信息來(lái)源:FreeBuf
一、背景
TrickBot銀行木馬首次出現(xiàn)在2016年���,主要是通過(guò)掛馬網(wǎng)頁(yè)����、釣魚(yú)郵件的方式進(jìn)行傳播,最終進(jìn)行竊取網(wǎng)銀賬號(hào)密碼等操作���。
二���、初出江湖
2016年9月TrickBot銀行木馬在針對(duì)澳大利亞銀行和金融服務(wù)客戶(hù)時(shí)首次被發(fā)現(xiàn),開(kāi)始進(jìn)入安全研究員的視線(xiàn)���,并且發(fā)現(xiàn)TrickBot與Dyre有非常多的相似之處�,具有許多相同的功能�,不同之處在于編碼方式(Dyre主要使用C語(yǔ)言、TrickBot主要使用C++)��、惡意行為(TrickBot還會(huì)竊取加密貨幣錢(qián)包)���、功能模塊(竊取OpenSSH私鑰和OpenVPN密碼和配置等主流應(yīng)用程序)��。
TrickBot銀行木馬從2016年出現(xiàn)到至今����,在整體的病毒執(zhí)行過(guò)程是趨于固定的��,表現(xiàn)如下:
1.TrickBot銀行木馬運(yùn)行后��,首先從資源段加載核心代碼��,然后會(huì)在%AppData%目錄下生成銀行木馬模塊核心組件模塊����、主機(jī)ID等信息,并且通過(guò)添加為Windows Task來(lái)實(shí)現(xiàn)持久化����。
2.接著,從C&C下載加密后的核心功能模塊到%AppData%/Modules里���,同時(shí)啟動(dòng)多個(gè)svchost進(jìn)程��,然后將相應(yīng)的模塊注入到svchost進(jìn)程��,這時(shí)病毒模塊會(huì)在受害者訪(fǎng)問(wèn)各大銀行網(wǎng)站時(shí)盜取網(wǎng)站登錄憑證等��。核心模塊如:
(1)injectDll32/injectDll64:注入瀏覽器進(jìn)程����,竊取銀行網(wǎng)站登錄憑據(jù)
(2)systeminfo32/systeminfo64:收集主機(jī)基本信息
3.TrickBot通過(guò)HTTP post請(qǐng)求發(fā)送命令到C&C�,格式為 /group_tag/client_id/命令I(lǐng)D
三����、進(jìn)擊的TrickBot
深諳“發(fā)展才是硬道理”的TrickBot銀行木馬���,從2016年到2019年��,不斷更新功能模塊和提高對(duì)抗成本�,甚至聯(lián)合其他黑產(chǎn)團(tuán)伙進(jìn)行作案與提供訪(fǎng)問(wèn)即服務(wù)�,詳情如下所示:
1、功能模塊愈發(fā)完整
截止2019年�,TrickBot銀行木馬已經(jīng)積累有10個(gè)功能模塊,用于竊取OpenSSH私鑰和OpenVPN密碼和配置等���,具體詳細(xì)如下所示:
importDll32/64 竊取瀏覽器表單數(shù)據(jù)��、cookie���、歷史記錄等信息 injectDll32/64 注入瀏覽器進(jìn)程,竊取銀行網(wǎng)站登錄憑據(jù) mailsearche***/64 收集郵箱信息 networkDll32/64 收集主機(jī)系統(tǒng)和網(wǎng)絡(luò)/域拓?fù)湫畔?psfin32/64 對(duì)攻擊目標(biāo)進(jìn)行信息收集���,判斷攻擊目的 pwgrab32/64 竊取Chrome/IE密碼信息 shareDll32/64 下載TrickBot��,通過(guò)共享傳播 systeminfo32/64 收集主機(jī)基本信息 tabDll32/64 利用IPC$共享和SMB漏洞����,結(jié)合shareDll32和wormDll32進(jìn)行傳播感染 WormDll32/64 下載TrickBot進(jìn)行橫向傳播
2、增加對(duì)抗成本
在最初的版本的基礎(chǔ)上�,加強(qiáng)了安全對(duì)抗成本,如關(guān)閉Windows Defender提高隱蔽性�、使用無(wú)文件技術(shù)增加溯源成本等�。
3、跨團(tuán)伙作案
除了自身發(fā)展���,TrickBot背后的運(yùn)營(yíng)團(tuán)隊(duì)思路也獨(dú)特�。通常情況下�,惡意軟件之間是互為競(jìng)爭(zhēng)的狀態(tài),但TrickBot的運(yùn)營(yíng)團(tuán)隊(duì)顯然不這么認(rèn)為:
(1)在2017年7月�,TrickBot 銀行木馬攜手僵尸網(wǎng)絡(luò) Necurs ,針對(duì)歐洲���、加拿大����、新西蘭�、新加坡等國(guó)的金融機(jī)構(gòu)發(fā)起攻擊;
(2)在2018年6月,出現(xiàn)感染IcedID木馬的主機(jī)在下載TrickBot銀行木馬����;
(3)在2019年7月,深信服安全團(tuán)隊(duì)捕獲到一起利用TrickBot下發(fā)Ryuk勒索病毒的攻擊事件����;
4、訪(fǎng)問(wèn)即服務(wù)�?
在2019年7月,深信服安全團(tuán)隊(duì)在分析一起Ryuk勒索病毒攻擊事件時(shí)��,發(fā)現(xiàn)不管是被勒索加密的或未被勒索加密的內(nèi)網(wǎng)主機(jī)均在半年前大量感染TrickBot銀行木馬��,并且系統(tǒng)進(jìn)程存在大量不正常的外連行為:
與此同時(shí)�,于2019年FireEye在報(bào)告里提出:
1.存在TrickBot木馬在感染主機(jī)后,會(huì)潛伏一段時(shí)間�,并隨后向Ryuk勒索病毒提供僵尸網(wǎng)絡(luò)的訪(fǎng)問(wèn)權(quán)限。
2.FireEye認(rèn)為T(mén)rickBot對(duì)外提供僵尸網(wǎng)絡(luò)訪(fǎng)問(wèn)權(quán)限���,即訪(fǎng)問(wèn)即服務(wù)���,并且將這種方式稱(chēng)為T(mén)EMP.MixMaster。
綜上內(nèi)容�,我們可以看到TrickBot銀行木馬的演變歷程,由最初的團(tuán)伙作案演變?yōu)榭鐖F(tuán)伙作案,甚至有跡象表明TrickBot已經(jīng)在提供訪(fǎng)問(wèn)即服務(wù)��。黑產(chǎn)團(tuán)伙趨于產(chǎn)業(yè)化運(yùn)作��,防護(hù)者更不應(yīng)該只是單純的安裝某個(gè)軟件��,就指望著解決所有問(wèn)題��,還需要深層次多角度進(jìn)行產(chǎn)業(yè)化對(duì)抗���。
四、安全建議
TrickBot銀行木馬常常通過(guò)釣魚(yú)郵件和掛馬網(wǎng)站的方式進(jìn)行入侵���, 然后通過(guò)RDP協(xié)議�、SMB協(xié)議等進(jìn)行橫向傳播����,所以深信服安全團(tuán)隊(duì)再次提醒廣大用戶(hù),注意日常防范措施���,及時(shí)給電腦打補(bǔ)丁�,修復(fù)漏洞���;切勿打開(kāi)來(lái)源不明的郵件附件和軟件���;平常使用強(qiáng)密碼����。
