以 Windows 机器为目标的 TrickBot 银行木马

已发表: 2019-01-17

世界各地的人们不断受到各种恶意软件的威胁,这些恶意软件旨在获取非法利润或窃取个人数据。 但特别是有一种最讨厌的类型; 他们是银行木马。 他们一次又一次地以不同的形式出现并剥削用户。 但最近引起关注的最糟糕的是针对 Windows 机器的 TrickBot Banking 木马。 已经发现,这种特定的木马已经成功地影响了澳大利亚、亚洲和拉丁美洲。 现在它也正在通过阿根廷、秘鲁和智利,计划感染数百万台机器。 你可以从他们声称在 2017 年英国劳埃德银行在 25 分钟内发送超过 75000 封电子邮件这一事实来确定他们的恶名和破坏程度。

TrickBot 木马
资料来源:——证券报

什么是特技机器人?

这是市场上最活跃的银行木马之一,具有多种功能,包括 URL 重定向和 Web 注入。 它于 2016 年 10 月在澳大利亚首次被发现和发现。 据估计,Trickbot 由一群具有全球影响力的个人运营和管理。 此外,它们很聪明,因为它们通过不同的技术进行攻击,例如 40% 的重定向,而将 60% 的时间留给网络注入。 这种模式已经在 40 个国家出现。

该恶意软件正在通过网络钓鱼电子邮件传递给用户,但他们也开始探索其他分发做法,例如虚假网站。 在这种情况下,它们主要通过网络注入进行操作。

特技机器人
来源:——趋势科技

网络注入

Web 浏览器被恶意软件感染,该恶意软件会检查您访问的每个网站。 在您访问银行网站之前,一切都不会受到影响。 攻击者的主要目标是通过银行网站对用户进行网络钓鱼,一旦用户访问任何银行网站,就会通过网络拦截代码以窃取输入的个人信息和凭据。

网络注入更令人不安的是,您无法仅通过查看网站来判断任何事情,因为被感染的不是网站而是网络浏览器。 在这种情况下,我们如何识别异常活动? 好吧,除非他们去银行页面的源代码,否则没有人可以这样做。

如果您的浏览器没有被感染,代码会相对较小,而如果是,那么您会在其中看到一些奇怪的新功能。 有时,附加功能或代码集有注释,让我们了解它们的功能,即窃取凭据并通知黑客相同。

网址重定向

TrickBot 银行木马

尽管有使用 URL 重定向的实例,但这种做法越来越少。 背后的原因是任何重定向都是可识别的。 同样,由于域名的注册规则,黑客在浏览时只能创建相似且不准确的 URL 来重定向一个人。 而且,如果有人关注 URL,就可以发现这一点。

Trickbot 做什么?

据报道,该恶意软件具有许多恶意功能,包括:

  • 启动受感染设备和命令服务器之间的通信。
  • 利用网络浏览会话窃取机密信息,例如银行凭证、个人信息等。
  • 收集有关受影响机器和网络的详细信息。
  • 泄露在线保存的帐户密码、内省 cookie 和网络历史记录。
  • 通过感染受感染网络上的其他计算机来扩大其影响范围。
  • 为恶意目的设置更多工具,例如 VNC 客户端、远程访问工具或勒索软件。

Trickbot 木马如何工作?

TrickBot 木马
资料来源:——socprime

另请阅读: Emotet 木马 - 一种危险进化的银行木马

部署后,TrickBot 银行木马会将自身复制到%APPDATA% 并删除原始样本。

此外,它添加了两个名为 client_id 和 group_tag 的文件。它们是在本地创建的,用于检测单个机器人及其关联的操作。 这些文件未加密并包含 Unicode 文本。

client_id :包括受感染机器的名称、操作系统版本和随机生成的字符串。

该文件夹包含一个名为 config.conf 的文件。 它通过命令与控制 (C&C) 服务器下载并编码。

注意:网络攻击者利用 C&C 或 C2 来管理与受感染网络中受感染机器的通信。

在 %APPDATA% 中会生成一个名为 Modules 的文件夹。通过 C&C 下载的其他文件是 injectDll32 和 systeminfo32。

injectDll32 – 这是一个银行家模块,可在目标浏览器中注入 DLL 以启动凭据盗窃

systeminfo32 - 用于收集一般系统信息

这些文件也被编码。 此外,目标浏览器列表是硬编码在injectDll32.dll 中的。 TrickBot 通过将自身作为 Windows 任务计划程序中的任务累积来使其有效。 该任务简称为“机器人”,不会尝试隐藏此任务。 但是,如果您尝试终止任务,任务计划程序引擎会自动重新启动它。

网络通讯

TrickBot 恶意软件与不同的服务器通信。 首先,它与一个有效的服务器通信以获得一个可见的 IP。 令人惊讶的是,它使用自己的用户代理,即 TrickLoader 或 BotLoader,并且不会尝试将自己伪装成真正的浏览器。 但 TrickBot 与指挥控制中心的大部分通信都是 SSL 加密的。

client_id 和 group_id,用于 POST 请求的 URL,后跟命令 id。 这是在 Dyreza 恶意软件中观察到的一个特征。 此外,在不加密网络流量的情况下加载了额外的有效负载。 C&C 安装在受感染的无线路由器上,例如 MikroTik。 这是 Dyreza 和 TrickBot 之间常见的另一个功能。 TrickBot 的另一个奇怪之处在于,它甚至不会尝试为 HTTPS 证书复制看起来真实的名称。 它们包括完全随机的数据。 例如: -

https://193.9.28.24/tmt2/TESTMACHINE_W617601.653EB63213B91453D28A68C0FCA3AC4/5/sinj/

您的系统受到影响的症状

端点用户不会看到任何更改,但网络管理员会。 症状将改变流量或访问受限 URL 和列入黑名单的 IP 的努力。 发生这种情况是因为恶意软件试图将数据转发给黑客。 它尝试从控制和命令 (C&C) 服务器提取数据并接收任务。

后果

由于该木马利用了永恒之蓝漏洞,它将重点影响整个网络,而不仅仅是一台机器。 这意味着一旦您的网络受到影响,就没有出路。 您可以清理特定机器,但不能清理整个网络。 在一定程度上隔离受感染的机器并努力删除此木马可能是有效的。

如果网络机器受到影响,您可以执行以下几个步骤:–

  1. 检测受感染的机器。
  2. 将它们与网络隔离。
  3. 使用 EternalBlue 补丁。
  4. 限制行政股。
  5. 阻止具有各种文件扩展名的附件,例如:

exe|pif|tmp|urlpst|cmd|com|hta|js|wsf|vb|vbe|scr|reg|cer|bat|dll|dat|hlp|

  1. 删除 TrickBot 银行木马。
  2. 更改帐户凭据。

必读: IcedID 新银行木马

最终判决

这是非常危险的,不仅因为它的侵略性,还因为它的不断进化。 该银行木马的运营商也开始针对 Outlook 电子邮件、浏览数据甚至加密货币的用户。 如果我们不想看到我们的钱包和账户空空如也,我们需要尽快拿出防御机制!