TrickBot新动态剖析:近万行代码的Dropper和滥用ADS机制 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

TrickBot新动态剖析:近万行代码的Dropper和滥用ADS机制

申博_新闻事件 申博 64次浏览 已收录 0个评论

引见

TrickBot是自2016年以来影响局限最大的银行木马之一,经由几年的生长,如今的trickBot可以已脱离了简朴的“银行木马”的领域,它的模块化属性将歹意软件提拔到了更高的程度。事实上,它可以被视为一种歹意植入,不仅可以入侵银行相干营业,还能为高等攻击者供应渗入公司网络的东西和机制。在过去,有数个要挟构造应用trickBot在中心服务器基础设施中接种Ryuk讹诈软件,致使公司严峻的营业中缀。

在本文中,我们将剖析TrickBot最新运作的一些变化状况,包括钓饵Word文档,另有一个由近万行高度殽杂代码的的dropper,以及滥用ADS(Alternate Data Stream,供选数据流)的机制。

手艺剖析

TrickBot新动态剖析:近万行代码的Dropper和滥用ADS机制

表1.样本信息

钓饵文档用到的技能现实上是异常简朴的:攻击者将歹意代码写入文档文本中,将字体设置为白色,只需变动字体色彩就可以看到一些麋集显现的JavaScript代码。这段代码将在感染链的下一阶段实行,但在深入研讨JavaScript代码之前,我们将先研讨嵌入歹意文档中的宏代码。 TrickBot新动态剖析:近万行代码的Dropper和滥用ADS机制

图1. Word文档的内容 TrickBot新动态剖析:近万行代码的Dropper和滥用ADS机制

图2. Word文档的公然内容

翻开Word文档后,Document_Open()函数将自动实行(图3)。它经由历程“Print #StarOk, ActiveDocument.Content.Text”语句检索隐蔽的文档内容,并将其副本写入“%AppData%\Microsoft\Word\STARTUP\stati_stic.inf:com1”的当地文件。

 TrickBot新动态剖析:近万行代码的Dropper和滥用ADS机制

图3.嵌入在歹意文档中的宏代码

浏览文件夹“\Word\STARTUP”,我们注意到“stati_stic.inf”文件计数为零字节。现实上,此dropper滥用了Windows文件体系的一个老特征,即“供选数据流”(ADS),将其功用数据隐蔽在一个异常规的数据流中。Mitre Att&ck框架中的T1096是一类已知手艺,可以在恣意读或的操纵时期,将冒号和流的称号连接到文件名来运用。因而,我们只需一个简朴的Powershell敕令就可以提取流的内容。

提取的payload是初始Word文档中的隐蔽内容。歹意掌握流由“Document_Close()”函数继续进行,个中还挪用到了“StripAllHidden()”函数。此例程用于删除攻击者嵌入到文档中的一切隐蔽信息,比方攻击者在开辟阶段无意间嵌入的一些陈迹。它的代码多是参考了一些公然代码。

以后宏代码实行方才写入“com1”数据流的数据。因为流包括JavaScript代码,将经由历程WScript东西运用以下指令实行:

CallByName CreateObject("wS" & Chri & "Ript.She" & Ja), "Run", VbMethod, Right(Right("WhiteGunPower", 8), Rule) & "sHe" & Ja & " wS" & Chri & "RipT" & GroundOn, 0

整顿后变成:

CallByName CreateObject("wScript.Shell"), "Run", VbMethod, “powershell wscript /e:jscript “c:\users\admin\appdata\roaming\microsoft\word\startup\stati_stic.inf:com1””, 0

