Trickbot是眾所周知的金融木馬病毒，以大型銀行的客戶為目標(biāo)并竊取他們的憑證。Trickbot同時(shí)也是一種模塊化的惡意軟件，包含了多種不同功能的模塊。自2016年以來(lái)，它就一直保持活躍并不斷衍生出現(xiàn)的變種，且每次更新都會(huì)有新的技巧和模塊加入。

具體而言，Trickbot所包含的模塊大致具有以下功能：從瀏覽器竊取數(shù)據(jù)、從Microsoft Outlook竊取數(shù)據(jù)、鎖定受害者計(jì)算機(jī)、收集系統(tǒng)信息、收集網(wǎng)絡(luò)信息和竊取域憑證等。

最近，Cyberbit惡意軟件研究團(tuán)隊(duì)對(duì)最新的Trickbot變種進(jìn)行了研究，以了解它與以前的變種有何不同，并充分了解其新的行為和技巧。研究成果顯示，Trickbot的新變種采用了一種隱藏代碼注入技術(shù)，涉及到使用直接系統(tǒng)調(diào)用、反分析技術(shù)和禁用安全工具來(lái)執(zhí)行進(jìn)程挖空。從某種意義上來(lái)說(shuō)，這個(gè)新變種的行為模式有點(diǎn)類似于Flokibot銀行木馬。

新變種是通過(guò)一個(gè)包含宏代碼的Word文檔下載的，這一說(shuō)法最初被發(fā)布在Twitter上，并得到了Cyberbit團(tuán)隊(duì)的證實(shí)。有意思的是，即使單擊了“enable content”以啟用宏，該文檔也不會(huì)執(zhí)行它所包含的宏代碼，直到用戶對(duì)文檔進(jìn)行了縮放操作。Cyberbit團(tuán)隊(duì)表示，這很可能是為了規(guī)避沙箱檢測(cè)，但同時(shí)也會(huì)使不會(huì)縮放文檔的用戶免受其害。

與大多數(shù)惡意宏一樣，這里的宏也被進(jìn)行了混淆。它最終會(huì)執(zhí)行一個(gè)PowerShell腳本，用于下載和執(zhí)行Trickbot。在經(jīng)過(guò)反混淆和重命名之后，這個(gè)PowerShell腳本看起來(lái)像是以下這個(gè)樣子：

在開(kāi)始執(zhí)行時(shí)，這個(gè)Trickbot新變種會(huì)通過(guò)調(diào)用Sleep來(lái)休眠30秒，以規(guī)避沙箱檢測(cè)。然后，它會(huì)使用RSA算法來(lái)解密它的資源，用于執(zhí)行惡意行為。與以前的版本一樣，這個(gè)新變種也會(huì)將自身及其加密模塊復(fù)制到C:\Users\%USERNAME%\AppData\Roaming\msnet中。

值得注意的是，這個(gè)新變種還會(huì)通過(guò)以下命令來(lái)禁用和刪除Windows Defender服務(wù)：

exe /c sc stop WinDefend

exe /c sc delete WinDefend

exe /c powershell Set-MpPreference -DisableRealtimeMonitoring $true

TrickBot最初只是一個(gè)將銀行作為其攻擊目標(biāo)的木馬病毒，并借助諸如Necurs這樣的僵尸網(wǎng)絡(luò)大肆傳播。隨著加密貨幣的普及，它也將目光轉(zhuǎn)向了加密貨幣交易平臺(tái)，并且同時(shí)針對(duì)了多個(gè)不同的幣種。再到后來(lái)更是添加了“鎖屏”組件，似乎想要通過(guò)鎖定受害者的計(jì)算機(jī)屏幕來(lái)勒索贖金以非法獲利。

從Cyberbit團(tuán)隊(duì)所分析的新變種來(lái)看，TrickBot仍在被不斷開(kāi)發(fā)，其執(zhí)行進(jìn)程挖礦的方式與Flokibot木馬非常相似，這似乎透露出這兩種木馬病毒之間共享了一些代碼。另外，我們還看到這個(gè)TrickBot新變種為了規(guī)避檢測(cè)還會(huì)禁用和刪除Windows Defender服務(wù)，這無(wú)疑會(huì)使受害者面臨更為廣泛的潛在威脅。

ice

收藏 海報(bào)分享