正(zheng)正(zheng)好(hao)好(hao)五(wu)年(nian)前,在2016年的(de)10月份,我(wo)們的網絡安(an)全解(jie)決方案(an)首次遇到了一個名為Trickbot(又稱TrickLoader或Trickster)的(de)木(mu)(mu)馬(ma)。當時主要是(shi)出現在家庭電腦上(shang),其主要任務是(shi)竊(qie)取網上(shang)銀(yin)(yin)行服(fu)務的(de)登(deng)錄憑證(zheng)。然而近期,木(mu)(mu)馬(ma)的(d����e)創(chuang)造(zao)者(zhe)正積極地將這個銀(yin)(yin)行木(mu)(mu)馬(ma)轉變為一個多功能的(de)模塊化工具。
另外,Trickbot如(ru)今(jin)在網絡犯罪集團中很(hen)火,它成為(wei)了一個(ge)向企業基礎設施注入第三方惡意軟件��������(jian)的載體(ti)(ti)。新聞機(ji)構最近報道說,Trickbot的作者已經(jing)與各������種新��������的合作伙伴勾結,利用該惡意軟件(jian)使企業基礎設施感(gan)染各種附加威脅,如(ru)Conti贖金軟件
這種病毒再利(li������)用(yong)可能對企業安全運營中心的員工和其(qi)他網絡安全專家造成額外的麻(ma)煩。一些安全解決方(fang)案仍然將Trickbot識別為銀行(xing)特洛伊木(mu)馬,也(ye)�������就是它(ta)的(de)原型(xing)。因此,檢測到它(ta)的(de)信息安全人員可(ke)能會把它(ta)視(shi)作一個意外溜進企業(ye)網絡(luo)的(de)隨機(ji)家庭用戶(hu)威脅。事實上,它(ta)的(de)存在可(ke)能預示著更嚴重的(de)問(wen)題--贖金軟件注(zhu)入企(qi)圖,甚至可能是有針對性的網絡間(jian)諜行動的一部分。
我們的(de)專(zhuan)家(jia)從該木(mu)馬的(de)一個C&C服務器上(shang)下載������了(le)模塊,并對它們進行了(le)徹(che)底的(de)分(����fen)析(xi)。
█ 目前Trickbot能做(zuo)什么
現(xian)今的Trickbot的(de)(de)主要(�����yao)目��������標是(shi)在本地(di)網絡中(zhong)滲透和(he)傳播。它的(de)(de)操作者可以(yi)利用它完成各種任務--從向第三方(fang)攻(gong)擊(ji)者轉(zhuan)售(shou)企業基礎設(she)施的訪問權,到竊取敏(mi����n)感數據。以(yi)下(xia)是該惡意軟件現(xian)在能(neng)做的事情:
攔截(jie)受感染計(ji)算機上的網絡流量;
通過VNC協議提(ti)供(gong)遠程設備控制;
從瀏覽器中竊(qie)取cookies;
從注冊表、各種應(ying)用程(cheng)序的數據庫和配置文件中提取登錄憑證(zheng),以及(ji)竊取私(si)鑰(���yao)、SSL證書(shu)和加(jia)密(mi)數(shu)字錢包的數(shu)據(ju)文件;
攔截瀏覽器的(de)自動填充數據和用戶(hu)在網站(zhan)上輸入的(de)表格信息;
掃描FTP和SFTP服務器上的文件;
在網頁中嵌入惡意腳本(ben);
通過本地代理重(zhong)定向(xiang)瀏(liu)覽器流量;
劫持負責證書(shu)鏈驗證的API,以欺騙驗(yan)證(zheng)結(jie)果(guo);
收集Outlook配(pei)置文件憑證,攔截Outlook中的電(dian)子(zi)郵件(jian)并通過其發送垃圾(ji)郵件(jian);
搜索(suo)OWA服務并(bing)對其進行暴力破解
獲得對(dui)硬件(jian)的低級別訪問;
在(zai)硬件層面上提(ti)供對計算機(ji)的訪問;
掃描域的(de)漏洞(dong);
查找(zhao)SQL服務器(qi)的地址并對其執(zhi)行搜索查詢;
通過(guo)EternalRomance和EternalBlue漏洞傳(chuan)播(bo);
關于這些模塊和入侵(qin)指(zhi)標的詳細描述,可以在我們的Securelist帖子上找到(dao)。
█ 如(ru)何防范Trickbot木馬
統計數據顯示,今年檢測到的大(da)部(bu)分Trickbot都(dou)是在美(mei)國(guo)(guo)、澳大利亞、中國(guo)(guo)、墨西哥和法國(guo)(guo)出現的(de)。然�����而,這并不意味著其(qi)他地區(qu)是安全的(de),特別(bie)是考慮到其(qi)創造(zao)者準(zhun)備與其(qi)他網絡罪犯合作(zuo��������)的(de)情況。
為(wei)了(l�����e)防(fang)止(zhi)你的(de)公(gong)(gong)司成為(wei)這種木馬的(de)受害者,我們建議你為(wei)所(suo)有面(mian)向互聯網(wang)的(de)設(she)備配備一個(ge)高質量的(de)安全解(jie)決方(fang)案。此外,使用(yong)網(wang)絡威脅(xie)監測服務來(lai)檢測公(gong)(gong)司基礎設(she)施中的(de)可(ke)疑(yi)活動也是個(ge)不錯的(de)選擇。