JavaScript Dropper

如今,让我们来看看经由严峻殽杂的JavaScript代码,它的变量称号和一些解释还被随机化重命名了,还包括了一些垃圾指令块,以上行动都是旨在下降检测率。

 TrickBot新动态剖析:近万行代码的Dropper和滥用ADS机制

图5.样本检测率

乍一看,攻击者的目标好像已完成了。该剧本不轻易浏览,看起来异常复杂:代码中有近1万行代码和1800多个匿名函数。

 TrickBot新动态剖析:近万行代码的Dropper和滥用ADS机制

图6. JavaScript文件的内容

但经由深入研讨后,我们注意到两个名为“jnabron00”和“jnabron”的症结函数。这些函数用于殽杂剧本的每一个可明白的字符。第一个“jnabron00”如下图所示:它一直返回零值。

嘶吼直击2019国家网络安全宣传周——对话新时代下大数据安全新态势

刚刚结束中秋假期的嘶吼小伙伴一道来到了天津网络安全宣传周的现场。 上午,由中国电子技术标准化研究院承办、杭州安恒信息技术股份有限公司协办的“2019年国家网络安全宣传周——大数据安全高峰论坛”正在天津网络安全宣传周现场成功举办。 论坛以“新时代下大数据安全新态势”为主题,中国工程院院士沈昌祥、中央网信办网络安全协调局处长陈吉学、国家市场监督管理总局标准技术管理司副处长刘大山、中国信息安全研究院副院长左晓栋、中国电子技术标准化研究院信息安全研究中心主任刘

 TrickBot新动态剖析:近万行代码的Dropper和滥用ADS机制

图7.用于殽杂代码的函数

另一个是“jnabron”,它包括两个参数:一个是整数值(来自一些殽杂的操纵)和一个一直是“Ch”的字符串。

jnabron(102,'Ch')

这个函数的目标如今很轻易明白:经由历程“String.fromCharCode”JS函数返回与整数值相干的ASCII字符。明显,为了殽杂函数内部,攻击者再一次让个中包括了很多垃圾指令,如图9所示。

组合运用这两个函数,剧本才解压它的现实指令,这关于必需明白剧本歹意企图的剖析职员来说是一项乏味的事情。如下图所示,几十行代码才意味着一条有效指令。 

去殽杂阶段以后,可以看到一些有效的值,比方C2地点,POST要求的实行以及Base64编码数据的存在。

 TrickBot新动态剖析:近万行代码的Dropper和滥用ADS机制

图10.C2检入代码

剖析这个隐蔽的掌握流程,我们发明实行的第一个操纵是网络特定的体系信息。这是经由历程WMI接口完成的,指定特定的WQL查询并挪用“ExecQuery”函数来检索:

· 有关操纵体系的信息

· 关于机械的信息

· 有关当前用户的信息

· 一切运动历程的列表

 TrickBot新动态剖析:近万行代码的Dropper和滥用ADS机制

图11.用于提取体系信息的代码

以后在Javascript加载器的检入阶段,这些信息连同运转的历程列表将发送到C2服务器。

 TrickBot新动态剖析:近万行代码的Dropper和滥用ADS机制

图12.网络流量

另外,该剧本还可以网络具有以下扩展名的一切文件列表:PDF文件,Office,Word和Excel文档,并将搜刮的效果写入“%TEMP%”文件夹中的当地文件,然后上传到C2。

结论

TrickBot最初涌现于2016年,是现今最活泼的银行木马之一,至今仍在疾速生长中。该歹意软件在过去几年中增加了很多功用,还包括破绽应用的功用,比方有名的SMB破绽(MS17-010),另有EthernalBlue,EthernalRomance和EthernalChampion。

我们此次剖析的dropper包括了近万行高度殽杂的JavaScript代码,这类新的感染链构造对公司和用户组成的要挟也非常庞大,它检测率低,让人很难注意到TrickBot payload的托付历程,可以只需几天以至几小时,就足以在瘫痪全部公司的营业运转。

本文翻译自:https://blog.yoroi.company/research/dissecting-the-10k-lines-of-the-new-trickbot-dropper/


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明TrickBot新动态剖析:近万行代码的Dropper和滥用ADS机制
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址