信息來源:FreeBuf
一、背景
TrickBot銀行木馬首次出現(xiàn)在2016年,主要是通過掛馬網(wǎng)頁、釣魚郵件的方式進行傳播,最終進行竊取網(wǎng)銀賬號密碼等操作。
二、初出江湖
2016年9月TrickBot銀行木馬在針對澳大利亞銀行和金融服務客戶時首次被發(fā)現(xiàn),開始進入安全研究員的視線,并且發(fā)現(xiàn)TrickBot與Dyre有非常多的相似之處,具有許多相同的功能,不同之處在于編碼方式(Dyre主要使用C語言、TrickBot主要使用C++)、惡意行為(TrickBot還會竊取加密貨幣錢包)、功能模塊(竊取OpenSSH私鑰和OpenVPN密碼和配置等主流應用程序)。
TrickBot銀行木馬從2016年出現(xiàn)到至今,在整體的病毒執(zhí)行過程是趨于固定的,表現(xiàn)如下:
1.TrickBot銀行木馬運行后,首先從資源段加載核心代碼,然后會在%AppData%目錄下生成銀行木馬模塊核心組件模塊、主機ID等信息,并且通過添加為Windows Task來實現(xiàn)持久化。
2.接著,從C&C下載加密后的核心功能模塊到%AppData%/Modules里,同時啟動多個svchost進程,然后將相應的模塊注入到svchost進程,這時病毒模塊會在受害者訪問各大銀行網(wǎng)站時盜取網(wǎng)站登錄憑證等。核心模塊如:
(1)injectDll32/injectDll64:注入瀏覽器進程,竊取銀行網(wǎng)站登錄憑據(jù)
(2)systeminfo32/systeminfo64:收集主機基本信息
3.TrickBot通過HTTP post請求發(fā)送命令到C&C,格式為 /group_tag/client_id/命令ID
三、進擊的TrickBot
深諳“發(fā)展才是硬道理”的TrickBot銀行木馬,從2016年到2019年,不斷更新功能模塊和提高對抗成本,甚至聯(lián)合其他黑產(chǎn)團伙進行作案與提供訪問即服務,詳情如下所示:
1、功能模塊愈發(fā)完整
截止2019年,TrickBot銀行木馬已經(jīng)積累有10個功能模塊,用于竊取OpenSSH私鑰和OpenVPN密碼和配置等,具體詳細如下所示:
importDll32/64 竊取瀏覽器表單數(shù)據(jù)、cookie、歷史記錄等信息 injectDll32/64 注入瀏覽器進程,竊取銀行網(wǎng)站登錄憑據(jù) mailsearche***/64 收集郵箱信息 networkDll32/64 收集主機系統(tǒng)和網(wǎng)絡/域拓撲信息 psfin32/64 對攻擊目標進行信息收集,判斷攻擊目的 pwgrab32/64 竊取Chrome/IE密碼信息 shareDll32/64 下載TrickBot,通過共享傳播 systeminfo32/64 收集主機基本信息 tabDll32/64 利用IPC$共享和SMB漏洞,結合shareDll32和wormDll32進行傳播感染 WormDll32/64 下載TrickBot進行橫向傳播
2、增加對抗成本
在最初的版本的基礎上,加強了安全對抗成本,如關閉Windows Defender提高隱蔽性、使用無文件技術增加溯源成本等。
3、跨團伙作案
除了自身發(fā)展,TrickBot背后的運營團隊思路也獨特。通常情況下,惡意軟件之間是互為競爭的狀態(tài),但TrickBot的運營團隊顯然不這么認為:
(1)在2017年7月,TrickBot 銀行木馬攜手僵尸網(wǎng)絡 Necurs ,針對歐洲、加拿大、新西蘭、新加坡等國的金融機構發(fā)起攻擊;
(2)在2018年6月,出現(xiàn)感染IcedID木馬的主機在下載TrickBot銀行木馬;
(3)在2019年7月,深信服安全團隊捕獲到一起利用TrickBot下發(fā)Ryuk勒索病毒的攻擊事件;
4、訪問即服務?
在2019年7月,深信服安全團隊在分析一起Ryuk勒索病毒攻擊事件時,發(fā)現(xiàn)不管是被勒索加密的或未被勒索加密的內(nèi)網(wǎng)主機均在半年前大量感染TrickBot銀行木馬,并且系統(tǒng)進程存在大量不正常的外連行為:
與此同時,于2019年FireEye在報告里提出:
1.存在TrickBot木馬在感染主機后,會潛伏一段時間,并隨后向Ryuk勒索病毒提供僵尸網(wǎng)絡的訪問權限。
2.FireEye認為TrickBot對外提供僵尸網(wǎng)絡訪問權限,即訪問即服務,并且將這種方式稱為TEMP.MixMaster。
綜上內(nèi)容,我們可以看到TrickBot銀行木馬的演變歷程,由最初的團伙作案演變?yōu)榭鐖F伙作案,甚至有跡象表明TrickBot已經(jīng)在提供訪問即服務。黑產(chǎn)團伙趨于產(chǎn)業(yè)化運作,防護者更不應該只是單純的安裝某個軟件,就指望著解決所有問題,還需要深層次多角度進行產(chǎn)業(yè)化對抗。
四、安全建議
TrickBot銀行木馬常常通過釣魚郵件和掛馬網(wǎng)站的方式進行入侵, 然后通過RDP協(xié)議、SMB協(xié)議等進行橫向傳播,所以深信服安全團隊再次提醒廣大用戶,注意日常防范措施,及時給電腦打補丁,修復漏洞;切勿打開來源不明的郵件附件和軟件;平常使用強密碼。