FreeBuf|TrickBot新组件Nworm分析
TrickBot于2016年被首次发现 , 其主要目的是窃取目标主机数据 , 安装恶意软件后门 。 TrickBot拥有不同的功能模块 , 可从受感染的Windows客户端传感染DC 。 在2020年4月 , TrickBot将其传播模块“mworm”更新为“nworm” 。 nworm不会在DC上留下任何痕迹 , 服务器重新启动或关闭后会消失 。
新nworm模块主要包括:
加密可执行文件和网络通信流量(旧mworm模块没有任何类型的加密/编码)
TrickBot感染从RAM运行 , 不可持久存在
通过RAM运行以逃避受感染DC的检测
本文回顾了TrickBot模块 , 并详细地介绍了新nworm模块的特性 。
TrickBot模块TrickBot可以模块化安装运行 , 感染期间可加载各种二进制文件执行不同功能 。 在大多数情况下 , TrickBot感染的基础是保存在磁盘的恶意Windows可执行文件(EXE) 。 此EXE通常称为“ TrickBot加载程序” , 可加载TrickBot模块 。 TrickBot模块是从系统内存运行的动态链接库(DLL)或EXE 。
本文插图
在受感染的Windows 10主机上 , TrickBo仅出现在系统内存中 。 在受感染的Windows 7主机上 , 在磁盘中会存储的相关模块 。 在TrickBot感染期间 , 加密的二进制文件将作为TrickBot模块解密并从系统内存中运行 。 下图显示了2020年1月Windows 7 TrickBot模块工件示例 。
【FreeBuf|TrickBot新组件Nworm分析】
本文插图
文件名称以64结尾 , 说明该主机运行的是Windows 7 64位版本 。 如果感染发生在32位Windows 7主机上 , 这些文件名称将以32而不是64结尾 。
TrickBot在Active Directory(AD)环境中扩展到DC的三个模块:
mwormDll64(“ mworm”模块)
mshareDll64(“ mshare”模块)
tabDll64(“标签”模块)
传播模块具有传播功能的TrickBot模块为mworm , mshare和tab , mshare和tab模块:
受感染的Windows客户端使用HTTP URL检索新的TrickBot EXE
受感染的Windows客户端通过SMB将新的TrickBot EXE发送到易受攻击的DC
除非在带有DC的AD环境中发生TrickBot感染 , 否则通常不会显示mworm模块 。
下图显示了这三个TrickBot模块的传播流程图:
本文插图
自2020年2月以来 , 这些模块生成的URL遵循以下模式:
mshare模块以/images/cursor.png结尾
mworm模块以/images/redcar.png结尾
tab模块以/images/imgpaper.png结尾
这些URL使用IP地址而不是域 。 下图显示了2020年3月TrickBot感染流量:
本文插图
新模块分析2020年4月TrickBot停止使用mworm模块 , 取而代之的是名为“nworm”的模块出现在受感染的Windows 7客户端上 。 下图显示了这种新的nworm模块:
本文插图
nworm的HTTP流量与mworm流量明显不同:
mworm:TrickBot EXE的URL以/images/redcar.png结尾
nworm:TrickBot EXE的URL以/ico/VidT6cErs结尾
mworm:HTTP流量中TrickBot EXE未加密
nworm:TrickBot EXE会在HTTP流量中加密编码
使用Wireshark检查TCP流 , 可以发现mworm模块和nworm模块HTTP流差异 。
推荐阅读
- FreeBuf|“黑球”攻击仍在行动:从检测杀软到安装挖矿
- FreeBuf|管中窥豹之工控设备解密
- FreeBuf|工控渗透框架:PLC密码检测
- FreeBuf|谷歌副总裁宣布退出Black Hat,称“黑帽”涉嫌种族歧视
- FreeBuf|安全研究:2019年流行的开源项目漏洞数量翻了一倍
- FreeBuf|DEDECMS伪随机漏洞分析
- FreeBuf|Werkzeug更新带来的Flask debug pin码生成方式改变
- FreeBuf|硬件安全危机下,美国DARPA启动全球漏洞赏金计划
- FreeBuf|Maze引入披露数据这种新型勒索方式
- FreeBuf|Ligolo:一款反向隧道工具