“TrickBot”銀行木馬最早出現(xiàn)于2016年底，主要通過掛馬網(wǎng)頁、釣魚文檔傳播，進(jìn)入受害者計(jì)算機(jī)后竊取計(jì)算機(jī)中郵箱密碼、瀏覽器中存儲(chǔ)的網(wǎng)站憑證等敏感數(shù)據(jù)，注入瀏覽器竊取網(wǎng)銀帳戶密碼，盜取受害者資產(chǎn)。

新變種運(yùn)用“無文件”攻擊技術(shù)

過去的“TrickBot”銀行木馬一般通過帶有惡意宏的Office文檔啟動(dòng)PowerShell應(yīng)用程序下載載荷到本地執(zhí)行，這么做會(huì)導(dǎo)致載荷文件落地，一旦載荷文件被殺毒軟件查殺攻擊即宣告失敗。捕獲的“TrickBot”新變種簡(jiǎn)化了攻擊流程，去掉了載荷釋放這一步驟，所用功能都由一段PowerShell命令行執(zhí)行。如此一來攻擊流程中無文件落地，降低了被殺毒軟件查殺的風(fēng)險(xiǎn)。

新變種所有功能由一段PowerShell命令完成

當(dāng)用戶打開帶有惡意宏的Office文檔時(shí)，文檔執(zhí)行PowerShell命令，這段命令使PowerShell從hxxp://162.244.32.185/jquery.js讀取另一段PowerShell命令執(zhí)行。這段命令中包含兩段Shellcode，第一段Shellcode是一個(gè)用C#語言編寫的反射注入Dll，第二段Shellcode用于完成竊密等功能。

值得一提的是，在這段PowerShell命令中調(diào)用了[OqkZsI7.OqkZsI7]類的成員函數(shù)Ck2Ya和WETJLKk2r1而未見到[OqkZsI7.OqkZsI7]類的聲明。這實(shí)際上是對(duì)PowerShell內(nèi)嵌.NET Framework靈活應(yīng)用。在Powershell中可以使用.NET Framework的類庫，也可以使用C#語言的語法定義并執(zhí)行函數(shù)。這段Powershell命令中并未直接寫入.NET代碼，而是通過反射注入的方式將C#語言編寫的dll（第一段Shellcode）載入內(nèi)存，Dll中對(duì)[OqkZsI7.OqkZsI7]類進(jìn)行聲明，并提供Ck2Ya、WETJLKk2r1等成員函數(shù)供PowerShell使用。

這個(gè)反射注入Dll主要負(fù)責(zé)字符串的加解密工作，其中Ck2Ya函數(shù)輸出的部分字符串將與hxxp://162.244.32.185拼接得到下階段載荷地址或者竊取數(shù)據(jù)的上傳地址，而iputY7e函數(shù)輸出的字符串將作為Shellcode被TLybhcYk0k函數(shù)執(zhí)行。可惜的是，下階段載荷已經(jīng)無法下載。

第二段Shellcode則是完成TrickBot的主要功能，包括獲取系統(tǒng)信息、獲取Outlook郵箱帳戶和密碼以及上傳屏幕截圖。這些功能都由PowerShell完成。

防護(hù)建議

1.銀行木馬大部分通過垃圾郵件傳播，一般以“Request order”、“Confirm Invoice”這類與“訂單”、“付款單”相關(guān)的字樣作為郵件標(biāo)題，若收到這類標(biāo)題的郵件時(shí)先確定發(fā)件人身份再?zèng)Q定是否打開郵件中的附件查看。

2.“TrickBot”銀行木馬一般通過宏執(zhí)行惡意功能，而宏是默認(rèn)禁用的。當(dāng)接收到未知來源的Office文檔時(shí)，千萬不要啟用宏。

3.安裝安全軟件攔截此類型的攻擊。

cc

收藏 海報(bào)分享