Trickbot展示新技巧:密码抓取器模块
Trickbot是一个简单的银行木马
来源
分析Trickbot的模块
pwgrab32模块
Trickbot的新模块,名为pwgrab32或PasswordGrabber,窃取了来自Filezilla,Microsoft Outlook和WinSCP等应用程序的凭据。
图1.受影响系统中Trickbot新模块pwgrab32的屏幕截图
图2.从FileZilla窃取FTP密码的新模块代码的截屏
图3.窃取Microsoft Outlook凭据的新模块代码的屏幕截图
图4.从开源FTP WinSCP获取Trickbot密码的屏幕截图
除了从应用程序窃取凭据之外,它还从几个流行的Web浏览器窃取以下信息,例如Google Chrome,Mozilla Firefox,Internet Explorer和Microsoft Edge:
- 用户名和密码
- 互联网Cookies
- 浏览记录
- 自动填充
- HTTP帖子
图5. Trickbot代码的屏幕截图,其结构是从流行的Web浏览器中窃取密码
shareDll32模块
Trickbot使用shareDll32模块来帮助在整个网络中传播自己。它连接到C&C服务器http [:] // 185 [。] 251 [。] 39 [。] 251 / radiance [。] png以下载自身的副本并将其另存为setuplog.tmp。
图6. Trickbot的shareDll32模块允许它连接到C&C服务器以下载自身的副本
图7.下载的文件保存为setuplog.tmp
然后shareDll32模块使用WNetEnumResource和GetComputerNameW枚举和标识在同一域上连接的系统。
图8.使用WNetEnumResourceW和GetComputerNameW枚举和标识连接系统的代码的屏幕截图
然后将文件setuplog.tmp复制到已发现的计算机或系统的管理共享中。
图9.在管理共享中复制的setuplog.tmp的屏幕截图
为了使恶意软件更具持久性,它具有自动启动服务,允许Trickbot在机器启动时运行。
wormDll模块
wormDll32模块尝试使用NetServerEnum和LDAP查询识别网络中的服务器和域控制器。2017年,Flashpoint的安全研究人员首次观察到 Trickbot的蠕虫传播能力。
图10.使用NetServerEnum标识域中工作站和服务器的代码的屏幕截图
图11.使用LDAP查询标识网络中域控制器的代码的屏幕截图
图12.使用LDAP查询标识网络中不是域控制器的计算机的代码的屏幕截图
我们还发现使用“pysmb”可能实现SMB协议,利用NT LM 0.12查询旧版Windows操作系统和IPC共享。应该指出的是,这个功能似乎仍处于开发阶段。
图13. 显示SMB通信的代码的屏幕截图
networkDll32
Trickbot使用此加密模块扫描网络并窃取相关网络信息。它执行以下命令以收集有关受感染系统的信息:
图14. networkDll32模块为收集网络信息而执行的命令的屏幕截图
Wormdll32模块
Wormdll32是Trickbot用于通过SMB和LDAP查询传播自身的加密模块。它与模块“wormDll”一起用于在网络上传播。
importDll32模块
该模块负责窃取浏览器数据,例如浏览历史记录,Cookie和插件等。
systeminfo32模块
一旦成功安装在系统中,Trickbot将收集系统信息,如操作系统,CPU和内存信息,用户帐户,已安装程序和服务的列表。
mailsearcher32模块
此模块搜索受感染系统的文件以收集电子邮件地址以进行信息窃取。
收集垃圾邮件活动相关需求的电子邮件地址通常是恶意软件行为,但是,Kryptos Research最近 报告说,Emotet银行木马不只是窃取电子邮件地址; 它还可以收集受Emotet感染的设备上通过Microsoft Outlook发送和接收的电子邮件。根据Brad Duncan 先前的研究,Emotet 还负责向用户提供这款获取密码的Trickbot变体以及Azorult。
injectDll32模块
此加密模块监视银行应用程序可能使用的网站。它还用于使用反射DLL注入技术将代码注入其目标进程。
injectDll32监视银行相关网站的两种不同的凭证窃取方法:
首先,当用户登录其名单上的任何受监控银行网站时,如大通银行,花旗银行,美国银行,斯巴达银行,桑坦德银行,汇丰银行,加拿大帝国商业银行(CIBC)和Metrobank,Trickbot将会向C&C服务器发送POST响应以提取用户的登录凭据。
