以 Windows 機器為目標的 TrickBot 銀行木馬

已發表: 2019-01-17

世界各地的人們不斷受到各種惡意軟件的威脅,這些惡意軟件旨在獲取非法利潤或竊取個人數據。 但特別是有一種最討厭的類型; 他們是銀行木馬。 他們一次又一次地以不同的形式出現並剝削用戶。 但最近引起關注的最糟糕的是針​​對 Windows 機器的 TrickBot Banking 木馬。 已經發現,這種特定的木馬已經成功地影響了澳大利亞、亞洲和拉丁美洲。 現在它也正在通過阿根廷、秘魯和智利,計劃感染數百萬台機器。 你可以從他們聲稱在 2017 年英國勞埃德銀行在 25 分鐘內發送超過 75000 封電子郵件這一事實來確定他們的惡名和破壞程度。

TrickBot 木馬
資料來源:——證券報

什麼是特技機器人?

這是市場上最活躍的銀行木馬之一,具有多種功能,包括 URL 重定向和 Web 注入。 它於 2016 年 10 月在澳大利亞首次被發現和發現。 據估計,Trickbot 由一群具有全球影響力的個人運營和管理。 此外,它們很聰明,因為它們通過不同的技術進行攻擊,例如 40% 的重定向,而將 60% 的時間留給網絡注入。 這種模式已經在 40 個國家出現。

該惡意軟件正在通過網絡釣魚電子郵件傳遞給用戶,但他們也開始探索其他分發做法,例如虛假網站。 在這種情況下,它們主要通過網絡注入進行操作。

特技機器人
來源:——趨勢科技

網絡注入

Web 瀏覽器被惡意軟件感染,該惡意軟件會檢查您訪問的每個網站。 在您訪問銀行網站之前,一切都不會受到影響。 攻擊者的主要目標是通過銀行網站對用戶進行網絡釣魚,一旦用戶訪問任何銀行網站,就會通過網絡攔截代碼以竊取輸入的個人信息和憑據。

網絡注入更令人不安的是,您無法僅通過查看網站來判斷任何事情,因為被感染的不是網站而是網絡瀏覽器。 在這種情況下,我們如何識別異常活動? 好吧,除非他們去銀行頁面的源代碼,否則沒有人可以這樣做。

如果您的瀏覽器沒有被感染,代碼會相對較小,而如果是,那麼您會在其中看到一些奇怪的新功能。 有時,附加功能或代碼集有註釋,讓我們了解它們的功能,即竊取憑據並通知黑客相同。

網址重定向

TrickBot 銀行木馬

儘管有使用 URL 重定向的實例,但這種做法越來越少。 背後的原因是任何重定向都是可識別的。 同樣,由於域名的註冊規則,黑客在瀏覽時只能創建相似且不准確的 URL 來重定向一個人。 而且,如果有人關注 URL,就可以發現這一點。

Trickbot 做什麼?

據報導,該惡意軟件具有許多惡意功能,包括:

  • 啟動受感染設備和命令服務器之間的通信。
  • 利用網絡瀏覽會話竊取機密信息,例如銀行憑證、個人信息等。
  • 收集有關受影響機器和網絡的詳細信息。
  • 洩露在線保存的帳戶密碼、內省 cookie 和網絡歷史記錄。
  • 通過感染受感染網絡上的其他計算機來擴大其影響範圍。
  • 為惡意目的設置更多工具,例如 VNC 客戶端、遠程訪問工具或勒索軟件。

Trickbot 木馬如何工作?

TrickBot 木馬
資料來源:——socprime

另請閱讀: Emotet 木馬 - 一種危險進化的銀行木馬

部署後,TrickBot 銀行木馬會將自身複製到%APPDATA% 並刪除原始樣本。

此外,它添加了兩個名為 client_id 和 group_tag 的文件。它們是在本地創建的,用於檢測單個機器人及其關聯的操作。 這些文件未加密並包含 Unicode 文本。

client_id :包括受感染機器的名稱、操作系統版本和隨機生成的字符串。

該文件夾包含一個名為 config.conf 的文件。 它通過命令與控制 (C&C) 服務器下載並編碼。

注意:網絡攻擊者利用 C&C 或 C2 來管理與受感染網絡中受感染機器的通信。

在 %APPDATA% 中會生成一個名為 Modules 的文件夾。通過 C&C 下載的其他文件是 injectDll32 和 systeminfo32。

injectDll32 – 這是一個銀行家模塊,可在目標瀏覽器中註入 DLL 以啟動憑據盜竊

systeminfo32 - 用於收集一般系統信息

這些文件也被編碼。 此外,目標瀏覽器列表是硬編碼在injectDll32.dll 中的。 TrickBot 通過將自身作為 Windows 任務計劃程序中的任務累積來使其有效。 該任務簡稱為“機器人”,不會嘗試隱藏此任務。 但是,如果您嘗試終止任務,任務計劃程序引擎會自動重新啟動它。

網絡通訊

TrickBot 惡意軟件與不同的服務器通信。 首先,它與一個有效的服務器通信以獲得一個可見的 IP。 令人驚訝的是,它使用自己的用戶代理,即 TrickLoader 或 BotLoader,並且不會嘗試將自己偽裝成真正的瀏覽器。 但 TrickBot 與指揮控制中心的大部分通信都是 SSL 加密的。

client_id 和 group_id,用於 POST 請求的 URL,後跟命令 id。 這是在 Dyreza 惡意軟件中觀察到的一個特徵。 此外,在不加密網絡流量的情況下加載了額外的有效負載。 C&C 安裝在受感染的無線路由器上,例如 MikroTik。 這是 Dyreza 和 TrickBot 之間常見的另一個功能。 TrickBot 的另一個奇怪之處在於,它甚至不會嘗試為 HTTPS 證書複製看起來真實的名稱。 它們包括完全隨機的數據。 例如: -

https://193.9.28.24/tmt2/TESTMACHINE_W617601.653EB63213B91453D28A68C0FCA3AC4/5/sinj/

您的系統受到影響的症狀

端點用戶不會看到任何更改,但網絡管理員會。 症狀將改變流量或訪問受限 URL 和列入黑名單的 IP 的努力。 發生這種情況是因為惡意軟件試圖將數據轉發給黑客。 它嘗試從控制和命令 (C&C) 服務器提取數據並接收任務。

後果

由於該木馬利用了永恆之藍漏洞,它將重點影響整個網絡,而不僅僅是一台機器。 這意味著一旦您的網絡受到影響,就沒有出路。 您可以清理特定機器,但不能清理整個網絡。 在一定程度上隔離受感染的機器並努力刪除此木馬可能是有效的。

如果網絡機器受到影響,您可以執行以下幾個步驟:–

  1. 檢測受感染的機器。
  2. 將它們與網絡隔離。
  3. 使用 EternalBlue 補丁。
  4. 限制行政股。
  5. 阻止具有各種文件擴展名的附件,例如:

exe|pif|tmp|urlpst|cmd|com|hta|js|wsf|vb|vbe|scr|reg|cer|bat|dll|dat|hlp|

  1. 刪除 TrickBot 銀行木馬。
  2. 更改帳戶憑據。

必讀: IcedID 新銀行木馬

最終判決

這是非常危險的,不僅因為它的侵略性,還因為它的不斷進化。 該銀行木馬的運營商也開始針對 Outlook 電子郵件、瀏覽數據甚至加密貨幣的用戶。 如果我們不想看到我們的錢包和賬戶空空如也,我們需要盡快拿出防禦機制!