欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

TrickBot – 银行木马Dyreza的继承者

来源:本站整理 作者:佚名 时间:2017-01-10 TAG: 我要投稿

最近,分析师Jérôme Segura捕捉到了一个有趣的payload。根据在代码中的字符串信息,作者把它命名为TrickBot(或者TrickLoader)。许多线索暗示这个bot与之前的Dyreza有关。它似乎是被重写的,但是同时包含了很多与我们之前遇到的Dyreza相似的特征。
0x01 样本
f26649fc31ede7594b18f8cd7cdbbc15 ——原始样本,由Rig Ek散布
3814abbcd8c8a41665260e4b41af26d4——中级payload(加载器)
f24384228fb49f9271762253b0733123——最终的payload(TrickBot)-32位
10d72baf2c79b29bad1038e09c6ed107——64位的加载器
bd79db0f9f8263a215e527d6627baf2f——最终的payload(TrickBot)-64位
TrickBot的模块:
533b0bdae7f4c8dcd57556a45e1a62c8——systeminfo32.dll
c5a0a3dba3c3046e446bd940c20b6092——systeminfo64.dll
90421f8531f963d81cf54245b72cde80——injectDll32.dll
c90f766020855047c3a8138842266c5a——注入到浏览器的dll(32位)
0b521fd97402c02366184ec413e888cc——injectDll64.dll
5a7459fb0b49a8b28fae507730e2a924——注入到浏览器的dll(64位)
其他的payload:
47d9e7c464927052ca0d22af7ad61f5d——下载的样本
e80ac57a092ffcf2965613c8b3c537c0
0x02 传播途径
这个payload通过与Rig Exploit Kit有关的恶意广告传播:

0x03 行为分析
样本被部署后,TrickBot复制自身文件到目录%APPDATA%并且删除原始文件。它不会改变可执行文件的原始文件名(分析的样本名为“trick.exe“)

首先,我们能看见它释放了两个额外的文件:client_id和group_tag。他们在本地生成,被用来鉴定唯一性和所属活动。两个文件都没有被加密,明文unicode字符串。
Client_id——它包含被攻击的机器名,操作系统版本,随机字符串:

Group_tag:

然后,在同目录,我们看见config.conf文件。这个文件是从C&C服务器下载,并加密存储。

在一段时间后,我们能看见在目录%APPDATA%中创建了一个目录——Modules。这个恶意程序从C&C服务器下载一些模块。他们也被加密存储。在一个特别的会话中,TrickBot下载模块injectDll32和systeminfo32:

特别的模块也有一个相应的文件夹,存储一些配置文件。模式匹配名为[module name]_configs。

当我们通过监控工具(例如ProcessExplorer)观察到恶意程序的执行,我们能发现它创建了两个svchost的进程:

这个bot通过添加任务计划来保持可持续攻击。它在计划任务没有做任何隐藏,还是叫做“Bot”。

如果进程被杀掉,它将通过计划任务自动重启:

0x04 网络通信
TrickBot会连接几个服务器,如下:

首先,它连接一个合法的服务器“myexternalip.com”,为了获取IP。
有趣的是它没有伪装自己为合法的浏览器,相反直接用她自己的User Agent:“BotLoader”或“TrickLoader”。
大部分与C&C服务器的通信是SSL加密的。下面你能看见向C&C服务器发送一个命令的例子:

[1] [2] [3] [4]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载