Trickbot更新暗码盗取模块 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

Trickbot更新暗码盗取模块

申博_安全防护 申博 42次浏览 已收录 0个评论

Trickbot 是2016年初次涌现的从有破绽的Windows主机盗取体系信息、上岸凭据和其他敏感数据的一款歹意软件。Trickbot是一种模块化的歹意软件,个中一个模块就算暗码猎取模块。2019年11月,研究人员发明Trickbot的暗码盗取模块的目的转向了OpenSSH和OpenVPN运用。

Trickbot模块

感染了Trickbot的Windows主机会下载差别的模块来实行差别的功用。这些模块以加密二进制文件的情势保存在受感染用户的AppData\Roaming文件夹中。然后加密的二进制文件会解码为DLL文件,并在体系内存中运转。图1是2019年11月8日Trickbot感染64位Windows 7体系主机生成的编码的Trickbot模块。

Trickbot更新暗码盗取模块

 图 1. 2019年11月8日Trickbot 感染的模块

暗码盗取模块

如图1所示,个中一个模块名为pwgrab64,这也是Trickbot运用的暗码盗取模块。该模块会从受害者的浏览器缓存中提掏出上岸凭据,并从受害者主机的其他运用中猎取上岸凭据。该暗码盗取模块和其他模块会将盗取的数据用未加密的HTTP数据包经由过程TCP 8082端口发送到Trickbot运用的IP地点中。如图2所示,就是从感染了Trickbot的主机中的抓包数据中网络的信息。这是从受感染用户的Chrome浏览器缓存中盗取的上岸凭据示例。

Trickbot更新暗码盗取模块

图 2. 从受感染的用户Chrome浏览器缓存中盗取的上岸凭据

暗码盗取模块更新

从近来Trickbot感染的流量形式中能够发明其与2019年11月的感染状况是一致的。起首看一下暗码盗取器的2个HTTP POST要求:

· OpenSSH私钥

· OpenVPN暗码和configsls

OpenVPN那行,configsls多是configs的毛病拼写。图3和图4是含有这些id的HTTP POST要求示例。

延续匹敌xHunt:经由过程DNS隧道检测阻挠新型PowerShell后门

摘要 在对xHunt活动的持续分析过程中,我们观察到存在与pasta58[.]com域名相关联的多个域名,这些域名与已知的Sakabota命令和控制(C2)活动相关。在2019年6月,我们观察到其中一个重复使用的域名(windows64x[.]com)被用作新的基于PowerShell后门的C2服务器,我们将其命名为CASHY200。该PowerShell后门使用DNS隧道与其C2服务器进行通信,通过向上述域名所对应的攻击者控制的域名服务器发出DNS A查询来实现。CASHY200解析C2服务器在DNS回答中提供的数据,以在系统上运行命令,并将结果通过DNS查询的方式发送回C2。在我们所分析的几个样本中,CASHY200都使用了随机生成的标识符,这些标识符存储在注

Trickbot更新暗码盗取模块

 图 3. Trickbot暗码盗取模块盗取OpenSSH私钥的HTTP POST要求

Trickbot更新暗码盗取模块

图 4. Trickbot暗码盗取模块盗取Open OpenVPN暗码和设置的HTTP POST要求

更新不起作用?

Trickbot的暗码盗取模块更新大概并没有完整起作用。暗码盗取器盗取OpenSSH和OpenVPN的HTTP POST要求并不论受害者主机中是不是安装了OpenSSH或OpenVPN。而且研究人员在要求中并没有发明什么数据。

研究人员在实验室环境下对设置了OpenSSH和OpenVPN运用的Windows 7和Windows 10主机进行了测试,也没有发明任何数据。暗码盗取器对OpenSSH和OpenVPN运用盗取所发生的HTTP POST要求是不含有数据的。

但Trickbot的暗码盗取器模块会从PuTTY(SSH/Telnet客户端)盗取SSH暗码和私钥。图5和图6是从感染了Trickbot并安装了PuTTY的主机中暗码盗取器盗取到云服务器的SSH衔接的私钥。

Trickbot更新暗码盗取模块

 图 5. Trickbot暗码盗取器模块盗取PuTTY运用发生的HTTP POST要求

Trickbot更新暗码盗取模块

 图 6. Trickbot暗码盗取器模块盗取PuTTY运用的私钥发生的HTTP POST要求

结论

本文形貌了Trickbot流量形式的最新变化,表明对暗码盗取器模块发生的一些变化。这些更新表明更新的目的是来自OpenSSH和OpenVPN运用的数据,但这些功用彷佛还不能一般事情。但更新后的暗码盗取模块是能够从PuTTY如许的SSH相干的运用中盗取私钥如许的敏感数据的。流量形式的更新表明Trickbot仍然在不停进化。

本文翻译自:https://unit42.paloaltonetworks.com/trickbot-updates-password-grabber-module/


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明Trickbot更新暗码盗取模块
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址