Trickbot展現新技巧：密碼抓取器模塊

Trickbot是一個簡單的銀行木馬

來源

https://blog.trendmicro.com/trendlabs-security-intelligence/trickbot-adds-remote-application-credential-grabbing-capabilities-to-its-repertoire/

分析Trickbot的模塊

pwgrab32模塊

Trickbot的新模塊，名爲pwgrab32或PasswordGrabber，竊取了來自Filezilla，Microsoft Outlook和WinSCP等應用程序的憑據。

圖1.受影響系統中Trickbot新模塊pwgrab32的屏幕截圖

圖2.從FileZilla竊取FTP密碼的新模塊代碼的截屏

圖3.竊取Microsoft Outlook憑據的新模塊代碼的屏幕截圖

圖4.從開源FTP WinSCP獲取Trickbot密碼的屏幕截圖

除了從應用程序竊取憑據以外，它還從幾個流行的Web瀏覽器竊取如下信息，例如Google Chrome，Mozilla Firefox，Internet Explorer和Microsoft Edge：

• 用戶名和密碼
• 互聯網Cookies
• 瀏覽記錄
• 自動填充
• HTTP帖子

圖5. Trickbot代碼的屏幕截圖，其結構是從流行的Web瀏覽器中竊取密碼

shareDll32模塊

Trickbot使用shareDll32模塊來幫助在整個網絡中傳播本身。它鏈接到C＆C服務器http [：] // 185 [。] 251 [。] 39 [。] 251 / radiance [。] png如下載自身的副本並將其另存爲setuplog.tmp。

圖6. Trickbot的shareDll32模塊容許它鏈接到C＆C服務器如下載自身的副本

圖7.下載的文件保存爲setuplog.tmp

而後shareDll32模塊使用WNetEnumResource和GetComputerNameW枚舉和標識在同一域上鍊接的系統。

圖8.使用WNetEnumResourceW和GetComputerNameW枚舉和標識鏈接系統的代碼的屏幕截圖

而後將文件setuplog.tmp複製到已發現的計算機或系統的管理共享中。

圖9.在管理共享中複製的setuplog.tmp的屏幕截圖

爲了使惡意軟件更具持久性，它具備自動啓動服務，容許Trickbot在機器啓動時運行。

wormDll模塊

wormDll32模塊嘗試使用NetServerEnum和LDAP查詢識別網絡中的服務器和域控制器。2017年，Flashpoint的安全研究人員首次觀察到 Trickbot的蠕蟲傳播能力。

圖10.使用NetServerEnum標識域中工做站和服務器的代碼的屏幕截圖

圖11.使用LDAP查詢標識網絡中域控制器的代碼的屏幕截圖

圖12.使用LDAP查詢標識網絡中不是域控制器的計算機的代碼的屏幕截圖

咱們還發現使用「pysmb」可能實現SMB協議，利用NT LM 0.12查詢舊版Windows操做系統和IPC共享。應該指出的是，這個功能彷佛仍處於開發階段。

圖13. 顯示SMB通訊的代碼的屏幕截圖

networkDll32

Trickbot使用此加密模塊掃描網絡並竊取相關網絡信息。它執行如下命令以收集有關受感染系統的信息：

圖14. networkDll32模塊爲收集網絡信息而執行的命令的屏幕截圖

Wormdll32模塊

Wormdll32是Trickbot用於經過SMB和LDAP查詢傳播自身的加密模塊。它與模塊「wormDll」一塊兒用於在網絡上傳播。

importDll32模塊

該模塊負責竊取瀏覽器數據，例如瀏覽歷史記錄，Cookie和插件等。

systeminfo32模塊

一旦成功安裝在系統中，Trickbot將收集系統信息，如操做系統，CPU和內存信息，用戶賬戶，已安裝程序和服務的列表。

mailsearcher32模塊

此模塊搜索受感染系統的文件以收集電子郵件地址以進行信息竊取。

收集垃圾郵件活動相關需求的電子郵件地址一般是惡意軟件行爲，可是，Kryptos Research最近 報告說，Emotet銀行木馬不僅是竊取電子郵件地址; 它還能夠收集受Emotet感染的設備上經過Microsoft Outlook發送和接收的電子郵件。根據Brad Duncan 先前的研究，Emotet 還負責向用戶提供這款獲取密碼的Trickbot變體以及Azorult。

injectDll32模塊

此加密模塊監視銀行應用程序可能使用的網站。它還用於使用反射DLL注入技術將代碼注入其目標進程。

injectDll32監視銀行相關網站的兩種不一樣的憑證竊取方法：

首先，當用戶登陸其名單上的任何受監控銀行網站時，如大通銀行，花旗銀行，美國銀行，斯巴達銀行，桑坦德銀行，匯豐銀行，加拿大帝國商業銀行（CIBC）和Metrobank，Trickbot將會向C＆C服務器發送POST響應以提取用戶的登陸憑據。

其次，Trickbot監控用戶是否訪問其列表中的某些銀行相關網站，例如C. Hoare＆Co銀行，聖詹姆斯廣場銀行和蘇格蘭皇家銀行，並將用戶重定向到虛假網絡釣魚網站。

銀行URL Trickbot監視器包括來自美國，加拿大，英國，德國，澳大利亞，奧地利，愛爾蘭，倫敦，瑞士和蘇格蘭的網站。

Trickbot的其餘值得注意的技巧

終止與Windows Defender相關的進程，如MSASCuil.exe，MSASCui.exe和反間諜軟件實用程序Msmpeng.exe。它還有一個自動啓動機制（Msntcs），它在系統啓動時觸發，並在首次執行後每十分鐘觸發一次。

反分析功能能夠檢查系統並在找到某些模塊時自行終止，例如pstorec.dll，vmcheck.dll，wpespy.dll和dbghelp.dll。

Indicators of Compromise

Trickbot C&C servers

103[.]10[.]145[.]197:449
103[.]110[.]91[.]118:449
103[.]111[.]53[.]126:449
107[.]173[.]102[.]231:443
107[.]175[.]127[.]147:443
115[.]78[.]3[.]170:443
116[.]212[.]152[.]12:449
121[.]58[.]242[.]206:449
128[.]201[.]92[.]41:449
167[.]114[.]13[.]91:443
170[.]81[.]32[.]66:449
173[.]239[.]128[.]74:443
178[.]116[.]83[.]49:443
181[.]113[.]17[.]230:449
182[.]253[.]20[.]66:449
182[.]50[.]64[.]148:449
185[.]66[.]227[.]183:443
187[.]190[.]249[.]230:443
190[.]145[.]74[.]84:449
192[.]252[.]209[.]44:443
197[.]232[.]50[.]85:443
198[.]100[.]157[.]163:443
212[.]23[.]70[.]149:443
23[.]226[.]138[.]169:443
23[.]92[.]93[.]229:443
23[.]94[.]233[.]142:443
23[.]94[.]41[.]215:443
42[.]115[.]91[.]177:443
46[.]149[.]182[.]112:449
47[.]49[.]168[.]50:443
62[.]141[.]94[.]107:443
68[.]109[.]83[.]22:443
70[.]48[.]101[.]54:443
71[.]13[.]140[.]89:443
75[.]103[.]4[.]186:443
81[.]17[.]86[.]112:443
82[.]222[.]40[.]119:449
94[.]181[.]47[.]198:449

SHA256

TSPY_TRICKBOT.THOIBEAI:

806bc3a91b86dbc5c367ecc259136f77482266d9fedca009e4e78f7465058d16