信息來源:FreeBuf
一�����、背景
TrickBot銀行木馬首次出現(xiàn)在2016年,主要是通過掛馬網(wǎng)頁����、釣魚郵件的方式進(jìn)行傳播,最終進(jìn)行竊取網(wǎng)銀賬號密碼等操作。
二�����、初出江湖
2016年9月TrickBot銀行木馬在針對澳大利亞銀行和金融服務(wù)客戶時首次被發(fā)現(xiàn)����,開始進(jìn)入安全研究員的視線,并且發(fā)現(xiàn)TrickBot與Dyre有非常多的相似之處�����,具有許多相同的功能����,不同之處在于編碼方式(Dyre主要使用C語言����、TrickBot主要使用C++)、惡意行為(TrickBot還會竊取加密貨幣錢包)�����、功能模塊(竊取OpenSSH私鑰和OpenVPN密碼和配置等主流應(yīng)用程序)����。
TrickBot銀行木馬從2016年出現(xiàn)到至今�����,在整體的病毒執(zhí)行過程是趨于固定的�����,表現(xiàn)如下:
1.TrickBot銀行木馬運行后�����,首先從資源段加載核心代碼�����,然后會在%AppData%目錄下生成銀行木馬模塊核心組件模塊�����、主機ID等信息�����,并且通過添加為Windows Task來實現(xiàn)持久化�����。
2.接著����,從C&C下載加密后的核心功能模塊到%AppData%/Modules里,同時啟動多個svchost進(jìn)程�����,然后將相應(yīng)的模塊注入到svchost進(jìn)程����,這時病毒模塊會在受害者訪問各大銀行網(wǎng)站時盜取網(wǎng)站登錄憑證等�����。核心模塊如:
(1)injectDll32/injectDll64:注入瀏覽器進(jìn)程�����,竊取銀行網(wǎng)站登錄憑據(jù)
(2)systeminfo32/systeminfo64:收集主機基本信息
3.TrickBot通過HTTP post請求發(fā)送命令到C&C�����,格式為 /group_tag/client_id/命令I(lǐng)D
三、進(jìn)擊的TrickBot
深諳“發(fā)展才是硬道理”的TrickBot銀行木馬����,從2016年到2019年,不斷更新功能模塊和提高對抗成本����,甚至聯(lián)合其他黑產(chǎn)團伙進(jìn)行作案與提供訪問即服務(wù),詳情如下所示:
1�����、功能模塊愈發(fā)完整
截止2019年�����,TrickBot銀行木馬已經(jīng)積累有10個功能模塊����,用于竊取OpenSSH私鑰和OpenVPN密碼和配置等,具體詳細(xì)如下所示:
importDll32/64 竊取瀏覽器表單數(shù)據(jù)�����、cookie�����、歷史記錄等信息 injectDll32/64 注入瀏覽器進(jìn)程,竊取銀行網(wǎng)站登錄憑據(jù) mailsearche***/64 收集郵箱信息 networkDll32/64 收集主機系統(tǒng)和網(wǎng)絡(luò)/域拓?fù)湫畔?psfin32/64 對攻擊目標(biāo)進(jìn)行信息收集�����,判斷攻擊目的 pwgrab32/64 竊取Chrome/IE密碼信息 shareDll32/64 下載TrickBot����,通過共享傳播 systeminfo32/64 收集主機基本信息 tabDll32/64 利用IPC$共享和SMB漏洞,結(jié)合shareDll32和wormDll32進(jìn)行傳播感染 WormDll32/64 下載TrickBot進(jìn)行橫向傳播
2����、增加對抗成本
在最初的版本的基礎(chǔ)上,加強了安全對抗成本����,如關(guān)閉Windows Defender提高隱蔽性�����、使用無文件技術(shù)增加溯源成本等�����。
3、跨團伙作案
除了自身發(fā)展�����,TrickBot背后的運營團隊思路也獨特�����。通常情況下����,惡意軟件之間是互為競爭的狀態(tài),但TrickBot的運營團隊顯然不這么認(rèn)為:
(1)在2017年7月�����,TrickBot 銀行木馬攜手僵尸網(wǎng)絡(luò) Necurs ����,針對歐洲、加拿大�����、新西蘭����、新加坡等國的金融機構(gòu)發(fā)起攻擊�����;
(2)在2018年6月�����,出現(xiàn)感染IcedID木馬的主機在下載TrickBot銀行木馬�����;
(3)在2019年7月����,深信服安全團隊捕獲到一起利用TrickBot下發(fā)Ryuk勒索病毒的攻擊事件�����;
4����、訪問即服務(wù)�����?
在2019年7月,深信服安全團隊在分析一起Ryuk勒索病毒攻擊事件時�����,發(fā)現(xiàn)不管是被勒索加密的或未被勒索加密的內(nèi)網(wǎng)主機均在半年前大量感染TrickBot銀行木馬�����,并且系統(tǒng)進(jìn)程存在大量不正常的外連行為:
與此同時�����,于2019年FireEye在報告里提出:
1.存在TrickBot木馬在感染主機后�����,會潛伏一段時間�����,并隨后向Ryuk勒索病毒提供僵尸網(wǎng)絡(luò)的訪問權(quán)限����。
2.FireEye認(rèn)為TrickBot對外提供僵尸網(wǎng)絡(luò)訪問權(quán)限����,即訪問即服務(wù)����,并且將這種方式稱為TEMP.MixMaster。
綜上內(nèi)容����,我們可以看到TrickBot銀行木馬的演變歷程,由最初的團伙作案演變?yōu)榭鐖F伙作案�����,甚至有跡象表明TrickBot已經(jīng)在提供訪問即服務(wù)�����。黑產(chǎn)團伙趨于產(chǎn)業(yè)化運作����,防護者更不應(yīng)該只是單純的安裝某個軟件,就指望著解決所有問題����,還需要深層次多角度進(jìn)行產(chǎn)業(yè)化對抗。
四����、安全建議
TrickBot銀行木馬常常通過釣魚郵件和掛馬網(wǎng)站的方式進(jìn)行入侵, 然后通過RDP協(xié)議����、SMB協(xié)議等進(jìn)行橫向傳播,所以深信服安全團隊再次提醒廣大用戶�����,注意日常防范措施�����,及時給電腦打補丁�����,修復(fù)漏洞�����;切勿打開來源不明的郵件附件和軟件;平常使用強密碼����。
