在2018年11月份,趋势科技发现了一个带有密码抓取模块的Trickbot木马变种,它可以从大量的应用程序中窃取凭证。在今年1月份,趋势科技继续观察到了Trickbot的多个变种(如TrojanSpy.Win32.TRICKBOT.AZ和Trojan.Win32.MERETAM.AD),它们或多或少都具备一些新的能力。
显然,Trickbot的开发者并没有停止对它的更新。最近,趋势科技再次发现了一个Trickbot变种,新的“pwgrab”的模块为它带来了窃取远程工具凭证的能力。
感染链
图1. 最新Trickbot变种的感染链
技术分析
最新的Trickbot变种依旧通过垃圾电子邮件传播,电子邮件伪装成来自一些知名金融服务公司的税收激励通知。附件是一个内嵌恶意宏的Microsoft Excel电子表格(由趋势科技检测为Trojan.W97M.MERETAM.A),据称包含有关税收激励的详细信息。一旦恶意宏被激活,它就会在收件人的计算机上下载并部署Trickbot木马。
图2.垃圾电子邮件示例
图3. Microsoft Excel电子表格截图
趋势科技表示,这个Trickbot变种在很多方面都与他们在2018年11月份发现的变种非常相似。但是,它增加了三个新的功能,分别适用于虚拟网络计算(VNC),PuTTY(一款远程登录工具)和远程桌面协议(RDP)。
图4. 2018年11月(上)和2019年1月(下)Trickbot变种pwgrab模块的对比(新增了一些函数)
图5.发送RDP凭证的C&C流量
pwgrab模块新增的函数执行的技术之一通过XOR或SUB例程的简单修改版本对其使用的字符串进行加密。
图6. XOR例程(上)和SUB例程(下)字符串加密
此外,新变种还会使用经过哈希算法加密的API进行间接的API调用,这种能力原本属于Carberp木马,而该木马在2013年发生了源代码泄漏。
图7. Carberp源代码中的API组件
窃取VNC凭证
为了窃取VNC凭证,最新Trickbot变种的pwgrab模块使用了“*.vnc.lnk”来搜索位于下列文件夹中的“.vnc.lnk”文件:
%APPDATA%\Microsoft\Windows\Recent
%USERPROFILE%\Documents, %USERPROFILE%\Downloads
被窃取的信息包括目标计算机的主机名、端口和代理设置。
图8.在%USERPROFILE%\Downloads文件夹中搜索“.vnc.lnk”文件的示例
抓取到的数据将通过POST发送。其中,POST是通过使用文件名为“dpost”的下载配置文件来配置的。这个文件包含一份命令和控制(C&C)服务器列表,这些服务器被用于接收从受感染计算机窃取来的数据。
图9.被盗数据被发送到C&C服务器
窃取PuTTY凭证
为了抓取PuTTY凭证,最新Trickbot变种的pwgrab模块会通过查询注册表项Software\SimonTatham\Putty\Sessions来以标识已保存的连接设置,这允许pwgrab模块抓取主机名和用户名,以及用于身份验证的私钥文件等信息。
图10. 查询注册表(左),目标指向主机名、用户名和私钥文件(右)
窃取RDP凭证
它为了抓取已保存的RDP凭证,最新Trickbot变种使用了CredEnumerateA API。然后解析字符串“target=TERMSRV”,以提取每个RDP凭证保存的主机名、用户名和密码。
网友评论