后才可以執行。具體文件內容如下所示:

其會將自身復制到ProgramData目錄中并且執行,如果該文件已經存在,其將會執行后續的惡意行為:

其首先從資源模塊讀取相關數據,然后進行多次解密:

[1] [2]  下一頁

【聲明】:黑吧安全網(http://www.650547.live)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        安徽快3自由的百科 河南快3专家推荐 海南4 1走势图 贵州快3一定牛ie=utf-8 贵州11选五前3遗漏数据 北京快3下载app下载 山西体彩11选5安卓下载 广西福彩双彩开奖走势图 越南5分彩开奖走势图彩经网 阳光在线配资官网 北京塞车技巧 看走势