太阳集团2138备用网址

  • “12326”民航服务质量监督电话正式开通 2019-04-23
  • 中铁佰和佰樂金婚盛典2017重阳节完美绽放 2019-04-23
  • 保护长江生态环境今年主抓8方面工作——生态环境部部长李干杰回应生态环境保护热点问题 2019-04-23
  • 新疆台办开展走访慰问台商台企活动 2019-04-23
  • 标致301优惠1.5万起 时尚代步经济全面 2019-04-23
  • 欢迎进入红色轨迹党史网站 2019-04-23
  • 【华商侃车NO.28】重磅!为什么315这么多车主维权? 2019-04-23
  • “上会神器”造型各异! 2019-04-23
  • 曾经赫赫有名如今艰难生存:华硕的解药到底在哪儿? 2019-04-23
  • 全国政协常委吴晶倡议:唱响《国歌》 激发爱国情怀【图文】 2019-04-23
  • 首届青运会开幕式文体表演简约而不简单 2019-04-23
  • 中国法学会第八次全国会员代表大会在京开幕 2019-04-23
  • 我是谁?我是海关关员 2019-04-23
  • “立委”南北辅选? 韩國瑜:要看时间 2019-04-22
  • 中国—东盟时装周上演马来西亚设计师婚纱礼服秀 2019-04-22
  • 欢迎来到 黑吧太阳集团2138备用网址 是业内专业的游戏平台,为你提供各式各样的精品游戏,最全的游戏项目,同时还为您提供各种游戏专题游戏攻略人气论坛。

    “蛛”联璧合?LUNAR SPIDER活动中发现WIZARD SPIDER的TrickBot定制模块

    来源:本站整理 作者:佚名 时间:2019-02-21 TAG: 我要投稿

    太阳集团2138备用网址 www.r-island.com 2019年2月7日,CrowdStrike Intelligence发现了一个对WIZARD SPIDER恶意组织的TrickBot恶意软件进行分发的新活动,此次活动来自LUNAR SPIDER恶意组织,其特殊之处在于,这是迄今为止首次在LUNAR SPIDER的活动中发现此类TrickBot模块的变体。
    WIZARD SPIDER是TrickBot银行恶意软件的俄罗斯运营商,迄今为止一直处于不断发展的阶段,GRIM SPIDER疑似为WIZARD SPIDER威胁组织的所属小组。而LUNAR SPIDER恶意组织则是东欧商品银行恶意软件的开发和运营商,其名下的恶意软件BokBot(又名IcedID)于2017年4月首次出现。BokBot恶意软件通过使用webinjects和恶意软件分发功能,让LUNAR SPIDER在凭证盗窃和电信欺诈上大展拳脚。
    2017年7月,CrowdStrike Intelligence首次确认了涉及BokBot和TrickBot的活动。在这些活动中,受BokBot感染的机器发出了下载和执行TrickBot有效载荷的命令。自那时起,BokBot和TrickBot之间的关系便一直断断续续,而最近的这次活动可能标志着两者关系进入了一个更为“亲密”的阶段。
    TrickBot的分发
    2019年2月7日,LUNAR SPIDER的BokBot(项目ID C610DF9A)被观测到从http://tfulf[.]host/ sw9hjxzq.exe处下载并执行了一个加载器,该定制的加载器随后从http://185.68.93[.]30/sin.png处下载了一个TrickBot加载器。此样本的配置文件表明它是TrickBot的1000351版本并且属于组标(gtag)为sin2的组。前缀为sin的组标是先前前缀为mom的组标的继任,与此次LUNAR SPIDER活动相关。
    完整的TrickBot配置文件,包括命令和控制(C2)服务器,如下所示。
         1000351
         sin2
        
              185.246.64[.]237:443
              68.119.85[.]138:449
              65.184.200[.]184:449
              185.62.188[.]30:443
              96.36.253[.]146:449
              92.38.135[.]33:443
              24.247.181[.]155:449
              31.131.22[.]212:443
              208.79.106[.]155:449
              192.227.204[.]224:443
              124.29.213[.]74:449
              46.100.14[.]215:449
              190.109.178[.]222:449
              103.47.168[.]172:449
              208.79.110[.]201:449
              204.14.154[.]126:449
              103.47.168[.]72:449
              103.47.168[.]91:449
              46.21.249[.]220:443
              107.146.147[.]235:449
              185.62.188[.]30:443
              68.111.123[.]100:449
              103.47.169[.]27:449
              24.247.182[.]240:449
              36.91.74[.]138:449
              125.209.82[.]158:449
              76.107.90[.]235:449
              47.224.98[.]123:449
              185.222.202[.]79:443
              24.247.182[.]253:449
              216.17.92[.]138:449
              199.21.106[.]189:449
              208.79.106[.]213:449
              24.247.182[.]253:449
              136.25.2[.]43:449
              181.129.93[.]226:449
              170.79.176[.]242:449
        
        
             
             
             
        
    修改后的TrickBot模块
    此次活动遵循了先前的模式,利用BokBot协助传播TrickBot。不过,最有趣的部分是定制加载器是嵌入式base64编码的可移植可执行(PE)文件,如图1所示。

    图1. Base64编码的PE文件
    嵌入的PE文件由定制加载器提取,然后解码并执行。分析表明,解码后的PE文件实际上是TrickBot横向移动模块shareDll的修改版本。通常,TrickBot模块以动态链接库(DLL)的形式下载,并提供一组名为Start、Control和Release的导出标准集。然后此DLL将被注入到一个TrickBot模块化框架内的子svcho .exe进程中。但是,在没有此框架的情况下,BokBot分发的shareDll模块是一个PE文件。

    [1] [2]  下一页

    【声明】:太阳集团2138备用网址(http://www.r-island.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@www.r-island.com,我们会在最短的时间内进行处理。