欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

企业进入年度总结,谨防TrickBot木马窃取信息

来源:本站整理 作者:佚名 时间:2020-01-21 TAG: 我要投稿

TrickBot木马最早发现于2016年,早期是一款专门针对银行发动攻击的木马程序,其攻击目标包括400余家知名国际银行。近年来,该木马不断地发展,其攻击范围已经不仅限于银行和金融企业,也拓展到了其他行业,其主要的目的是窃取企业和用户敏感信息。TrickBot木马的很多功能与另外一款银行木马程序Dyreza非常相似,其早期版本,没有任何字符串加密功能,也基本没有采用其他的对抗手段,但目前流行的TrickBot不仅使用了强大的加密功能,还使用了多种安全对抗技术,使得安全人员对其进行代码分析越来越困难。
近期,亚信安全截获通过伪装成 “企业员工年度奖金计划报告”的垃圾邮件传播的TrickBot木马最新变种,用户一旦点击邮件中的链接,病毒母体文件(亚信安全检测为TrojanSpy.Win32.TRICKBOT.TIGOCFM)将会被执行,下载各种窃取信息和内网传播的模块,收集和窃取用户敏感信息,尤其是在新年伊始,企业正在进行年度汇总的特殊时期,需要严密防范此类垃圾邮件和钓鱼邮件攻击。

详细分析
TrickBot木马攻击流程:

TrickBot木马恶意模块

母体文件分析
本次截获的样本是MFC编写,伪装成dhtml2 MFC Application程序且具有合法的数字签名,具体文件信息如下:

该病毒首先获取资源模块BIZETTO数据,然后解密出恶意代码:



病毒首先会访问远端C&C服务器地址hxxps://myxxxxxxxxalip.com/raw获取IP地址:



然后继续解密和整理出恶意的PowerShell命令并执行,其主要功能是从远端C&C服务器下载其核心的TrickBot Loader程序:



PowerShell脚本的主要功能是下载其核心的TrickBot Loader程序到本地临时目录,然后执行。具体脚本代码以及运行进程如下所示:



TrickBot Loader程序分析
从之前的PowerShell脚本内容可知,下载后的文件首先需要进行XOR后才可以执行。具体文件内容如下所示:

其会将自身复制到ProgramData目录中并且执行,如果该文件已经存在,其将会执行后续的恶意行为:

其首先从资源模块读取相关数据,然后进行多次解密:

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载