Trickbot新变种分析
字数 1770 2025-08-19 12:42:30

Trickbot新变种分析教学文档

1. Trickbot概述

Trickbot是一种模块化银行木马,最初作为简单的银行恶意软件出现,但不断被犯罪分子添加新功能。它具有高度模块化的结构,可以通过从C2服务器下载新模块来快速更新功能。

2. Trickbot模块分析

2.1 pwgrab32模块(密码抓取模块)

功能

  • 从各种应用程序窃取凭证
  • 从主流浏览器窃取敏感信息

窃取目标

  • 应用程序:
    • Filezilla
    • Microsoft Outlook
    • WinSCP
  • 浏览器:
    • Google Chrome
    • Mozilla Firefox
    • Internet Explorer
    • Microsoft Edge

窃取内容

  • 用户名和密码
  • 浏览器Cookies
  • 浏览历史
  • 自动填充数据
  • HTTP POST数据

限制

  • 不能从第三方密码管理器窃取密码
  • 可能无法窃取带有浏览器插件的密码管理器数据

2.2 shareDll32模块(网络传播模块)

传播机制

  1. 连接到C2服务器下载副本(示例URL:http[:]//185[.]251[.]39[.]251/radiance[.]png)
  2. 保存为setuplog.tmp文件
  3. 使用WNetEnumResource和GetComputerNameW枚举同一域内的系统
  4. 将setuplog.tmp复制到目标机器的管理共享中

持久化机制

  • 创建自动启动服务,使用以下名称之一:
    • Service Techno
    • Service_Techno2
    • Technics-service2
    • Technoservices
    • Advanced-Technic-Service
    • ServiceTechno5

2.3 wormDll模块(蠕虫传播模块)

网络探测功能

  • 使用NetServerEnum识别域中的工作站和服务器
  • 使用LDAP查询识别:
    • 域控制器
    • 非域控制器的机器

SMB协议实现

  • 可能使用pysmb实现
  • 对老版Windows操作系统和IPC共享使用NT LM 0.12查询

2.4 networkDll32模块(网络信息收集模块)

执行命令

  • 在受害者系统上执行特定命令收集网络信息

2.5 importDll32模块(浏览器数据窃取模块)

窃取内容

  • 浏览历史
  • Cookies
  • 浏览器插件信息

2.6 systeminfo32模块(系统信息收集模块)

收集信息

  • 操作系统信息
  • CPU信息
  • 内存信息
  • 用户账户
  • 已安装程序
  • 服务信息

2.7 mailsearcher32模块(邮件搜索模块)

功能

  • 搜索受感染系统中的文件以收集邮箱地址
  • 用于垃圾邮件相关活动

2.8 injectDll32模块(注入监控模块)

功能

  • 监控银行应用可能使用的网址
  • 使用反射型DLL注入技术将代码注入目标进程

凭证窃取方法

  1. 当用户登录监控的银行网站时,发送POST请求到C2服务器提取凭证
  2. 监控特定银行网站访问,将用户重定向到伪造的钓鱼网站

监控的银行范围

  • 美国、加拿大、英国、德国、澳大利亚、奥地利、爱尔兰、伦敦、瑞士等

3. Trickbot其他技术

3.1 传播方式

  • 主要通过恶意垃圾邮件活动传播

3.2 反防护措施

关闭安全软件

  • 执行特定命令和修改注册表关闭Windows Defender
  • 中止以下进程:
    • MSASCuil.exe
    • MSASCui.exe
    • Msmpeng.exe

关闭的反恶意软件服务

  • MBamService (Malwarebytes相关进程)
  • SAVService (Sophos AV相关进程)

3.3 反分析功能

  • 检查系统是否存在特定模块,如果发现则中止运行:
    • pstorec.dll
    • vmcheck.dll
    • wpespy.dll
    • dbghelp.dll

3.4 执行频率

  • 首次执行后每隔10分钟执行一次

4. 威胁指标(IoC)

4.1 C2服务器列表

103[.]10[.]145[.]197:449
103[.]110[.]91[.]118:449
103[.]111[.]53[.]126:449
107[.]173[.]102[.]231:443
107[.]175[.]127[.]147:443
115[.]78[.]3[.]170:443
116[.]212[.]152[.]12:449
121[.]58[.]242[.]206:449
128[.]201[.]92[.]41:449
167[.]114[.]13[.]91:443
170[.]81[.]32[.]66:449
173[.]239[.]128[.]74:443
178[.]116[.]83[.]49:443
181[.]113[.]17[.]230:449
182[.]253[.]20[.]66:449
182[.]50[.]64[.]148:449
185[.]66[.]227[.]183:443
187[.]190[.]249[.]230:443
190[.]145[.]74[.]84:449
192[.]252[.]209[.]44:443
197[.]232[.]50[.]85:443
198[.]100[.]157[.]163:443
212[.]23[.]70[.]149:443
23[.]226[.]138[.]169:443
23[.]92[.]93[.]229:443
23[.]94[.]233[.]142:443
23[.]94[.]41[.]215:443
42[.]115[.]91[.]177:443
46[.]149[.]182[.]112:449
47[.]49[.]168[.]50:443
62[.]141[.]94[.]107:443
68[.]109[.]83[.]22:443
70[.]48[.]101[.]54:443
71[.]13[.]140[.]89:443
75[.]103[.]4[.]186:443
81[.]17[.]86[.]112:443
82[.]222[.]40[.]119:449
94[.]181[.]47[.]198:449

