Trickbot参加长途使用凭据盗取功用

访客6年前关于黑客接单1245

2019年11月,Trend Micro研究人员发现一个含有暗码盗取模块的Trickbot变种,该暗码盗取模块能够从很多的运用中盗取凭据。2019年1月,研究人员发现一个参加了多个功用的Trickbot变种,但歹意软件开发者并没有更新Trickbot,而是运用了一个更新了能够盗取长途运用凭据的pwgrab模块。
感染链

图1. 歹意软件感染链
技能剖析
歹意软件是经过伪装为来自首要金融服务公司的税收鼓励告诉的邮件进行传达的。邮件含有一个启用宏的Excel附件,其间含有税收鼓励的细节。附件中的宏文件是歹意的,运用激活后会在用户机器上下载和运用Trickbot。
 

图2. 含有启用了歹意宏的附件的垃圾邮件
 

图3. 附件中的文档截图
Trickbot变种于研究人员在2019年11月发现的变种十分类似。但2019年版别的变种参加了3个功用,别离对应Virtual Network Computing (VNC), PuTTY, 和Remote Desktop Protocol (RDP)渠道。
 

图4. 2019年11月(上)和2019年1月(下)pwgrab模块比较

图5. C&C流量和发送的RDP凭据
这些函数运用的技能包括经过XOR或SUB对字符串进行加密。

图6. XOR (上) 和SUB(下)字符串加密
歹意软件为非直接的API调用运用API哈希,这归属于2013年Carberp木马的源码走漏。
 

图7. Carberp源码中的API哈希
VNC
为了获取VNC凭据,pwgrab模块会运用坐落以下目录的*.vnc.lnk来搜索文件:
%APPDATA%MicrosoftWindowsRecent
%USERPROFILE%Documents, %USERPROFILE%Downloads
盗取的信息方针机器的主机名、端口和署理设置。
 

图8. Pwgrab在%USERPROFILE%Downloads目录定位vnc.lnk文件
该模块会经过POST发送有必要的数据,运用文件名dpost的下载的装备文件进行装备。该文件含有C2服务器会接纳来自受害者的盗取数据。
 

图9. 发送给C2服务器的盗取的数据
PuTTY
为了提取PuTTY凭据,歹意软件会查询注册表SoftwareSimonTathamPuttySessions来辨认保存的衔接设置,这答应模块来提取Hostname, Username, Private Key Files等用于认证的文件。

图10.用于Putty数据盗取的注册表遍历(左)、显现hostname, username 和Private Key Files的代码(右)
RDP
第三个功用于RDP有关,运用CredEnumerateA API来辨认和盗取保存的凭据。然后歹意软件会剖析字符串target=TERMSRV来确认每个RDP凭据保存的主机名、用户名和暗码。
总结
Trickbot中参加的功用也标明许多歹意软件作者增强功用的立异战略:对原有歹意软件的不断进化。这些变种一般都是不断参加新的小功用,并没有什么突破性,这也阐明Trickbot背面的安排和个人并不彻底依赖于Trickbot而且不断地进化该歹意软件,使具有要挟的歹意软件愈加高效。
 

相关文章

这名黑客的四行代码让数千台打印机宣扬种族主义

在此前,咱们了解了关于侵略打印机的一些原理及方法,如《运用无人机或吸尘器黑掉企业无线打印机》、《我是怎么黑掉惠普打印机的?》,现在居然有人对衔接公共网络的打印机成功施行了侵略。Andrew Auer...

缝缝补补的WebLogic:绕过的艺术

前语 现在Weblogic在全球的使用量占居前列,据统计,在全球范围内对互联网敞开Weblogic服务的财物数量多达35382台,其间归属我国区域的财物数量为10562台。假如迸发一个Weblogic...

flare-emu的分析功能被进一步拓展-黑客接单平台

IDAPython 库 flare-emu团队新开发的一个库,这个库是依赖于 IDA Pro 和 Unicorn 模仿结构,并为让逆向工程师可以经过脚本对代码的功用进行模仿,Unicorn 支撑 x8...

HTML5 安全问题解析

HTML5 安全问题解析 标签: html html5 web安全 本文参阅: w3school:html5相关基础知识(w3school.com.cn)...

2FA双要素认证之Authy

现如今网络环境越来越杂乱,黑客的进犯手法多样化,发作了越来越多的账号暗码走漏事情,然后要挟到用户信息乃至产业安全。在如此杂乱的安全形势下,咱们需求考虑更多的是用户信息的安全问题,而用户的账户暗码作为信...