Trickbot新变种分析教学文档<\/h1>

1. Trickbot概述<\/h2>
Trickbot是一种模块化银行木马，最初作为简单的银行恶意软件出现，但不断被犯罪分子添加新功能。它具有高度模块化的结构，可以通过从C2服务器下载新模块来快速更新功能。<\/p>

2. Trickbot模块分析<\/h2>

2.1 pwgrab32模块（密码抓取模块）<\/h3>

功能<\/strong>：<\/p>

从各种应用程序窃取凭证<\/li>
从主流浏览器窃取敏感信息<\/li> <\/ul>
窃取目标<\/strong>：<\/p>

应用程序：

Filezilla<\/li>
Microsoft Outlook<\/li>
WinSCP<\/li> <\/ul> <\/li>
浏览器：

Google Chrome<\/li>
Mozilla Firefox<\/li>
Internet Explorer<\/li>
Microsoft Edge<\/li> <\/ul> <\/li> <\/ul>
窃取内容<\/strong>：<\/p>

用户名和密码<\/li>
浏览器Cookies<\/li>
浏览历史<\/li>
自动填充数据<\/li>
HTTP POST数据<\/li> <\/ul>
限制<\/strong>：<\/p>

不能从第三方密码管理器窃取密码<\/li>
可能无法窃取带有浏览器插件的密码管理器数据<\/li> <\/ul>
2.2 shareDll32模块（网络传播模块）<\/h3>
传播机制<\/strong>：<\/p>

连接到C2服务器下载副本（示例URL：http[:]\/\/185[.]251[.]39[.]251\/radiance[.]png）<\/li>
保存为setuplog.tmp文件<\/li>
使用WNetEnumResource和GetComputerNameW枚举同一域内的系统<\/li>
将setuplog.tmp复制到目标机器的管理共享中<\/li> <\/ol>
持久化机制<\/strong>：<\/p>

创建自动启动服务，使用以下名称之一：

Service Techno<\/li>
Service_Techno2<\/li>
Technics-service2<\/li>
Technoservices<\/li>
Advanced-Technic-Service<\/li>
ServiceTechno5<\/li> <\/ul> <\/li> <\/ul>
2.3 wormDll模块（蠕虫传播模块）<\/h3>
网络探测功能<\/strong>：<\/p>

使用NetServerEnum识别域中的工作站和服务器<\/li>
使用LDAP查询识别：

域控制器<\/li>
非域控制器的机器<\/li> <\/ul> <\/li> <\/ul>
SMB协议实现<\/strong>：<\/p>

可能使用pysmb实现<\/li>
对老版Windows操作系统和IPC共享使用NT LM 0.12查询<\/li> <\/ul>
2.4 networkDll32模块（网络信息收集模块）<\/h3>
执行命令<\/strong>：<\/p>

在受害者系统上执行特定命令收集网络信息<\/li> <\/ul>
2.5 importDll32模块（浏览器数据窃取模块）<\/h3>
窃取内容<\/strong>：<\/p>

浏览历史<\/li>
Cookies<\/li>
浏览器插件信息<\/li> <\/ul>
2.6 systeminfo32模块（系统信息收集模块）<\/h3>
收集信息<\/strong>：<\/p>

操作系统信息<\/li>
CPU信息<\/li>
内存信息<\/li>
用户账户<\/li>
已安装程序<\/li>
服务信息<\/li> <\/ul>
2.7 mailsearcher32模块（邮件搜索模块）<\/h3>
功能<\/strong>：<\/p>

搜索受感染系统中的文件以收集邮箱地址<\/li>
用于垃圾邮件相关活动<\/li> <\/ul>
2.8 injectDll32模块（注入监控模块）<\/h3>
功能<\/strong>：<\/p>

监控银行应用可能使用的网址<\/li>
使用反射型DLL注入技术将代码注入目标进程<\/li> <\/ul>
凭证窃取方法<\/strong>：<\/p>

当用户登录监控的银行网站时，发送POST请求到C2服务器提取凭证<\/li>
监控特定银行网站访问，将用户重定向到伪造的钓鱼网站<\/li> <\/ol>
监控的银行范围<\/strong>：<\/p>

美国、加拿大、英国、德国、澳大利亚、奥地利、爱尔兰、伦敦、瑞士等<\/li> <\/ul>
3. Trickbot其他技术<\/h2>
3.1 传播方式<\/h3>

