Trickbot的新功能——远程窃取应用程序凭证

关注 2019-02-15 14:16:53 查看数 6833 ,评论数 0 资讯
2018年11月,研究人员曾发现一款Trickbot变种,它附带了一个密码获取模块,能够从众多应用程序中窃取凭据。在2019年1月,我们再次发现Trickbot(被检测为TrojanSpy.Win32.TRICKBOT.AZ和Trojan.Win32.MERETAM.AD),在其本就已经广泛的功能基础上又添加了新的功能。在最新发现的Trickbot变种中,研究人员发现了pwgrab模块的更新版本,可以远程窃取应用程序凭据。

Trickbot恶意软件

TrickBot于2016年首次被发现,据信它基于Dyreza银行木马。它能够使用webinjects模块定位和感染各种各样的国际银行,在目标Web浏览器中呈现之前将JavaScript和HTML代码注入网站。 TrickBot攻击主要目的是盗取钱财,如银行账号、比特币账号。一般伪装成如汇丰银行、花旗银行、合众银行等银行相关文档作为邮件附件,文档内容仿真度高,很难辨真假。用户一旦打开该文档,会自动执行恶意代码,利用Office漏洞下载TrickBot恶意软件。

感染链

恶意软件感染链

技术分析

该恶意软件是通过一封伪造的电子邮件发送到目标设备上的,它伪装成来自一家知名金融服务公司的税收鼓励通知。此电子邮件包含一个宏启用(XLSM)的Microsoft Excel电子表格附件(检测为Trojan.W97M.MERETAM.A),自称其中包含税收鼓励的详细信息。然而与大多数恶意电子邮件一样,很明显这是一个恶意宏,一旦激活就会在用户的设备上下载和部署Trickbot。

包含启用恶意宏附件的垃圾邮件

所附电子表格文档的屏幕截图

此Trickbot变种很大程度上与去年11月发现的变种类似,但其2019版本新增了三个功能,分别用于虚拟网络计算(VNC),PuTTY和远程桌面协议(RDP)平台。

2018版(上)和2019版(下)两个变种的pwgrab模块对比,注意新版代码中增加的函数

发送RDP凭据的C&C通信量

这些新函数执行的技术之一是通过XOR或SUB例程的简单变体对其使用的字符串进行加密。

XOR例程(上)和SUB例程(下)字符串加密

除此之外,它还利用API哈希进行间接API调用,这是由于2013年Carberp木马源代码泄漏。

来自Carberp源代码的API哈希工件

虚拟网络计算(VNC)

为了获取VNC凭据,pwgrab模块使用位于以下目录中的“.vnc.lnk ”来搜索文件:
%APPDATA%\Microsoft\Windows\Recent %USERPROFILE%\Documents, %USERPROFILE%\Downloads
被盗数据信息包括目标设备的主机名、端口和代理设置。

pwgrab如何在%USERPROFILE%\Downloads目录中找到“.vnc.lnk”文件

该模块将通过POST发送所需的数据,POST使用文件名“dpost ”通过下载的配置文件进行配置。此文件包含一个命令和控制(C&C)服务器列表,这些服务器将接收从受害者那儿泄露的数据。

泄露信息发送至C&C服务器

PuTTY

为了检索PuTTY凭据,它会查询注册表项Software\SimonTatham\Putty\Sessions以识别已保存的连接设置,从而允许模块检索用于身份验证的信息,如主机名、用户名以及私钥文件。

PuTTY数据导出的注册表遍历(左);显示主机名、用户名和私钥文件的代码(右)

远程桌面协议(RDP)

它与RDP相关的第三个函数使用CredEnumerateA API来识别和窃取保存的凭据。随后解析字符串“target = TERMSRV”以识别每个RDP凭证保存的主机名、用户名和密码。

总结

这些Trickbot的新增功能展示了其开发人员的“勃勃野心”:针对现有恶意软件的逐步演变。Trickbot背后的团体或个人并没有满足于现状,使本已危险的恶意软件更加有效。既然此Trickbot恶意软件最初是通过电子邮件进行传播的,我们建议用户不要随意打开电子邮件附件,除非确定它们来自合法来源。

妥协指标IOCs

Trickbot(检测为TrojanSpy.Win32.TRICKBOT.AZ) 374ef83de2b254c4970b830bb93a1dd79955945d24b824a0b35636e14355fe05 Trickbot(检测为Trojan.Win32.MERETAM.AD) Fcfb911e57e71174a31eae79433f12c73f72b7e6d088f2f35125cfdf10d2e1af
交流评论(0)
Loading...
点击 ,就能发表评论哦~如果您还没有账号,请 一个吧
css.php
正在加载中...