Bankacılık Truva Atı Trickbot'un yeni modülü: parola yakalayıcının analizi
Trickbot, basit bir bankacılık Truva atıydı ve uzun bir yol kat etti. Zamanla, siber suçluların bu kötü amaçlı yazılıma daha fazla özellik eklemeye devam ettiğini gördük.
Geçen yıl Mart ayında, Trickbot yeni bir modül ekledi, algılama önleme ve ekran kilidi işlevleri ekledi. Bu ay, Trickbot'un (Trend Micro tarafından TSPY_TRICKBOT.THOIBEAI olarak tespit edildi) artık Microsoft Outlook, Filezilla, WinSCP, Google gibi birden çok uygulama ve tarayıcıya erişimi çalabilen bir parola yöneticisi modülüne (pwgrab32) sahip olduğunu gördük. Chrome, Mozilla Firefox, Internet Explorer ve Microsoft Edge. Telemetri teknolojimize dayanarak, bu Trickbot varyantının esas olarak Birleşik Devletler, Kanada ve Filipinler'deki kullanıcıları etkilediğini gördük.
Trickbot'un modüllerini analiz edin
Kötü amaçlı yazılım yazarları Trickbot'un modüler yapısını kullanmaya devam ediyor - C&C sunucusundan yeni modüller indirerek kendisini sürekli olarak güncelleyebilir ve olgunlaşmış kötü amaçlı yazılımı güncellemek için yapılandırmasını değiştirebilir. Bu tehdidi daha iyi anlamak için, bu ay gördüğümüz yeni pwgrab32 modülünden başlayarak Trickbot'un farklı modüllerini analiz ettik.
pwgrab32 modülü
Trickbot'un pwgrab32 veya PasswordGrabber adlı yeni modülü, Filezilla, Microsoft Outlook ve WinSCP gibi uygulamalardan kimlik bilgilerini çalıyor.
Şekil 1. Etkilenen sistemdeki yeni Trickbot modülü pwgrab32'nin ekran görüntüsü
Şekil 2. FTP şifrelerini FileZilla'dan çalmak için yeni modül kodunun ekran görüntüsü
Şekil 3. Microsoft Outlook kimlik bilgilerini çalan yeni modülün kodunun ekran görüntüsü
Şekil 4. Açık kaynak FTP WinSCP'den elde edilen Trickbot şifresinin ekran görüntüsü
Uygulamalardan kimlik bilgilerini çalmanın yanı sıra, aşağıdaki bilgileri Google Chrome, Mozilla Firefox, Internet Explorer ve Microsoft Edge gibi birkaç popüler web tarayıcısından da çalar:
Kullanıcı adı ve şifre İnternet çerezi göz atma geçmişi otomatik doldurma HTTP gönderisi
Şekil 5. Popüler web tarayıcılarından şifreleri çalmak için yapılandırılmış Trickbot kodunun ekran görüntüsü
Bu Trickbot varyantının üçüncü taraf şifre yöneticisi uygulamalarından şifreleri çalamayacağı unutulmamalıdır. Tarayıcı eklentilerine sahip şifre yöneticilerinden şifreleri çalıp çalamayacağını görmek için bu kötü amaçlı yazılımı daha ayrıntılı olarak araştırıyoruz.
shareDll32 modülü
Trickbot, ağa yayılmasına yardımcı olmak için shareDll32 modülünü kullanır. Kendisinin bir kopyasını indirmek ve setuplog.tmp olarak kaydetmek için C&C sunucusuna bağlanır.
Şekil 6. Trickbotun shareDll32 modülü, kendisinin bir kopyasını indirmek için C&C sunucusuna bağlanmasına izin verir
Şekil 7. İndirilen dosya setuplog.tmp olarak kaydedilir.
Daha sonra, shareDll32 modülü, aynı etki alanına bağlı sistemleri numaralandırmak ve tanımlamak için WNetEnumResource ve GetComputerNameW kullanır.
Şekil 8. Bağlı sistemleri numaralandırmak ve tanımlamak için WNetEnumResourceW ve GetComputerNameW kullanan kodun ekran görüntüsü
Daha sonra setuplog.tmp dosyasını keşfedilen bilgisayarın veya sistemin yönetici paylaşımına kopyalayın.
