安全動(dòng)態(tài)

Trickbot更新密碼竊取模塊

來源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2019-12-01    瀏覽次數(shù):
 

信息來源:4hou

Trickbot 是2016年首次出現(xiàn)的從有漏洞的Windows主機(jī)竊取系統(tǒng)信息、登陸憑證和其他敏感數(shù)據(jù)的一款惡意軟件。Trickbot是一種模塊化的惡意軟件,其中一個(gè)模塊就算密碼獲取模塊。2019年11月,研究人員發(fā)現(xiàn)Trickbot的密碼竊取模塊的目標(biāo)轉(zhuǎn)向了OpenSSH和OpenVPN應(yīng)用。

Trickbot模塊

感染了Trickbot的Windows主機(jī)會(huì)下載不同的模塊來執(zhí)行不同的功能。這些模塊以加密二進(jìn)制文件的形式保存在受感染用戶的AppData\Roaming文件夾中。然后加密的二進(jìn)制文件會(huì)解碼為DLL文件,并在系統(tǒng)內(nèi)存中運(yùn)行。圖1是2019年11月8日Trickbot感染64位Windows 7系統(tǒng)主機(jī)生成的編碼的Trickbot模塊。

圖 1. 2019年11月8日Trickbot 感染的模塊

密碼竊取模塊

如圖1所示,其中一個(gè)模塊名為pwgrab64,這也是Trickbot使用的密碼竊取模塊。該模塊會(huì)從受害者的瀏覽器緩存中提取出登陸憑證,并從受害者主機(jī)的其他應(yīng)用中獲取登陸憑證。該密碼竊取模塊和其他模塊會(huì)將竊取的數(shù)據(jù)用未加密的HTTP數(shù)據(jù)包通過TCP 8082端口發(fā)送到Trickbot使用的IP地址中。如圖2所示,就是從感染了Trickbot的主機(jī)中的抓包數(shù)據(jù)中收集的信息。這是從受感染用戶的Chrome瀏覽器緩存中竊取的登陸憑證示例。

圖 2. 從受感染的用戶Chrome瀏覽器緩存中竊取的登陸憑證

密碼竊取模塊更新

從最近Trickbot感染的流量模式中可以發(fā)現(xiàn)其與2019年11月的感染情況是一致的。首先看一下密碼竊取器的2個(gè)HTTP POST請(qǐng)求:

1、OpenSSH私鑰

2、OpenVPN密碼和configsls

OpenVPN那行,configsls可能是configs的錯(cuò)誤拼寫。圖3和圖4是含有這些id的HTTP POST請(qǐng)求示例。

圖 3. Trickbot密碼竊取模塊竊取OpenSSH私鑰的HTTP POST請(qǐng)求

圖 4. Trickbot密碼竊取模塊竊取Open OpenVPN密碼和配置的HTTP POST請(qǐng)求

更新不起作用?

Trickbot的密碼竊取模塊更新可能并沒有完全起作用。密碼竊取器竊取OpenSSH和OpenVPN的HTTP POST請(qǐng)求并不管受害者主機(jī)中是否安裝了OpenSSH或OpenVPN。而且研究人員在請(qǐng)求中并沒有發(fā)現(xiàn)什么數(shù)據(jù)。

研究人員在實(shí)驗(yàn)室環(huán)境下對(duì)配置了OpenSSH和OpenVPN應(yīng)用的Windows 7和Windows 10主機(jī)進(jìn)行了測(cè)試,也沒有發(fā)現(xiàn)任何數(shù)據(jù)。密碼竊取器對(duì)OpenSSH和OpenVPN應(yīng)用竊取所產(chǎn)生的HTTP POST請(qǐng)求是不含有數(shù)據(jù)的。

但Trickbot的密碼竊取器模塊會(huì)從PuTTY(SSH/Telnet客戶端)竊取SSH密碼和私鑰。圖5和圖6是從感染了Trickbot并安裝了PuTTY的主機(jī)中密碼竊取器竊取到云服務(wù)器的SSH連接的私鑰。

圖 5. Trickbot密碼竊取器模塊竊取PuTTY應(yīng)用產(chǎn)生的HTTP POST請(qǐng)求

圖 6. Trickbot密碼竊取器模塊竊取PuTTY使用的私鑰產(chǎn)生的HTTP POST請(qǐng)求

結(jié)論

本文描述了Trickbot流量模式的最新變化,表明對(duì)密碼竊取器模塊產(chǎn)生的一些變化。這些更新表明更新的目標(biāo)是來自O(shè)penSSH和OpenVPN應(yīng)用的數(shù)據(jù),但這些功能好像還不能正常工作。但更新后的密碼竊取模塊是可以從PuTTY這樣的SSH相關(guān)的應(yīng)用中竊取私鑰這樣的敏感數(shù)據(jù)的。流量模式的更新表明Trickbot仍然在不斷進(jìn)化。

 
 

上一篇:如何防止惡意的第三方DLL注入到進(jìn)程

下一篇:首都網(wǎng)警發(fā)布預(yù)警通報(bào):OPENSSL加密組件存在重大風(fēng)險(xiǎn)隱患