4.2 样本SHA256哈希

TSPY_TRICKBOT.THOIBEAI: 806bc3a91b86dbc5c367ecc259136f77482266d9fedca009e4e78f7465058d16

5. 相关资源

  • 趋势科技分析报告: https://blog.trendmicro.com/trendlabs-security-intelligence/trickbot-shows-off-new-trick-password-grabber-module/
Trickbot新变种分析教学文档 1. Trickbot概述 Trickbot是一种模块化银行木马,最初作为简单的银行恶意软件出现,但不断被犯罪分子添加新功能。它具有高度模块化的结构,可以通过从C2服务器下载新模块来快速更新功能。 2. Trickbot模块分析 2.1 pwgrab32模块(密码抓取模块) 功能 : 从各种应用程序窃取凭证 从主流浏览器窃取敏感信息 窃取目标 : 应用程序: Filezilla Microsoft Outlook WinSCP 浏览器: Google Chrome Mozilla Firefox Internet Explorer Microsoft Edge 窃取内容 : 用户名和密码 浏览器Cookies 浏览历史 自动填充数据 HTTP POST数据 限制 : 不能从第三方密码管理器窃取密码 可能无法窃取带有浏览器插件的密码管理器数据 2.2 shareDll32模块(网络传播模块) 传播机制 : 连接到C2服务器下载副本(示例URL:http[ :]//185[ .]251[ .]39[ .]251/radiance[ . ]png) 保存为setuplog.tmp文件 使用WNetEnumResource和GetComputerNameW枚举同一域内的系统 将setuplog.tmp复制到目标机器的管理共享中 持久化机制 : 创建自动启动服务,使用以下名称之一: Service Techno Service_ Techno2 Technics-service2 Technoservices Advanced-Technic-Service ServiceTechno5 2.3 wormDll模块(蠕虫传播模块) 网络探测功能 : 使用NetServerEnum识别域中的工作站和服务器 使用LDAP查询识别: 域控制器 非域控制器的机器 SMB协议实现 : 可能使用pysmb实现 对老版Windows操作系统和IPC共享使用NT LM 0.12查询 2.4 networkDll32模块(网络信息收集模块) 执行命令 : 在受害者系统上执行特定命令收集网络信息 2.5 importDll32模块(浏览器数据窃取模块) 窃取内容 : 浏览历史 Cookies 浏览器插件信息 2.6 systeminfo32模块(系统信息收集模块) 收集信息 : 操作系统信息 CPU信息 内存信息 用户账户 已安装程序 服务信息 2.7 mailsearcher32模块(邮件搜索模块) 功能 : 搜索受感染系统中的文件以收集邮箱地址 用于垃圾邮件相关活动 2.8 injectDll32模块(注入监控模块) 功能 : 监控银行应用可能使用的网址 使用反射型DLL注入技术将代码注入目标进程 凭证窃取方法 : 当用户登录监控的银行网站时,发送POST请求到C2服务器提取凭证 监控特定银行网站访问,将用户重定向到伪造的钓鱼网站 监控的银行范围 : 美国、加拿大、英国、德国、澳大利亚、奥地利、爱尔兰、伦敦、瑞士等 3. Trickbot其他技术 3.1 传播方式 主要通过恶意垃圾邮件活动传播 3.2 反防护措施 关闭安全软件 : 执行特定命令和修改注册表关闭Windows Defender 中止以下进程: MSASCuil.exe MSASCui.exe Msmpeng.exe 关闭的反恶意软件服务 : MBamService (Malwarebytes相关进程) SAVService (Sophos AV相关进程) 3.3 反分析功能 检查系统是否存在特定模块,如果发现则中止运行: pstorec.dll vmcheck.dll wpespy.dll dbghelp.dll 3.4 执行频率 首次执行后每隔10分钟执行一次 4. 威胁指标(IoC) 4.1 C2服务器列表 4.2 样本SHA256哈希 5. 相关资源 趋势科技分析报告: https://blog.trendmicro.com/trendlabs-security-intelligence/trickbot-shows-off-new-trick-password-grabber-module/