主要通过恶意垃圾邮件活动传播<\/li> <\/ul>
3.2 反防护措施<\/h3>
关闭安全软件<\/strong>：<\/p>

执行特定命令和修改注册表关闭Windows Defender<\/li>
中止以下进程：

MSASCuil.exe<\/li>
MSASCui.exe<\/li>
Msmpeng.exe<\/li> <\/ul> <\/li> <\/ul>
关闭的反恶意软件服务<\/strong>：<\/p>

MBamService (Malwarebytes相关进程)<\/li>
SAVService (Sophos AV相关进程)<\/li> <\/ul>
3.3 反分析功能<\/h3>

检查系统是否存在特定模块，如果发现则中止运行：

pstorec.dll<\/li>
vmcheck.dll<\/li>
wpespy.dll<\/li>
dbghelp.dll<\/li> <\/ul> <\/li> <\/ul>
3.4 执行频率<\/h3>

首次执行后每隔10分钟执行一次<\/li> <\/ul>
4. 威胁指标(IoC)<\/h2>
4.1 C2服务器列表<\/h3>
103[.]10[.]145[.]197:449 103[.]110[.]91[.]118:449 103[.]111[.]53[.]126:449 107[.]173[.]102[.]231:443 107[.]175[.]127[.]147:443 115[.]78[.]3[.]170:443 116[.]212[.]152[.]12:449 121[.]58[.]242[.]206:449 128[.]201[.]92[.]41:449 167[.]114[.]13[.]91:443 170[.]81[.]32[.]66:449 173[.]239[.]128[.]74:443 178[.]116[.]83[.]49:443 181[.]113[.]17[.]230:449 182[.]253[.]20[.]66:449 182[.]50[.]64[.]148:449 185[.]66[.]227[.]183:443 187[.]190[.]249[.]230:443 190[.]145[.]74[.]84:449 192[.]252[.]209[.]44:443 197[.]232[.]50[.]85:443 198[.]100[.]157[.]163:443 212[.]23[.]70[.]149:443 23[.]226[.]138[.]169:443 23[.]92[.]93[.]229:443 23[.]94[.]233[.]142:443 23[.]94[.]41[.]215:443 42[.]115[.]91[.]177:443 46[.]149[.]182[.]112:449 47[.]49[.]168[.]50:443 62[.]141[.]94[.]107:443 68[.]109[.]83[.]22:443 70[.]48[.]101[.]54:443 71[.]13[.]140[.]89:443 75[.]103[.]4[.]186:443 81[.]17[.]86[.]112:443 82[.]222[.]40[.]119:449 94[.]181[.]47[.]198:449 <\/code><\/pre> 4.2 样本SHA256哈希<\/h3> TSPY_TRICKBOT.THOIBEAI: 806bc3a91b86dbc5c367ecc259136f77482266d9fedca009e4e78f7465058d16 <\/code><\/pre> 5. 相关资源<\/h2> 趋势科技分析报告: https:\/\/blog.trendmicro.com\/trendlabs-security-intelligence\/trickbot-shows-off-new-trick-password-grabber-module\/<\/li> <\/ul>

Trickbot新变种分析教学文档<\/h1>

1. Trickbot概述<\/h2> Trickbot是一种模块化银行木马，最初作为简单的银行恶意软件出现，但不断被犯罪分子添加新功能。它具有高度模块化的结构，可以通过从C2服务器下载新模块来快速更新功能。<\/p>

2. Trickbot模块分析<\/h2>

3. Trickbot其他技术<\/h2>

4. 威胁指标(IoC)<\/h2>

5. 相关资源<\/h2> 趋势科技分析报告: https:\/\/blog.trendmicro.com\/trendlabs-security-intelligence\/trickbot-shows-off-new-trick-password-grabber-module\/<\/li> <\/ul>

1. Trickbot概述<\/h2>
Trickbot是一种模块化银行木马，最初作为简单的银行恶意软件出现，但不断被犯罪分子添加新功能。它具有高度模块化的结构，可以通过从C2服务器下载新模块来快速更新功能。<\/p>

5. 相关资源<\/h2>

趋势科技分析报告: https:\/\/blog.trendmicro.com\/trendlabs-security-intelligence\/trickbot-shows-off-new-trick-password-grabber-module\/<\/li> <\/ul>