Trickbot增長的遠程應用程序憑證抓取功能

來源

https://blog.trendmicro.com/trendlabs-security-intelligence/trickbot-adds-remote-application-credential-grabbing-capabilities-to-its-repertoire/

感染鏈

在2018年11月，咱們介紹了一個帶有密碼獲取模塊的Trickbot變體，從衆多應用程序中竊取憑據。在2019年1月，咱們看到了Trickbot（被檢測爲TrojanSpy.Win32.TRICKBOT.AZ和Trojan.Win32.MERETAM.AD），其新功能被添加到已經普遍的技巧中。惡意代碼做者顯然沒有更新Trickbot - 咱們最近發現了一個新變種，使用了pwgrab模塊的更新版本，能夠獲取遠程應用程序憑據。

圖1.惡意軟件的感染鏈

技術分析

惡意軟件經過把電子郵件假裝成來自主要金融服務公司的稅收激勵通知。此電子郵件包含一個啓用宏的（XLSM）Microsoft Excel電子表格附件（檢測爲Trojan.W97M.MERETAM.A），據稱其中包含稅收激勵的詳細信息。

圖2.包含惡意啓用宏的附件的垃圾郵件。

圖3.附加的電子表格文檔的屏幕截圖

2019版增長了三個新功能，分別用於虛擬網絡計算（VNC），PuTTY和遠程桌面協議（RDP）平臺。

圖4. 2018年11月（上圖）和2019年1月（下圖）的pwgrab模塊的比較。請注意代碼中添加的功能。

圖5.發送RDP憑據的C＆C流量。

經過XOR或函數的簡單變體對其使用的字符串進行加密。

圖6. XOR例程（頂部）和SUB例程（底部）字符串加密。

還利用API HASH進行間接API調用，這突出歸因於2013年Carberp木馬源代碼泄漏。

圖7. Carberp源代碼中的API HASH工件。

VNC

要獲取VNC憑據，pwgrab模塊使用位於如下目錄中的「 * .vnc.lnk 」 附件搜索文件：

%APPDATA%\Microsoft\Windows\Recent
%USERPROFILE%\Documents, %USERPROFILE%\Downloads

被盜信息包括目標機器的主機名，端口和代理設置。

圖8. pwgrab如何在％USERPROFILE％ Downloads目錄中找到「.vnc.lnk」文件的屏幕截圖。

該模塊將經過POST發送所需的數據，POST經過下載的配置文件使用文件名「 dpost 」進行配置。「此文件包含命令和控制（C＆C）服務器列表，這些服務器將從受害者接收已泄露的數據。

圖9.被盜信息被泄露到C＆C服務器。

PuTTY

要檢索PuTTY憑據，它會查詢註冊表項Software  SimonTatham  Putty  Sessions以識別已保存的鏈接設置，從而容許模塊檢索用於身份驗證的信息，例如主機名和用戶名以及私鑰文件。

圖10. Putty數據滲出的註冊表遍歷（左），代碼顯示主機名，用戶名和私鑰文件（右）。

RDP

其與RDP相關的第三個功能使用CredEnumerateA API來識別和竊取保存的憑據。而後它解析字符串「 target = TERMSRV 」以識別每一個RDP憑證保存的主機名，用戶名和密碼。

建議

這些已經「棘手」的Trickbot的新增功能展現了許多做者用來提升其創做能力的策略：現有惡意軟件的逐步演變。雖然這個新變種在它能作的事情上並不具備開創性，但它證實了Trickbot背後的團體或我的並無知足於現狀並不斷改進它，使已經危險的惡意軟件更加有效。

用戶只需遵循針對垃圾郵件的最佳作法，就能夠將這些攻擊扼殺在萌芽狀態。這包括瞭解垃圾郵件的主要特徵，例如可疑的發件人地址和多個語法錯誤。建議用戶不要打開電子郵件附件，除非肯定郵件來源合法。

Indicators of Compromise (IOCs)

Trickbot (Detected as TrojanSpy.Win32.TRICKBOT.AZ)

374ef83de2b254c4970b830bb93a1dd79955945d24b824a0b35636e14355fe05

Trickbot (Detected as Trojan.Win32.MERETAM.AD)

Fcfb911e57e71174a31eae79433f12c73f72b7e6d088f2f35125cfdf10d2e1af