其次,Trickbot监控用户是否访问其列表中的某些银行相关网站,例如C. Hoare&Co银行,圣詹姆斯广场银行和苏格兰皇家银行,并将用户重定向到虚假网络钓鱼网站。
银行URL Trickbot监视器包括来自美国,加拿大,英国,德国,澳大利亚,奥地利,爱尔兰,伦敦,瑞士和苏格兰的网站。
Trickbot的其他值得注意的技巧
终止与Windows Defender相关的进程,如MSASCuil.exe,MSASCui.exe和反间谍软件实用程序Msmpeng.exe。它还有一个自动启动机制(Msntcs),它在系统启动时触发,并在首次执行后每十分钟触发一次。
反分析功能可以检查系统并在找到某些模块时自行终止,例如pstorec.dll,vmcheck.dll,wpespy.dll和dbghelp.dll。
Indicators of Compromise
Trickbot C&C servers
103[.]10[.]145[.]197:449
103[.]110[.]91[.]118:449
103[.]111[.]53[.]126:449
107[.]173[.]102[.]231:443
107[.]175[.]127[.]147:443
115[.]78[.]3[.]170:443
116[.]212[.]152[.]12:449
121[.]58[.]242[.]206:449
128[.]201[.]92[.]41:449
167[.]114[.]13[.]91:443
170[.]81[.]32[.]66:449
173[.]239[.]128[.]74:443
178[.]116[.]83[.]49:443
181[.]113[.]17[.]230:449
182[.]253[.]20[.]66:449
182[.]50[.]64[.]148:449
185[.]66[.]227[.]183:443
187[.]190[.]249[.]230:443
190[.]145[.]74[.]84:449
192[.]252[.]209[.]44:443
197[.]232[.]50[.]85:443
198[.]100[.]157[.]163:443
212[.]23[.]70[.]149:443
23[.]226[.]138[.]169:443
23[.]92[.]93[.]229:443
23[.]94[.]233[.]142:443
23[.]94[.]41[.]215:443
42[.]115[.]91[.]177:443
46[.]149[.]182[.]112:449
47[.]49[.]168[.]50:443
62[.]141[.]94[.]107:443
68[.]109[.]83[.]22:443
70[.]48[.]101[.]54:443
71[.]13[.]140[.]89:443
75[.]103[.]4[.]186:443
81[.]17[.]86[.]112:443
82[.]222[.]40[.]119:449
94[.]181[.]47[.]198:449
SHA256
TSPY_TRICKBOT.THOIBEAI:
806bc3a91b86dbc5c367ecc259136f77482266d9fedca009e4e78f7465058d16
Trickbot展示新技巧:密码抓取器模块的更多相关文章
- [转]使用Scrapy建立一个网站抓取器
英文原文:Build a Website Crawler based upon Scrapy 标签: Scrapy Python 209人收藏此文章, 我要收藏renwofei423 推荐于 11个月 ...
- 网页调试技巧:抓取马上跳转的页面POST信息或者页面内容
http://www.qs5.org/Post/625.html 网页调试技巧:抓取马上跳转的页面POST信息或者页面内容 2016/02/02 | 心得分享 | 0 Replies 有时候调试网页或 ...
- Linux下密码抓取神器mimipenguin
前有Mimikatz,今有mimipenguin,近日国外安全研究员huntergregal发布了工具mimipenguin,一款Linux下的密码抓取神器,可以说弥补了Linux下密码抓取的空缺. ...
- Python selenium自动化网页抓取器
(开开心心每一天~ ---虫瘾师) 直接入正题---Python selenium自动控制浏览器对网页的数据进行抓取,其中包含按钮点击.跳转页面.搜索框的输入.页面的价值数据存储.mongodb自动i ...
