欢迎来到 意彩彩票|官网Ⓐ
全国咨询热线: 400-666-5957
联系我们

地址: 山东省青岛市崂山区松岭路169号B座8层

电话:0532-67778000

传真:0532-67778100

邮编:266101

邮箱:wf1688@vip.sina.com

意彩彩票银行木马Trickbot新模块:密码抓取器分析
时间: 2018-04-11    浏览次数:

 意彩彩票

 

  Trickbot已经是一个简单的银行木马,曾经走过了漫长的道。跟着时间的推移,我们曾经看到收集犯罪若何继续为此恶意软件添加更多功能。

  Trickbot已经是一个简单的银行木马,曾经走过了漫长的道。跟着时间的推移,我们曾经看到收集犯罪若何继续为此恶意软件添加更多功能。

  恶意软件做者继续利用Trickbot的模块化布局 – 它可以或许通过从C&C办事器下载新模块来不竭更新本身,并更改其设置装备摆设,以便更新成熟的恶意软件。为了更好地领会这种,我们阐发了Trickbot的分歧模块,从我们本月看到的新的pwgrab32模块起头。

  图5. Trickbot代码的屏幕截图,其布局是从风行的Web浏览器窃取暗码

  该当留意的是,这个Trickbot变种不克不及从第三方暗码办理器使用法式中窃取暗码。我们正正在进一步研究这个恶意软件,看看它能否可以或许从具有浏览器插件的暗码办理器中窃取暗码。

  然后将文件setuplog.tmp复制到已发觉的计较机或系统的办理共享中。

  为了使恶意软件更具持久性,它具有从动启动办事,答应Trickbot正在机械启动时运转。此办事能够具有以下显示名称:

  图10.利用NetServerEnum标识域中工做坐和办事器的代码的屏幕截图

  我们还发觉,有利用“pysmb,”操纵NT LM 0.12查询旧版Windows操做系统和IPC股可能SMB和谈的实现。该当留意的是,这个功能似乎仍处于开辟阶段。

  Trickbot利用此加密模块扫描收集并窃取相关收集消息。它施行以下号令以收集相关受传染系统的消息:

  图14. networkDll32模块施行的用于收集收集消息的号令的屏幕截图

  Wormdll32是Trickbot用于通过SMB和LDAP查询本身的加密模块。它取模块“wormDll”一路用于正在收集上。

  一旦成功安拆正在系统中,Trickbot将收集系统消息,如操做系统,CPU和内存消息,用户帐户,已安拆法式和办事的列表。

  收集垃圾邮件勾当相关需求的电子邮件地址凡是是恶意软件行为,可是,Kryptos Research比来演讲说,Emotet银行木马不只是窃取电子邮件地址; 它还能够收集受Emotet传染的设备上通过Microsoft Outlook发送和领受的电子邮件。按照Brad Duncan之前的研究,Emotet 还担任向用户供给这款吸引暗码的Trickbot变体以及Azorult。

  此加密模块银行使用法式可能利用的网坐。它还用于利用反射DLL注入手艺将代码注入其方针历程。

  起首,当用户登录其名单上的任何受银行网坐时,如大通银行,花旗银行,美国银行,斯巴达银行,桑坦德银行,汇丰银行,帝国贸易银行(CIBC)和Metrobank,Trickbot将会向C&C办事器发送POST响应以提取用户的登录根据。

  其次,Trickbot用户能否拜候其列表中的某些银行相关网坐,例如C. Hoare&Co银行,圣詹姆斯广场银行和苏格兰皇家银行,并将用户沉定向到冒充收集垂钓网坐。

  银行URL Trickbot包罗来自美国,,英国,,,奥地利,,伦敦,和苏格兰的网坐。

  Trickbot凡是通过恶意垃圾邮件勾当发送。该恶意软件通过施行某些号令和点窜注册表项来禁用Microsoft的内置防病毒Windows Defender。

  此外,它还会终止取Windows Defender相关的历程,如MSASCuil.exe,MSASCui.exe和反间谍软件适用法式Msmpeng.exe。它还有一个从动启动机制(Msntcs),它正在系统启动时触发,并正在初次施行后每十分钟触发一次。

  恶意软件做者继续利用新模块更新Trickbot和Emotet等银行木马,使其更难以检测和冲击。用户和企业能够受益于利用多层方式来降低银行特洛伊木马等带来的风险的。

  趋向科技XGen™平安性供给跨代夹杂防御手艺,以系统免受各品种型的,包罗银行木马,软件和加密货泉挖掘恶意软件。它正在网关和端点上具有高保实的机械进修功能 ,能够物理,虚拟和云工做负载。借帮Web / URL过滤,行为阐发和自定义沙盒等功能,XGen平安能够抵御当今绕过保守节制的; 操纵已知,未知或未公开的缝隙; 窃取或加密小我身份数据; 或进意加密货泉挖掘。智能,优化和毗连,XGen平安性为趋向科技的套件供给支撑。


联系我们

地址:山东省青岛市崂山区松岭路169号B座8层

电话:0532-67778000

传真:0532-67778100

邮箱:wf1688@vip.sina.com

扫一扫关注
                                                    
网站地图 HTML | XML
Copyright ©  2012-2020 青岛意彩软件开发有限公司®  版权所有  鲁ICP备13005957号 Power by DedeCms