趣彩票官方版

趣彩票官方版

          <dfn id='qcy2m'><optgroup id='qcy2m'></optgroup></dfn><tfoot id='qcy2m'><bdo id='qcy2m'><div id='qcy2m'></div><i id='qcy2m'><dt id='qcy2m'></dt></i></bdo></tfoot>

          <ul id='qcy2m'></ul>

          • 趣彩票官方版进入年度总结,谨防TrickBot木马窃取信息

            2020-01-21 10713人围观 终端安全

            TrickBot木马最早发现于2016年,早期是一款专门针对银行发动攻击的木马程序,其攻击目标包括400余家知名国际银行。近年来,该木马不断地发展,其攻击范围已经不仅限于银行和金融趣彩票官方版,也拓展到了其他行业,其主要的目的是窃取趣彩票官方版和用户敏感信息。TrickBot木马的很多功能与另外一款银行木马程序Dyreza非常相似,其早期版本,没有任何字符串加密功能,也基本没有采用其他的对抗手段,但目前流行的TrickBot不仅使用了强大的加密功能,还使用了多种安全对抗技术,使得安全人员对其进行代码分析越来越困难。

            近期,亚信安全截获通过伪装成 “趣彩票官方版员工年度奖金计划报告”的垃圾邮件传播的TrickBot木马最新变种,用户一旦点击邮件中的链接,病毒母体文件(亚信安全检测为TrojanSpy.Win32.TRICKBOT.TIGOCFM)将会被执行,下载各种窃取信息和内网传播的模块,收集和窃取用户敏感信息,尤其是在新年伊始,趣彩票官方版正在进行年度汇总的特殊时期,需要严密防范此类垃圾邮件和钓鱼邮件攻击。

            详细分析

            TrickBot木马攻击流程:

            TrickBot木马恶意模块

            母体文件分析

            本次截获的样本是MFC编写,伪装成dhtml2 MFC Application程序且具有合法的数字签名,具体文件信息如下:

            该病毒首先获取资源模块BIZETTO数据,然后解密出恶意代码:

            病毒首先会访问远端C&C服务器地址hxxps://myxxxxxxxxalip.com/raw获取IP地址:

            然后继续解密和整理出恶意的PowerShell命令并执行,其主要功能是从远端C&C服务器下载其核心的TrickBot Loader程序:

            PowerShell脚本的主要功能是下载其核心的TrickBot Loader程序到本地临时目录,然后执行。具体脚本代码以及运行进程如下所示:

            TrickBot Loader程序分析

            从之前的PowerShell脚本内容可知,下载后的文件首先需要进行XOR后才可以执行。具体文件内容如下所示:

            其会将自身复制到ProgramData目录中并且执行,如果该文件已经存在,其将会执行后续的恶意行为:

            其首先从资源模块读取相关数据,然后进行多次解密:

            获取系统信息版本以便确定后续的下载和加载的模块版本:

            加载特定的DLL文件来检测是否存在杀毒软件,其对应关系如下:

            特定DLL文件 杀毒软件
            cmdvrt32.dll 科摩多网络安全套装 COMODO Internet Security
            snxhk.dll AVAST

            该程序多次且频繁进行解密出需要运行的恶意代码,增加调试难度:

            下载恶意模块,注入到explorer.exe进程中执行:

            通过创建计划任务进行本地持久化:

            TrickBot木马恶意模块作用

            TrickBot木马持续对其恶意模块进行更新和修改,然后通过远程服务器进行下发,从首次发现至今,已经存在多个恶意模块,覆盖了多个功能,其中包括邮件信息收集,浏览器数据窃取以及内网扩散等模块。具体模块与其对应功能如下:

            模块名称 功能类型 具体功能
            pwgrab32 数据窃取 窃取来自Filezilla,Microsoft Outlook和WinSCP等应用程序的凭据。
            shareDll32 内网渗透 在整个网络中进行自我传播
            wormDll32 内网渗透 尝试使用NetServerEnum和LDAP查询识别网络中的服务器和域控制器
            networkDll32 内网渗透和数据窃取 扫描网络并窃取相关网络信息
            importDll32 数据窃取 负责窃取浏览器数据,例如浏览历史记录,Cookie和插件等
            systeminfo32 数据窃取 收集系统信息,如操作系统,CPU和内存信息,用户帐户,已安装程序和服务的列表。
            mailsearche*** 数据窃取 搜索受感染系统的文件以收集电子邮件地址以进行信息窃取。
            injectDll32 数据窃取 执行Web浏览器注入窃取金融账户信息

            扫描网络和窃取网络信息:

            解决方案

            不要点击来源不明的邮件以及附件;

            不要点击来源不明的邮件中包含的链接;

            采用高强度的密码,避免使用弱口令密码,并定期更换密码;

            打开系统自动更新,并检测更新进行安装;

            请到正规网站下载应用程序;

            浏览网页的时候不随意下载安装程序;

            请注意备份重要文档。备份的最佳做法是采取3-2-1规则,即至少做三个副本,用两种不同格式保存,并将副本放在异地存储。

            IOC

            文件SHA-1 文件名称 亚信安全检测名
            880cecc01ecc88500e22d33dc9d0c762 Print.exe TrojanSpy.Win32.TRICKBOT.TIGOCFM

            *本文作者:亚信安全,转载请注明来自FreeBuf.COM

            相关推荐
            取消
            Loading...

            特别推荐

            活动预告

            填写个人信息

            姓名
            电话
            邮箱
            趣彩票官方版
            行业
            职位
            css.php