信息來源:FreeBuf
一��、背景
TrickBot銀行木馬首次出現(xiàn)在2016年���,主要是通過掛馬網(wǎng)頁���、釣魚郵件的方式進行傳播���,最終進行竊取網(wǎng)銀賬號密碼等操作。
二���、初出江湖
2016年9月TrickBot銀行木馬在針對澳大利亞銀行和金融服務客戶時首次被發(fā)現(xiàn)���,開始進入安全研究員的視線��,并且發(fā)現(xiàn)TrickBot與Dyre有非常多的相似之處���,具有許多相同的功能,不同之處在于編碼方式(Dyre主要使用C語言���、TrickBot主要使用C++)��、惡意行為(TrickBot還會竊取加密貨幣錢包)��、功能模塊(竊取OpenSSH私鑰和OpenVPN密碼和配置等主流應用程序)���。
TrickBot銀行木馬從2016年出現(xiàn)到至今,在整體的病毒執(zhí)行過程是趨于固定的���,表現(xiàn)如下:
1.TrickBot銀行木馬運行后��,首先從資源段加載核心代碼���,然后會在%AppData%目錄下生成銀行木馬模塊核心組件模塊���、主機ID等信息,并且通過添加為Windows Task來實現(xiàn)持久化��。
2.接著��,從C&C下載加密后的核心功能模塊到%AppData%/Modules里��,同時啟動多個svchost進程���,然后將相應的模塊注入到svchost進程,這時病毒模塊會在受害者訪問各大銀行網(wǎng)站時盜取網(wǎng)站登錄憑證等���。核心模塊如:
(1)injectDll32/injectDll64:注入瀏覽器進程��,竊取銀行網(wǎng)站登錄憑據(jù)
(2)systeminfo32/systeminfo64:收集主機基本信息
3.TrickBot通過HTTP post請求發(fā)送命令到C&C���,格式為 /group_tag/client_id/命令ID
三、進擊的TrickBot
深諳“發(fā)展才是硬道理”的TrickBot銀行木馬��,從2016年到2019年���,不斷更新功能模塊和提高對抗成本��,甚至聯(lián)合其他黑產(chǎn)團伙進行作案與提供訪問即服務��,詳情如下所示:
1���、功能模塊愈發(fā)完整
截止2019年��,TrickBot銀行木馬已經(jīng)積累有10個功能模塊��,用于竊取OpenSSH私鑰和OpenVPN密碼和配置等���,具體詳細如下所示:
importDll32/64 竊取瀏覽器表單數(shù)據(jù)、cookie��、歷史記錄等信息 injectDll32/64 注入瀏覽器進程��,竊取銀行網(wǎng)站登錄憑據(jù) mailsearche***/64 收集郵箱信息 networkDll32/64 收集主機系統(tǒng)和網(wǎng)絡/域拓撲信息 psfin32/64 對攻擊目標進行信息收集��,判斷攻擊目的 pwgrab32/64 竊取Chrome/IE密碼信息 shareDll32/64 下載TrickBot��,通過共享傳播 systeminfo32/64 收集主機基本信息 tabDll32/64 利用IPC$共享和SMB漏洞��,結(jié)合shareDll32和wormDll32進行傳播感染 WormDll32/64 下載TrickBot進行橫向傳播
2��、增加對抗成本
在最初的版本的基礎上,加強了安全對抗成本���,如關閉Windows Defender提高隱蔽性���、使用無文件技術增加溯源成本等。
3��、跨團伙作案
除了自身發(fā)展��,TrickBot背后的運營團隊思路也獨特��。通常情況下���,惡意軟件之間是互為競爭的狀態(tài),但TrickBot的運營團隊顯然不這么認為:
(1)在2017年7月���,TrickBot 銀行木馬攜手僵尸網(wǎng)絡 Necurs ��,針對歐洲��、加拿大���、新西蘭、新加坡等國的金融機構發(fā)起攻擊���;
(2)在2018年6月���,出現(xiàn)感染IcedID木馬的主機在下載TrickBot銀行木馬���;
(3)在2019年7月,深信服安全團隊捕獲到一起利用TrickBot下發(fā)Ryuk勒索病毒的攻擊事件��;
4��、訪問即服務��?
在2019年7月���,深信服安全團隊在分析一起Ryuk勒索病毒攻擊事件時���,發(fā)現(xiàn)不管是被勒索加密的或未被勒索加密的內(nèi)網(wǎng)主機均在半年前大量感染TrickBot銀行木馬,并且系統(tǒng)進程存在大量不正常的外連行為:
與此同時���,于2019年FireEye在報告里提出:
1.存在TrickBot木馬在感染主機后���,會潛伏一段時間,并隨后向Ryuk勒索病毒提供僵尸網(wǎng)絡的訪問權限。
2.FireEye認為TrickBot對外提供僵尸網(wǎng)絡訪問權限��,即訪問即服務��,并且將這種方式稱為TEMP.MixMaster��。
綜上內(nèi)容���,我們可以看到TrickBot銀行木馬的演變歷程��,由最初的團伙作案演變?yōu)榭鐖F伙作案���,甚至有跡象表明TrickBot已經(jīng)在提供訪問即服務。黑產(chǎn)團伙趨于產(chǎn)業(yè)化運作���,防護者更不應該只是單純的安裝某個軟件���,就指望著解決所有問題���,還需要深層次多角度進行產(chǎn)業(yè)化對抗��。
四���、安全建議
TrickBot銀行木馬常常通過釣魚郵件和掛馬網(wǎng)站的方式進行入侵���, 然后通過RDP協(xié)議、SMB協(xié)議等進行橫向傳播���,所以深信服安全團隊再次提醒廣大用戶���,注意日常防范措施,及時給電腦打補丁��,修復漏洞��;切勿打開來源不明的郵件附件和軟件���;平常使用強密碼���。
