TrickBot银行木马简要分析

环境：Windows 7 32位

工具：Ollydbg、Wireshark、IDA Pro、pestudio

文件信息：

6bff3687dee62654901f2edcb7d4ff8d

一、TrickBot木马简介 

TrickBot是一种针对银行机构的木马。它最早被发现于2016年，当时还是一个功能简单的木马，并没有太多对抗安全分析的技术。但随着时间的推移，它成为了一款模块化的恶意软件，通过不断从服务端下载带有新功能恶意功能模块。截止日前，它已经拥有了收集浏览器历史记录、窃取受害者金融账户信息、进行内网横向传播、收集受害者系统信息等恶意功能。同时，它也使用了多种的对抗安全分析的技术，例如，大量混淆、所使用的字符串均在使用前均被加密、下载的恶意模块仅在加载时进行解密。TrickBot的攻击目标遍布全球，是近年在影响范围、持续时间、更新频率等方面均在前列的恶意软件之一。

二、行为流程

三、具体功能 

1.恶意下载器

原样本拥有正常有效的数字签名，因此可对抗一些沙箱检测，降低自身被检测时的威胁级别。

原样本首先将自身复制到C:\ProgramData\文件夹下，该复制体的位置与文件名均为硬编码字符串。

若复制成功，则尝试运行该新文件，随后退出原进程。若复制失败，说明该新文件已存在，即正在运行的文件为上一步中被复制的文件，因此跳过文件复制操作而进行后续恶意行为。
复制体在内存003A0000处解密出一个PE文件。复制体将该PE文件除PE头的部分拷贝至内存00571000，即将内存003A1000起始的数据拷贝至内存00571000，随后进入该内存空间。复制体将获取磁盘驱动器信息。复制体将获取计算机名并进行唯一标识符后缀添加，该字符串将作为主机后续通信的唯一ID。复制体将获取受害主机的网卡信息。复制体将获取受害主机的操作系统信息。复制体将在C:\Users\root\AppData\Roaming\文件夹下创建文件夹MsCloud，该文件夹用于存储恶意样本的复制体、后续接收的文件以及窃取的信息。复制体将自身复制到新创建的文件夹MsCloud内。复制体将对新复制的样本创建名为”Ms Cloud Disk”的计划任务，以此达到长时间驻留在系统内，对系统进行持续感染的目的。复制体将在MsCloud文件夹中创建名为data的文件夹，用于接收后续文件及窃取的信息。复制体将连接服务端下载后续文件，服务端全部IP见IOC列表。复制体将使用先前生成的唯一识别ID与服务端进行通信，该ID可帮助攻击者定位收集的系统信息与个人信息源于哪一台主机。复制体将进行远程线程注入，注入的进程为svchost.exe，注入的内容为从服务端下载的dll模块文件。复制体对svchost.exe注入成功后恢复远程线程，随后svchost.exe将执行后续窃取信息、横向传播、更新版本恶意操作。

2.恶意模块组件

下载的恶意模块包括但不限于importDll32、injectDll32、networkDll32、pwgrab32、systeminfo32、tabDll32。部分恶意模块将窃取用户个人信息并加密存储在本地，随后将加密信息发送给服务端。

a. systeminfo32

该模块将获取的系统信息通过HTTP的POST请求明文发送给服务端，发送的流量包范例如下图所示。

b. injectDll32

该模块将尝试窃取受害主机上的密码、自动填充内容及历史记录。

该模块针对的浏览器有三种，分别为Google Chrome、Mozilla Firefox、Internet Explorer。

c. pwgrab32

该模块将尝试复制Google Chrome的浏览数据及登录数据。

该模块将尝试获取FileZilla、RDP、VNC、WinScp的密码。

该模块将尝试获取Google Chrome、Firefox、IE、Edge等浏览器的历史记录及密码。该模块将尝试获取Outlook的用户资料。

d. importdll32

该模块将尝试获取浏览器的cookies及历史记录。该模块将针对特定网站进行用户凭证的抓取，通过下图可以发现，被筛选的网站不仅包括了国外网站、也包括了国内网站。

e. networkDll32

该模块将尝试获取受害者的主机网络信息。

该模块随后将获取的信息通过HTTP的POST请求明文发送给服务端，发送的流量包范例如下图所示。

f. tabDll32

该模块将从服务端下载名为log_install.tmp的更新样本。

该模块将通过IPC进行横向入侵至局域网内的其他主机。

该模块将复制新下载的log_install.tmp至新位置，新文件名为stsvc.exe。该模块将对新复制的文件创建服务，达到持续感染系统的目的。

三、IOCs  

Md5

7486823b7ad4f42408c00de7432934ab

55f3662bef9c80137076a30455bf3d33

e411cdad2162b5af54de817820f2ef29

9d198b6db526d725066cb06475cec174

8ab7998c6ce116c42990f9824646cfdf

a69a08fcadc8c5bb1ee34e5d572db65f

6bff3687dee62654901f2edcb7d4ff8d

C&C

107.174.254.216

177.103.240.149

45.141.103.31

46.30.42.239

185.142.99.59

185.235.130.84

93.189.43.168

212.80.217.69

5.101.51.112

194.5.250.113

195.123.237.37

191.37.181.152

181.176.160.145

181.129.93.226

37.228.117.217

198.8.91.44

103.84.238.3

185.125.46.53

187.58.56.26

186.46.63.58

186.47.40.234

190.154.203.218

189.80.134.122

181.129.49.98

148.251.27.76

186.156.52.78

190.109.189.119

181.112.159.70

186.47.82.6

168.227.229.112

131.196.184.141

146.196.122.167

200.119.45.140

186.42.226.46

190.13.190.178

190.144.89.82

31.202.132.179

190.151.213.140

190.152.4.210

36.89.85.103

190.13.160.19

186.42.186.202

190.144.89.82

103.207.1.44

202.9.120.79

181.112.159.70

四、防护措施

1.关闭易受攻击的端口（如139，445等端口）；

2.不使用弱口令密码；

3.更新病毒库，查杀主机中的恶意病毒；

4.推荐使用“铁穹高级持续性威胁系统”（简称”铁穹“）发现潜在的攻击行为。“铁穹”是东巽科技技术有限公司结合流量检测与沙箱分析功能，用以检测主机内潜在威胁行为的系统。