Şekil 9. Yönetim paylaşımına kopyalanan setuplog.tmp ekran görüntüsü
Kötü amaçlı yazılımı daha kalıcı hale getirmek için, Trickbot'un makine başladığında çalışmasına izin veren bir otomatik başlatma hizmetine sahiptir. Bu hizmet aşağıdaki görünen adlara sahip olabilir:
Service Technology Service_Techno2 Process, Service 2Technoservices Gelişmiş Mesaj Teknolojisi Servis HizmetiTechno5wormDll modülü
WormDll32 modülü, ağdaki sunucuları ve etki alanı denetleyicilerini tanımlamak için NetServerEnum ve LDAP sorgularını kullanmaya çalışır. Flashpoint güvenlik araştırmacıları 2017 yılında, Trickbot'un solucan yayılma yeteneğini ilk kez gözlemledi.
Şekil 10. Etki alanındaki iş istasyonlarını ve sunucuları tanımlamak için NetServerEnum kullanan kodun ekran görüntüsü
Şekil 11. Ağdaki etki alanı denetleyicisini tanımlayan kodu sorgulamak için LDAP kullanmanın ekran görüntüsü
Şekil 12. Ağdaki, etki alanı denetleyicileri olmayan bilgisayarları tanımlamak için LDAP sorgusunu kullanan kodun ekran görüntüsü
Windows işletim sisteminin eski sürümünü ve IPC paylaşımlarını sorgulamak için NT LM 0.12 kullanan "pysmb" kullanan SMB protokolünün olası uygulamaları olduğunu da bulduk. Bu özelliğin hala geliştirilme aşamasında olduğu unutulmamalıdır.
Şekil 13. Olası SMB iletişim kodunu gösteren ekran görüntüsü
networkDll32
Trickbot, ağı taramak ve ilgili ağ bilgilerini çalmak için bu şifreleme modülünü kullanır. Virüs bulaşmış sistem hakkında bilgi toplamak için aşağıdaki komutları yürütür:
Şekil 14. Ağ bilgilerini toplamak için networkDll32 modülü tarafından yürütülen komutun ekran görüntüsü
Wormdll32 modülü
Wormdll32, Trickbot tarafından SMB ve LDAP sorguları aracılığıyla kendisini yaymak için kullanılan bir şifreleme modülüdür. Ağa yayılmak için "wormDll" modülü ile birlikte kullanılır.
importDll32 modülü
Bu modül, tarama geçmişi, çerezler ve eklentiler gibi tarayıcı verilerinin çalınmasından sorumludur.
systeminfo32 modülü
Sisteme başarıyla kurulduktan sonra, Trickbot işletim sistemi, CPU ve bellek bilgileri, kullanıcı hesapları, yüklü programların ve hizmetlerin listesi gibi sistem bilgilerini toplayacaktır.
mailsearcher32 modülü
Bu modül, bilgi hırsızlığı için e-posta adreslerini toplamak için virüslü sistemdeki dosyaları arar.
İstenmeyen posta kampanyalarıyla ilgili e-posta adreslerini toplamak genellikle kötü amaçlı bir etkinliktir, ancak Kryptos Research yakın zamanda Emotet bankacılık Truva Atı'nın yalnızca e-posta adreslerini çalmadığını bildirdi; aynı zamanda Emotet bulaşmış cihazlarda Microsoft Outlook aracılığıyla gönderilen ve alınan e-posta adreslerini de toplayabildiğini bildirdi. e-posta. Brad Duncan'ın önceki araştırmasına göre, Emotet, kullanıcılara Trickbot ve Azorult'un bu çekici şifre varyantını sağlamaktan da sorumlu.
injectDll32 modülü
Bu şifreleme modülü, bankacılık uygulamaları tarafından kullanılabilecek web sitelerini izler. Ayrıca yansıtıcı DLL enjeksiyon teknolojisini kullanarak hedef sürecine kod enjekte etmek için kullanılır.
injectDll32, banka ile ilgili web siteleri için iki farklı kimlik bilgisi hırsızlığı yöntemini izler:
Birincisi, kullanıcılar listelerinde Chase Bank, Citibank, Bank of America, Spartan Bank, Santander, HSBC, CIBC ve Metrobank, Trickbot gibi izlenen herhangi bir banka web sitesinde oturum açtığında Kullanıcının oturum açma kimlik bilgilerini çıkarmak için C&C sunucusuna bir POST yanıtı gönderilecektir.
İkinci olarak, Trickbot, kullanıcıların listesindeki C. Hoare & Co Bank, St James Square Bank ve Royal Bank of Scotland gibi bankayla ilgili belirli web sitelerini ziyaret edip etmediklerini izler ve kullanıcıları sahte kimlik avı web sitelerine yönlendirir.
