太阳集团2138备用网址

  • 防弹少年团金泰亨蓝发登各国热搜 玩儿转红粉金黑棕各种发色实力演绎“有颜任性”【组图】 2019-04-25
  • 龙烨为袁竹逍遥画派配画诗欣赏之三 2019-04-25
  • 因应增值税下调 多个豪车品牌在华降价 2019-04-25
  • “小屏论”话两会:“习语”暖人心 2019-04-25
  • 低价 贴心 保障 国美3.15,为消费者保驾护航低价贴心保障 国美315,为消费者保驾护航-国美 2019-04-25
  • 中央政治局同志向党中央和习近平总书记述职 2019-04-25
  • China Daily Website 2019-04-25
  • 【守护好我们的美丽家园】新疆的明天一定会更好 2019-04-25
  • 22年后紫霞仙子归来 可至尊宝已经不是他了 2019-04-25
  • 【独家V观】你好 意大利 2019-04-25
  • 合肥一文化公司人去楼空老板跑路 老人购买保健品被骗上万元 2019-04-25
  • 北京二手房交易实现一网通办 20分钟就办完 ——凤凰网房产北京 2019-04-25
  • NBA史上最牛的9大名帅 波波在这里只能排倒三 2019-04-25
  • 《阿丽塔》要和《流浪地球》抢票房 2019-04-24
  • 百城住宅均价环比涨幅持续收窄 变化大多在1%内 2019-04-24
  • 欢迎来到 黑吧太阳集团2138备用网址 是业内专业的游戏平台,为你提供各式各样的精品游戏,最全的游戏项目,同时还为您提供各种游戏专题游戏攻略人气论坛。

    Trickbot加入远程应用凭证窃取功能

    来源:本站整理 作者:佚名 时间:2019-02-21 TAG: 我要投稿

    太阳集团2138备用网址 www.r-island.com 2018年11月,Trend Micro研究人员发现一个含有密码窃取模块的Trickbot变种,该密码窃取模块可以从大量的应用中窃取凭证。2019年1月,研究人员发现一个加入了多个功能的Trickbot变种,但恶意软件开发者并没有更新Trickbot,而是使用了一个更新了可以窃取远程应用凭证的pwgrab模块。
    感染链

    图1. 恶意软件感染链
    技术分析
    恶意软件是通过伪装为来自主要金融服务公司的税收激励通知的邮件进行传播的。邮件含有一个启用宏的Excel附件,其中含有税收激励的细节。附件中的宏文件是恶意的,应用激活后会在用户机器上下载和应用Trickbot。
     

    图2. 含有启用了恶意宏的附件的垃圾邮件
     

    图3. 附件中的文档截图
    Trickbot变种于研究人员在2018年11月发现的变种非常相似。但2019年版本的变种加入了3个功能,分别对应Virtual Network Computing (VNC), PuTTY, 和Remote Desktop Protocol (RDP)平台。
     

    图4. 2018年11月(上)和2019年1月(下)pwgrab模块比较

    图5. C&C流量和发送的RDP凭证
    这些函数使用的技术包含通过XOR或SUB对字符串进行加密。

    图6. XOR (上) 和SUB(下)字符串加密
    恶意软件为非直接的API调用使用API哈希,这归属于2013年Carberp木马的源码泄露。
     

    图7. Carberp源码中的API哈希
    VNC
    为了获取VNC凭证,pwgrab模块会使用位于以下目录的*.vnc.lnk来搜索文件:
    %APPDATA%\Microsoft\Windows\Recent
    %USERPROFILE%\Documents, %USERPROFILE%\Downloads
    窃取的信息目标机器的主机名、端口和代理设置。
     

    图8. Pwgrab在%USERPROFILE%\Downloads目录定位vnc.lnk文件
    该模块会通过POST发送必须的数据,使用文件名dpost的下载的配置文件进行配置。该文件含有C2服务器会接收来自受害者的窃取数据。
     

    图9. 发送给C2服务器的窃取的数据
    PuTTY
    为了提取PuTTY凭证,恶意软件会查询注册表Software\SimonTatham\Putty\Sessions来识别保存的连接设置,这允许模块来提取Hostname, Username, Private Key Files等用于认证的文件。

    图10.用于Putty数据窃取的注册表遍历(左)、显示hostname, username 和Private Key Files的代码(右)
    RDP
    第三个功能于RDP有关,使用CredEnumerateA API来识别和窃取保存的凭证。然后恶意软件会分析字符串target=TERMSRV来确定每个RDP凭证保存的主机名、用户名和密码。
    总结
    Trickbot中加入的功能也表明许多恶意软件作者增强功能的创新战略:对原有恶意软件的不断进化。这些变种一般都是不断加入新的小功能,并没有什么突破性,这也说明Trickbot背后的组织和个人并不完全依赖于Trickbot并且不断地进化该恶意软件,使具有威胁的恶意软件更加高效。
     

    【声明】:太阳集团2138备用网址(http://www.r-island.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@www.r-island.com,我们会在最短的时间内进行处理。
    • 最新更新
      • 相关阅读
        • 本类热门
          • 最近下载