- windows密码抓取工具-mimikatz
前言 介绍一下windows的密码hash值的组成: Windows系统下的hash密码格式为:用户名称:RID:LM-HASH值:NT-HASH值,例如: Administrator::C8825D ...
- Java---网络蜘蛛-网页邮箱抓取器~源码
刚刚学完Socket,迫不及待的做了这个网页邮箱抓取~~~ 现在有越来越多的人热衷于做网络爬虫(网络蜘蛛),也有越来越多的地方需要网络爬虫,比如搜索引擎.资讯采集.舆情监测等等,诸如此类.网络爬虫涉及 ...
- Python数据抓取_BeautifulSoup模块的使用
在数据抓取的过程中,我们往往都需要对数据进行处理 本篇文章我们主要来介绍python的HTML和XML的分析库 BeautifulSoup 的官方文档网站如下 https://www.crummy.c ...
- Python_网络爬虫(新浪新闻抓取)
爬取前的准备: BeautifulSoup的导入:pip install BeautifulSoup4 requests的导入:pip install requests 下载jupyter noteb ...
- 图片抓取器web + winform
原文发布时间为:2009-11-21 -- 来源于本人的百度文章 [由搬家工具导入] 请先学习:http://hi.baidu.com/handboy/blog/item/bfef61000a67ea ...
随机推荐
- BZOJ2157 边转点 树链剖分
https://www.lydsy.com/JudgeOnline/problem.php?id=2157 现在就是后悔,非常后悔 本来想随便拿个树剖热身,不料开了个毒瘤题. 题意:动态维护一棵树上的 ...
- centos7下安装pip以及mysql等软件
1.安装pip 安装失败了的提示: No package pip available.Error: Nothing to do 解决方法: 需要先安装扩展源EPEL. EPEL(http://fedo ...
- CentOS7 yum安装、配置PostgreSQL 9.5
PostgreSQL 9.5安装 1.添加RPM yum install https://download.postgresql.org/pub/repos/yum/9.5/redhat/rhel-7 ...
- .gitignore无效的原因
有时候,我们编写gitinore后发现文件还是没有被忽略,这是什么原因呢? 熟知git的老鸟们可能已经知道,因为这个文件在之前已经被追踪了,如果想忽略已经被追踪的文件我们需要把这个追踪去除. 对所有文 ...
- MyEclipse项目中,让修改后的Servlet文件立即运行生效方法
运行的时候用Debug模式发布如图 java 自动生成get set方法的快捷键是什么? Re:在myeclipse中按住shift+alt+s选择 generate getters and sett ...
- Linux 内核中的数据结构:基数树(radix tree)
转自:https://www.cnblogs.com/wuchanming/p/3824990.html 基数(radix)树 Linux基数树(radix tree)是将指针与long整数键值相 ...
- BZOJ 4318 OSU!(概率DP)
题意 osu 是一款群众喜闻乐见的休闲软件. 我们可以把osu的规则简化与改编成以下的样子: 一共有n次操作,每次操作只有成功与失败之分,成功对应1,失败对应0,n次操作对应为1个长度为n的01串.在 ...
- LGV 算法 (Lindström–Gessel–Viennot lemma)
e(ai,bi)为从起点ai到终点bi的方案数.以上矩阵行列式结果就是(a1,a2,...an) 到 (b1,b2,...bn) 的所有不相交路径的种数. 具体证明的话看wiki,比较长.. 这个定理 ...
- hdu 6383
题意是说给定一个序列,能否通过任意次对部分数字 +1,对部分数字 -2的操作使得序列在满足全部非负且任意两元素的差值不超过1的前提下最小值最大,求最大值. 一开始的时候没有注意到整个序列全是非负数,还 ...
- Golang入门教程(九)复合数据类型使用案例二
参考:http://www.runoob.com/go/go-slice.html 目录 切片 字典(map) 函数(func) 接口(interface) 通道(chan) 四.切片(Slice) ...