Banka URL Trickbot izleme, Amerika Birleşik Devletleri, Kanada, Birleşik Krallık, Almanya, Avustralya, Avusturya, İrlanda, Londra, İsviçre ve İskoçya'dan web sitelerini içerir.
Trickbot'un diğer önemli numaraları
Trickbot genellikle kötü amaçlı spam kampanyaları aracılığıyla gönderilir. Kötü amaçlı yazılım, belirli komutları çalıştırarak ve kayıt defteri girdilerini değiştirerek Microsoft'un yerleşik virüsten koruma yazılımı Windows Defender'ı devre dışı bırakır.
Ek olarak, MSASCuil.exe, MSASCui.exe ve casus yazılım önleme yardımcı programı Msmpeng.exe gibi Windows Defender ile ilgili işlemleri sonlandırır. Ayrıca, sistem başlatıldığında ve ilk çalıştırmadan sonra her on dakikada bir tetiklenen otomatik bir başlatma mekanizmasına (Msntcs) sahiptir.
Aşağıdaki kötü amaçlı yazılımdan koruma hizmetlerini devre dışı bırakır:
MBamService (Malwarebytes ile ilgili süreç) SAVService (Sophos AV ile ilgili süreç)Anti-analiz işlevi sistemi kontrol edebilir ve pstorec.dll, vmcheck.dll, wpespy.dll ve dbghelp.dll gibi belirli modüller bulunduğunda kendini sonlandırabilir.
Trickbotun becerilerini savunma: Trend Micro çözümleri
Kötü amaçlı yazılım yazarları, Trickbot ve Emotet gibi bankacılık Truva atlarını güncellemek için yeni modüller kullanmaya devam ederek tespit edilmesini ve bunlarla mücadele edilmesini zorlaştırıyor. Kullanıcılar ve işletmeler, bankacılık Truva atları gibi tehditlerin oluşturduğu riskleri azaltmak için birden çok koruma katmanının kullanımından yararlanabilir.
Trend Micro XGen Security, sistemi bankacılık Truva Atları, fidye yazılımları ve kripto para madenciliği kötü amaçlı yazılımları dahil olmak üzere çeşitli tehdit türlerinden korumak için nesiller arası hibrit tehdit savunma teknolojisi sağlar. Fiziksel, sanal ve bulut iş yüklerini korumak için ağ geçitlerinde ve uç noktalarda yüksek doğrulukta makine öğrenimi özelliklerine sahiptir. Web / URL filtreleme, davranış analizi ve özel korumalı alan yardımıyla XGen Security, geleneksel kontrolleri atlayan, bilinen, bilinmeyen veya ifşa edilmeyen güvenlik açıklarından yararlanan, kişisel kimlik verilerini çalabilen veya şifreleyen veya kötü amaçlı şifreleme gerçekleştiren günümüz tehditlerine karşı koyabilir. Döviz madenciliği. Akıllı, optimize edilmiş ve bağlantılı XGen güvenliği, Trend Micro'nun ürün paketine güç verir.
Uzlaşma göstergeleri
ip
103.10.145.197:449
103.110.91.118:449
103.111.53.126:449
107.173.102.231:443
107.175.127.147:443
115.78.3.170:443
116.212.152.12:449
121.58.242.206:449
128.201.92.41:449
167.114.13.91:443
170.81.32.66:449
173.239.128.74:443
178.116.83.49:443
181.113.17.230:449
182.253.20.66:449
182.50.64.148:449
185.66.227.183:443
187.190.249.230:443
190.145.74.84:449
192.252.209.44:443
197.232.50.85:443
198.100.157.163:443
212.23.70.149:443
23.226.138.169:443
23.92.93.229:443
23.94.233.142:443
23.94.41.215:443
42.115.91.177:443
46.149.182.112:449
47.49.168.50:443
62.141.94.107:443
68.109.83.22:443
70.48.101.54:443
71.13.140.89:443
75.103.4.186:443
81.17.86.112:443
82.222.40.119:449
94.181.47.198:449
SHA256
TSPY_TRICKBOT.THOIBEAI:
806bc3a91b86dbc5c367ecc259136f77482266d9fedca009e4e78f7465058d16
* Yazar: bingbingxiaohu, lütfen FreeBuf.COM'dan belirtin.
