正正好好五年前�����,在2016年的10月份���,我們的網(wǎng)絡安全解決方案首次遇到了一個名為Trickbot(又稱TrickLoader或Trickster)的木馬。當時主要是出現(xiàn)在家庭電腦上�����,其主要任務是竊取網(wǎng)上銀行服務的登錄憑證�。然而近期,木馬的創(chuàng)造者正積極地將這個銀行木馬轉(zhuǎn)變?yōu)橐粋多功能的模塊化工具���。
另外��,Trickbot如今在網(wǎng)絡犯罪集團中很火�����,它成為了一個向企業(yè)基礎設施注入第三方惡意軟件的載體�����。新聞機構(gòu)最近報道說�,Trickbot的作者已經(jīng)與各種新的合作伙伴勾結(jié),利用該惡意軟件使企業(yè)基礎設施感染各種附加威脅��,如Conti贖金軟件
這種病毒再利用可能對企業(yè)安全運營中心的員工和其他網(wǎng)絡安全專家造成額外的麻煩����。一些安全解決方案仍然將Trickbot識別為銀行特洛伊木馬,也就是它的原型�����。因此����,檢測到它的信息安全人員可能會把它視作一個意外溜進企業(yè)網(wǎng)絡的隨機家庭用戶威脅���。事實上,它的存在可能預示著更嚴重的問題--贖金軟件注入企圖����,甚至可能是有針對性的網(wǎng)絡間諜行動的一部分。
我們的專家從該木馬的一個C&C服務器上下載了模塊���,并對它們進行了徹底的分析���。
█ 目前Trickbot能做什么
現(xiàn)今的Trickbot的主要目標是在本地網(wǎng)絡中滲透和傳播。它的操作者可以利用它完成各種任務--從向第三方攻擊者轉(zhuǎn)售企業(yè)基礎設施的訪問權(quán)�����,到竊取敏感數(shù)據(jù)�。以下是該惡意軟件現(xiàn)在能做的事情:
攔截受感染計算機上的網(wǎng)絡流量;
通過VNC協(xié)議提供遠程設備控制��;
從瀏覽器中竊取cookies��;
從注冊表�����、各種應用程序的數(shù)據(jù)庫和配置文件中提取登錄憑證�,以及竊取私鑰、SSL證書和加密數(shù)字錢包的數(shù)據(jù)文件�����;
攔截瀏覽器的自動填充數(shù)據(jù)和用戶在網(wǎng)站上輸入的表格信息���;
掃描FTP和SFTP服務器上的文件�;
在網(wǎng)頁中嵌入惡意腳本�����;
通過本地代理重定向瀏覽器流量���;
劫持負責證書鏈驗證的API�,以欺騙驗證結(jié)果��;
收集Outlook配置文件憑證���,攔截Outlook中的電子郵件并通過其發(fā)送垃圾郵件�;
搜索OWA服務并對其進行暴力破解
獲得對硬件的低級別訪問�����;
在硬件層面上提供對計算機的訪問;
掃描域的漏洞�����;
查找SQL服務器的地址并對其執(zhí)行搜索查詢���;
通過EternalRomance和EternalBlue漏洞傳播�����;
關(guān)于這些模塊和入侵指標的詳細描述�,可以在我們的Securelist帖子上找到����。
█ 如何防范Trickbot木馬
統(tǒng)計數(shù)據(jù)顯示,今年檢測到的大部分Trickbot都是在美國����、澳大利亞、中國�、墨西哥和法國出現(xiàn)的�����。然而,這并不意味著其他地區(qū)是安全的�����,特別是考慮到其創(chuàng)造者準備與其他網(wǎng)絡罪犯合作的情況���。
為了防止你的公司成為這種木馬的受害者���,我們建議你為所有面向互聯(lián)網(wǎng)的設備配備一個高質(zhì)量的安全解決方案。此外��,使用網(wǎng)絡威脅監(jiān)測服務來檢測公司基礎設施中的可疑活動也是個不錯的選擇��。
