Trickbot木馬的新招數

Trickbot木馬的新招數

 

 

正好五年前,在2016年的10月份,我們的網路安全解決方案首次遇到了一個名為Trickbot(又稱TrickLoader或 Trickster)的木馬。 當時主要是出現在家庭電腦上,其主要任務是竊取網上銀行服務的登錄憑證。 然而近期,木馬的創造者正積極地將這個銀行木馬轉變為一個多功能的模組化工具。

 

另外,Trickbot如今在網絡犯罪集團中很火,它成為了一個向企業基礎設施注入第三方惡意軟體的載體。 新聞機構最近報導說,Trickbot的作者已經與各種新的合作夥伴勾結,利用該惡意軟體使企業基礎設施感染各種附加威脅,如Conti贖金軟體。

 

這種病毒再利用可能對企業安全運營中心的員工和其他網路安全專家造成額外的麻煩。 一些安全解決方案仍然將Trickbot識別為銀行特洛伊木馬,也就是它的原型。 因此,檢測到它的資訊安全人員可能會把它視作一個意外溜進企業網路的隨機家庭用戶威脅。 事實上,它的存在可能預示著更嚴重的問題–贖金軟體注入企圖,甚至可能是有針對性的網路間諜行動的一部分。

 

我們的專家從該木馬的一個C&C伺服器上下載了模組,並對它們進行了徹底的分析。

 

目前Trickbot能做什麼

 

現今的Trickbot的主要目標是在本地網路中滲透和傳播。 它的操作者可以利用它完成各種任務–從向第三方攻擊者轉售企業基礎設施的訪問權,到竊取敏感數據。 以下是該惡意軟體現在能做的事情:

 

  • 攔截受感染計算機上的網路流量;
  • 透過VNC協定提供遠端裝置控制;
  • 從瀏覽器中竊取cookies;
  • 從註冊表、各種應用程式的資料庫和設定檔中提取登錄憑證,以及竊取私鑰、SSL證書和加密數位錢包的數據檔;
  • 攔截瀏覽器的自動填充數據和用戶在網站上輸入的表格資訊;
  • 掃描FTP和SFTP伺服器上的檔案;
  • 在網頁中嵌入惡意文稿;
  • 通過本地代理重定向瀏覽器流量;
  • 劫持負責證書鏈驗證的API,以欺騙驗證結果;
  • 收集Outlook設定檔憑證,攔截Outlook中的電子郵件並通過其發送垃圾郵件;
  • 搜尋OWA服務並對其進行暴力破解;
  • 獲得對硬體的低級別訪問;
  • 在硬體層面上提供對計算機的訪問;
  • 掃描域的漏洞;
  • 尋找SQL伺服器的位址並對其執行搜尋查詢;
  • 透過EternalRomance和EternalBlue漏洞傳播;

 

關於這些模組和入侵指標的詳細描述,可以在我們的Securelist帖子上找到。

 

如何防範Trickbot木馬

統計數據顯示,今年檢測到的大部分Trickbot都是在美國、澳大利亞、中國、墨西哥和法國出現的。 然而,這並不意味著其他地區是安全的,特別是考慮到其創造者準備與其他網路罪犯合作的情況。

 

為了防止你的公司成為這種木馬的受害者,我們建議你為所有面向互聯網的設備配備一個高品質的安全解決方案。 此外,使用網絡威脅監測服務來檢測公司基礎設施中的可疑活動也是個不錯的選擇。

 

Comments are closed.

Proudly powered by WordPress | Theme: Baskerville 2 by Anders Noren.

Up ↑

%d 位部落客按了讚: