TrickBot POS模組分析
前幾天研究人員發現TrickBot新增加了竊取使用者憑證的pwgrab32模組,近日研究人員又發現TrickBot加入了新的POS模組,使這款銀行木馬變得更加危險。POS模組會掃描受感染的計算機以確定是否連線支援POS服務或裝置的網路。
下面分析惡意軟體作者如何利用這些資訊,來入侵安裝了POS相關服務的網路。根據攻擊者的行為,研究人員認為這是為未來進一步入侵做資訊收集的準備。
psfin32模組
圖1. TrickBot新模組psfin32
psfin32是TrickBot新加入的POS提取模組,與之前加入的網路域名獲取模組類似,只是簡單修改來識別域名中與POS相關的專案。從域名控制器和基本賬戶中識別出POS服務,該模組可以使用LDAP/">LDAP查詢來訪問負責儲存網路中物件資訊的 ofollow,noindex">Active Directory Services (ADS) 。LDAP查詢會在 Global Catalog 中搜索含有以下字串的dnsHostName:
圖2. LDAP查詢字串搜尋
圖3. LDAP查詢機器搜尋
如果查詢不能解析請求的資訊,就執行其他賬戶或者物件的查詢:
sAMAccountName:用於支援Windows作業系統版本,如Windows NT 4.0, Windows 95, Windows 98, LAN Manager。
圖4. sAMAccountName使用者查詢
圖5. sAMAccountName組查詢
Site Name:
圖6. Site name查詢
Organizational Unit (OU):
圖7. OU查詢
除了域名控制器,惡意軟體還會使用UserAccountControl (UAC) 8192查詢網路中計算機的基本賬戶或使用者。
圖8.非域控制器查詢
TrickBot提取資訊後,會儲存到之前配置的log檔案中,並通過POST連線傳送到C2伺服器Dpost。如果C2伺服器不能訪問,就彈出“Dpost伺服器不可達”,否則彈出“報告成功傳送”。