幽灵间谍:“TrickBot”新变种运用“无文件”技术发起攻击

0x1 媒介

近日,360互联网安然中间捕捉到一例“TrickBot”银行木马新变种。相对照以前呈现过的“TrickBot”银行木马,该新变种进击历程中无任何文件落地,包括载荷下载、窃密、屏幕截图在内的所用功能都由一段PowerShell敕令完成。

“TrickBot”银行木马最早呈现于2016岁尾,主要经由过程挂马网页、钓鱼文档传播,进入受害者谋略机后偷取谋略机中邮箱密码、浏览器中存储的网站凭据等敏感数据,注入浏览器偷取网银帐户密码,窃取受害者资产。

0x2 新变种运用“无文件”进击技巧

以前的“TrickBot”银行木马一样平常经由过程带有恶意宏的Office文档启动PowerShell利用法度榜样下载载荷到本地履行,这么做会导致载荷文件落地,一旦载荷文件被杀毒软件查杀进击即宣告掉败。图1展示了以前的“TrickBot”变种进击流程

图1 以前的“TrickBot”变种进击流程

捕获的“TrickBot”新变种简化了进击流程,去掉落了载荷开释这一步骤,所用功能都由一段PowerShell敕令行履行。如斯一来进击流程中无文件落地,低落了被杀毒软件查杀的风险。图二展示了捕获到的“TrickBot”新变种进击流程。

图2 “TrickBot”新变种进击流程

0x3 新变种所有功能由一段PowerShell敕令完成

当用户打开带有恶意宏的Office文档时,文档履行如图3所示的PowerShell敕令。

图3 恶意宏履行的PowerShell敕令

这段敕令使PowerShell从hxxp://162.244.32.185/jquery.js读取另一段PowerShell敕令履行。这段敕令中包孕两段Shellcode,第一段Shellcode是一个用C#说话编写的反射注入Dll,第二段Shellcode用于完成窃密等功能。

图4 履行的PowerShell敕令

值得一提的是,在这段PowerShell敕令中调用了[OqkZsI7.OqkZsI7]类的成员函数Ck2Ya和WETJLKk2r1而未见到[OqkZsI7.OqkZsI7]类的声明。这实际上是对PowerShell内嵌.NET Framework机动利用。在Powershell中可以应用.NET Framework的类库,也可以应用C#说话的语法定义并履行函数。这段Powershell敕令中并未直接写入.NET代码,而是经由过程反射注入的要领将C#说话编写的dll(第一段Shellcode)载入内存,Dll中对[OqkZsI7.OqkZsI7]类进行声明,并供给Ck2Ya、WETJLKk2r1等成员函数供PowerShell应用。

图5 “TrickBot”新变中对.NET Framework类的调用

这个反射注入Dll主要认真字符串的加解密事情,此中Ck2Ya函数输出的部分字符串将与hxxp://162.244.32.185拼接获得下阶段载荷地址或者偷取数据的上传地址,而iputY7e函数输出的字符串将作为Shellcode被TLybhcYk0k函数履行。可惜的是,下阶段载荷已经无法下载。

图6 PowerShell敕令履行反射注入Dll函数历程

第二段Shellcode则是完成TrickBot的主要功能,包括获取系统信息、获取Outlook邮箱帐户和密码以及上传屏幕截图。这些功能都由PowerShell完成。

图7 获取系统信息

图8 偷取Outlook邮箱帐户及密码

图9 屏幕截图并上传

0x4 防护建议

银行木马大年夜部分经由过程垃圾邮件传播,一样平常以“Request order”、“Confirm Invoice”这类与“订单”、“付款单”相关的字样作为邮件标题,若收到这类标题的邮件时先确定发件人身份再抉择是否打开邮件中的附件查看。

“TrickBot”银行木马一样平常经由过程宏履行恶意功能,而宏是默认禁用的。当接管到未知滥觞的Office文档时,切切不要启用宏。

安装360安然卫士拦截此类型的进击。

赞(0) 打赏
分享到: 更多 (0)
免责申明:本站所有资料均来自于网络,版权归原创者所有!本站不提供任何保证,不保证真实性,并不承担任何法律责任

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

阿里云优惠网 更专业 更优惠

阿里云优惠券阿里云大礼包