【安全通告】TrickBot银行木马再添新技能
TrickBot银行木马自2016年问世以来,一直活跃至今。它从最初的银行木马发展到今天已经成为一款强大的恶意家族软件,其功能包括盗取用户电子邮箱、收集系统信息以及盗取浏览器隐私信息等等。经过几年的发展,TrickBot银行木马已经变得高度模块化,其可以由威胁参与者根据目标环境进行配置,进而实现不同的恶意功能。亚信安全也曾多次披露该木马的攻击活动,如下表格是TrickBot银行木马主要模块的详细信息。
相关通告
安全通告
近期,亚信安全网络实验室关注到TrickBot银行木马新增了加载器模块,该模块可以使TrickBot银行木马自身加载其他的恶意程序,例如勒索程序、挖矿程序等。其实早在去年,安全研究人员披露了Trickbot木马下发现了Ryuk勒索病毒的攻击活动,而此模块的增加使其加载其他恶意程序变得更加快捷,本文将会对此模块进行详细的分析。
病毒详细分析
TrickBot银行木马的加载器模块目前已经更新多个版本,其主要执行流程没有变化,主要的执行函数在导出的Control函数中,通过创建线程执行主要的恶意行为。
其首先通过WinHTTP函数访问远程地址下载文件到本地。如下图是本次样本访问的IP以及文件名称。值得注意的是,主要的字符串使用宽UNICODE字符混淆,静态下无法直接查看。
其具体下载执行流程如下:
然后,将文件写到本地。
该病毒首先会依次判断系统目录,APPDATA目录和Temp目录,可以访问的目录将会作为下载文件本地的存放路径。
然后,利用Windows API函数GetNamedSecurityInfoA、SetNamedSecurityInfoW和SetEntriesInAclW修改文件的安全访问权限,目的是为了绕过从远程位置下载的文件执行保护。
最后,创建进程执行远程下载的文件。
关联分析
研究人员通过样本获取到相关的IP和文件信息,通过亚信安全高级威胁情报平台关联到相关URL的活动。
通过进一步分析和关联,发现此模块已经更新了多个版本并且交付多个恶意样本。
更多关联URL和样本信息如下所示,可见该模块近期使用频繁。由于TrickBot银行木马攻击活动多数是通过垃圾邮件方式投递,所以亚信安全建议用户勿随意点击电子邮件的附件和链接,亚信安全邮件网关DDEI和IMSA等安全产品都可以提前有效拦截恶意的邮件和邮件附件以及其中的可疑链接。
亚信安全教你如何防范
不要点击来源不明的邮件以及附件;
不要点击来源不明的邮件中包含的链接;
请到正规网站下载程序;
采用高强度的密码,避免使用弱口令密码,并定期更换密码;
打开系统自动更新,并检测更新进行安装。
亚信安全解决方案
行业热点:
信行合一 聚势致远 | 亚信安全2020合作伙伴大会即将启航
亚信安全位居态势感知能力点阵领先者 | 数世咨询《网络安全态势感知能力指南》