趨勢科技在2018年11月發現一隻帶有密碼擷取模組的Trickbot變種,它能夠從許多應用程式中竊取帳密。在2019年1月,我們看到加入了新功能的Trickbot(偵測為TrojanSpy.Win32.TRICKBOT.AZ和Trojan.Win32.MERETAM.AD)。這作者很顯然地持續在更新Trickbot,我們最近發現一隻新變種會使用新版本的pwgrab模組來擷取遠端應用程式的帳密。
感染鏈
圖1、惡意軟體的感染鏈
偽裝成金融服務公司的租稅獎勵通知信, 夾帶惡意Excel附件
惡意軟體會夾帶在偽裝成金融服務公司的租稅獎勵通知內出現。這封郵件內包含帶有巨集(XLSM)的Microsoft Excel附件檔(偵測為Trojan.W97M.MERETAM.A),聲稱裡面是租稅獎勵的詳細資料。不過就如同這類附件檔常做的一樣,這是個惡意巨集文件,一旦啟用就會下載和部署Trickbot到使用者的電腦。
圖2、包含惡意巨集附件檔的垃圾郵件。
圖3、附加Excel文件檔的截圖
這個Trickbot變種跟在11月發現的變種極為相似。但2019年的版本加入了三個新功能,分別用於VNC、PuTTY和RDP程式。
圖4、2018年11月(上)和2019年1月(下)的pwgrab模組比較。請注意程式碼內新加的功能。
圖5、傳送出RDP帳密的C&C流量。
這些新功能會利用XOR或SUB運算來對字串進行加密。
圖6.、XOR(上)和SUB(下)字串加密。
它還會用API雜湊值進行間接API呼叫,這裡可以看出跟2013年Carberp木馬原始碼外洩的關聯。
圖7、Carberp原始碼內的API雜湊功能。
VNC
為了取得VNC帳密,pwgrab模組會搜尋以下目錄內的“*.vnc.lnk”檔案:
- %APPDATA%\Microsoft\Windows\Recent
- %USERPROFILE%\Documents, %USERPROFILE%\Downloads
竊取的資料包括了目標機器的主機名稱、端口和代理設定。
圖8、pwgrab在%USERPROFILE%\Downloads目錄尋找“.vnc.lnk”檔案。
此模組會用POST來傳送所需資料,這是透過下載的設定檔“dpost”來進行設定。該檔案包含了一份命令和控制(C&C)伺服器列表,這些伺服器會從受害者接收竊得的資料。
圖9、被竊資料外洩到C&C伺服器。
PuTTY
為了取得PuTTY憑證,它會檢查註冊表Software\SimonTatham\Putty\Sessions來找出儲存的連線設定,這可以讓模組取得主機和使用者名稱等資訊,還有私鑰檔案用來進行身份認證。
圖10、搜尋註冊表來找出Putty資料(左)顯示主機名稱,使用者名稱和私鑰檔案的程式碼(右)。
RDP
跟RDP相關的第三個功能使用CredEnumerateA API來識別和竊取儲存的帳密。它接著會搜尋字串“target = TERMSRV”來找出每個RDP憑證儲存的主機名稱、使用者名稱和密碼。
建議
已經很棘手的Trickbot加入新功能,這也是許多駭客用來提高惡意軟體能力的策略:逐步地進化現有的惡意軟體。雖然這個新變種在能做的事情上並不創新,但它證明了Trickbot的幕後黑手並沒有滿足於現狀且在不斷地改進它,讓已經危險的惡意軟體更加有效。
幸運的是,使用者只要遵循防垃圾郵件的最佳做法就可以將這些攻擊扼殺在萌芽階段。這包括了解垃圾郵件的主要特徵,如可疑的寄件者地址和出現許多語法錯誤。我們也建議使用者不要開啟電子郵件附加檔案,除非確定它來自可信任的來源。
趨勢科技解決方案
下列由趨勢科技XGen安全防護技術所驅動的解決方案可以保護系統對抗各類威脅,包括Trickbot等惡意軟體:
- PC-cillin 2019 雲端版
- 趨勢科技HYPERLINK “https://www.trendmicro.tw/tw/business/complete-software-protection/index.html” Smart Protection Suites和 Worry-Free Business Security
- 趨勢科技Network Defense
入侵指標(IOC)
Trickbot(偵測為TrojanSpy.Win32.TRICKBOT.AZ)
- 374ef83de2b254c4970b830bb93a1dd79955945d24b824a0b35636e14355fe05
Trickbot(偵測為Trojan.Win32.MERETAM.AD)
- Fcfb911e57e71174a31eae79433f12c73f72b7e6d088f2f35125cfdf10d2e1af
@原文出處:Trickbot Adds Remote Application Credential-Grabbing Capabilities to Its Repertoire 作者:Noel Anthony Llimos和Carl Maverick Pascual(趨勢科技)
