导语:TrickBot木马是目前最为活跃的银行类恶意软件家族,几乎每隔一段时间都会出现新的变种,非常与时俱进,本文将对TrickBot木马进行深入了解。

TrickBot-Logo.png

TrickBot木马是目前最为活跃的银行类恶意软件家族,几乎每隔一段时间都会出现新的变种,非常与时俱进,从最初单纯的针对银行的攻击,到去年的窃取加密货币。总之一句话,只要能获利的地方,都有它的身影。

最新版本的TrickBot银行木马为了攫取更多利益,通过加入“锁屏(screenlocker)”组件又新增了一个勒索功能。也就是说,TrickBot的攻击目标已不再是针对网络电子银行用户,只要是感染了这个最新版本的TrickBot,那用户的屏幕就会被锁定。这就和勒索软件一样了,如果要想继续使用该设备,就得向攻击者缴纳赎金。

锁屏功能的实现过程

不过根据研究人员的分析,目前TrickBot新加入的这个“锁屏(screenlocker)”组件还在试验阶段,锁屏功能还不太好使。但这并不代表着该功能就会被开发者抛弃,恰恰相反,该功能非常受攻击者的重视,且已经投入到了实战测试阶段,要不然研究人员也不会发现样本。我们有理由相信攻击者目前至少已经掌握了能够将其植入计算机的能力,未来等时机成熟,攻击者定会扩大攻击面。

TrickBot虽然以主要是银行木马而闻名,但近年来发展成为“恶意软件下载器(malware dropper)”。在目标设备中负责下载安装恶意程序的脚本通常被叫做dropper,因为它可以通过一些手段把恶意程序释放(drop)到感染设备上。

而screenlocker模块就是TrickBot在受害者计算机上释放的许多恶意程序之一,可以确认的是这个screenlocker模块最早出现在今年的3月15日。

TrickBot的开发者通过恶意软件下载器下载一些与恶意软件相关的各种TrickBot模块,这些模块负责各种操作。比如之前已被发现的下载模块就包括银行木马(浏览器注入器)模块,专门负责向受感染的主机发送垃圾邮件的模块,以及用于在大型网络内进行感染活动的SMB文件共享蠕虫病毒。

就拿这次的screenlocker模块来说吧,3月15日, 攻击者通过TrickBot的恶意软件下载器开始下载名为tabDll32.dll(或tabDll64.dll)的模块,该模块会下载三个文件,其中就包含了作为锁屏组件的“ScreenLocker_x86.dll”文件。这三个模块分别为:

1.Spreader_x86.dll模块,通过利用EternalRomance(永恒浪漫)和其他可能由MS17-010安全补丁修补的其他漏洞,尝试通过SMB协议对同一网络中的其他计算机进行感染。

2.SsExecutor_x86.exe模块会与第一个模块一起作用,在受感染计算机上建立持久攻击机制。

3.ScreenLocker_x86.dll模块,用于锁定受感染的计算机屏幕,目前它还不会加密文件。

Screenlocker模块专门针对企业网络

最引人注目的是,自2017年夏天开始,TrickBot就已经拥有SMB文件共享蠕虫组件,并将其命名为wormDll32.dll模块进行下载。

有意思的是,tabDll32.dll(或tabDll64.dll)模块中的这三个文件被设计为依次运行的状态,即锁屏功能只有在恶意软件进行大规模感染和建立持久攻击后,才会被触发。

试想一下,这个攻击环境是只有在企业网络才具备的。首先是大规模,这个只有企业才有;其次是锁屏,对于个人设备来说,锁屏了,我大不了换个设备,但对于企业来说,设备里的重要资料太多,不可能这样做。

因此有研究人员认为这个最新版本的TrickBot银行木马将主要针对那些未及时安装补丁的企业网络。

研究人员解释说:

在企业网络中,用户不可能长时间访问某个银行的网站,因此是把目标定位在攻击单个用户的银行上,还是通过对数百台计算机进行锁屏勒索,哪一个获利最大化,不言自明。

尽管在当前版本中没有观察到ScreenLocker_x86.dll模块对文件会实施加密操作,但这并不意味着它不会通过更新来发展成为一个完备的加密勒索软件。

源链接

Hacking more

...