2019年最活躍的銀行木馬:Trickbot更新密碼擷取模組,鎖定更多應用程式和服務

Trickbot一直都是2019年最活躍的銀行木馬之一。這隻惡意軟體持續地透過新模組更新來不停改進自己,而且背後的開發者也一直在尋找新目標。來自Security Intelligence的研究人員報告了Trickbot在日本的活動程度突然大增,趨勢科技研究人員也發現它更新了密碼擷取(pwgrab)模組,同時可能改用 Emotet 病毒散播 Trickbot。

之前的 Trickbot報告提到會入侵服務或平台來從瀏覽器、Outlook、WinSCP 和Filezilla收集登入憑證。趨勢科技報告發現它的pwgrab模組增加了竊取遠端存取軟體登入憑證的功能,如遠端桌面協定(RDP)、VNC 和 PuTTY平台。最新變種(趨勢科技偵測為TrojanSpy.Win32.TRICKBOT.TIGOCER)將目標放到了TeamViewer、OpenSSH、OpenVPN、Git、KeePass密碼管理器、SSH私鑰檔案、SSL憑證檔案和比特幣錢包檔案等大量登入憑證。

[延伸閱讀:Trickbot的大把戲 ]

Trickbot會設法從開啟視窗找出使用中的TeamViewer程序,來記錄該視窗出現的使用者帳號和密碼。

圖1. Trickbot針對TeamViewer

類似於針對RDP時的行為,Trickbot用CredEnumerate() API來列出系統內的本地端Git登入憑證,並且解析輸出來確認之前及現在使用的git登入憑證。

圖2. Trickbot針對Git

[延伸閱讀:最新的Trickbot攻擊活動使用混淆化的JavaScript檔案]

通過找尋檔案.git-credentials和資料夾\.config\git\credentials內的檔案,新模組可以竊取儲存在資料夾%USERPROFILE%內的Git登入憑證。

圖3. 掃描儲存的Git登入憑證

對於OpenSSH,Trickbot會去尋找資料夾%USERPROFILE%\.ssh內的檔案來取得登入憑證。它會比對檔案內的字串DSA PRIVATE KEYRSA PRIVATE KEYOPENSSH PRIVATE KEY來掃描和竊取私鑰憑證。

圖4. 針對OpenSSH

針對OpenVPN時,Trickbot會查詢登錄機碼HKEY_CURRENT_USER\Software\OpenVPN-GUI\Configs,裡面包含使用者偏好設定和儲存用於OpenVPN連線的登入憑證。

圖5. OpenVPN查詢

[延伸閱讀:Trickbot直擊:透過垃圾郵件內的惡意網址抵達]

KeePass Password Manager是個免費的開放原始碼軟體,研究人員發現Trickbot模組會尋找檔案%APPDATA%\KeePass.config.xml並解析xml來取得DataBasePath(.kdbx)

圖6. 解析KeePass

更新後的模組還會竊取它所稱的「珍貴檔案」,包括了私鑰(.ppk)、SSL憑證(.p12.pfx)和虛擬貨幣錢包檔案(.dat)。趨勢科技研究人員指出前三種類型的檔案可能在將來被用於針對性攻擊,而虛擬貨幣錢包檔案可能被用來針對內含的價值。

圖7. 「珍貴檔案」

該模組會找尋%USERPROFILE%\Documents%USERPROFILE%\Downloads%USERPROFILE%\.ssh內的.ppk.pfx.p12檔案,同時也會針對%APPDATA%\bitcoin%APPDATA%\litecoin內比特幣和萊特幣的.dat檔案。

趨勢科技解決方案

Trickbot因為其模組化的特質能夠(也肯定會)有繼續變化來加入其他功能,網路犯罪分子也肯定會想要利用新變種來獲利。為了應對此一挑戰,企業可以考慮外包給第三方的託管偵測及回應(MDR)安全服務,如趨勢科技的託管式XDR,它整合跨網路、端點、電子郵件、伺服器和雲端工作的偵測及回應功能來提供全面的能見度以及專家安全分析。組織還可以存取趨勢科技完整的知識庫,包括之前對Trickbot其他變種和其他類似複雜威脅的分析。

此外,企業可以採用多層次防護來消弭Trickbot等威脅所帶來的風險。趨勢科技的XGen安全防護技術提供跨世代的混合威脅防禦技術,可以保護系統抵禦各類型的威脅,包括銀行木馬、勒索病毒和虛擬貨幣挖礦病毒。它在端點網路伺服器以及閘道提供高保真機器學習(Machine learning,ML)功能,並且保護實體、虛擬和雲端的工作環境。使用網頁/網址過濾、行為分析和客製化沙盒等功能,XGen安全防護技術可以抵禦今日的各式威脅:繞過傳統安全防護;攻擊已知、未知或未披露的漏洞;竊取/加密個人身份資料等。精準、最佳化、環環相扣的XGen防護技術驅動著趨勢科技一系列的防護解決方案。

@原文出處:Trickbot’s Updated Password-Grabbing Module Targets More Apps, Services