FreeBuf|TrickBot新组件Nworm分析( 二 )
本文插图
本文插图
下图显示了当前的传播流程 , 突出显示了nworm模块变化:
本文插图
不持久性nworm感染易受攻击的DC时 , 恶意软件将从内存中启动 。 受感染的DC上未发现任何攻击痕迹 , 但DC上的TrickBot重新后会消失 。 mshare和tab感染易受攻击的DC时 , DC重启后仍然持续存在 。 对于TrickBot而言 , 重启后消失并不是急需解决的问题 , 因为DC是一台服务器 , 服务器很少像Windows客户端那样关闭或重新启动 。
Gtag标识每个TrickBot都有一个gtag标识符 , 可从TrickBot二进制文件配置数据中找到 。 在TrickBot感染期间 , 也可以在HTTP流量中找到Gtag 。
Gtag是一个短字母字符串 , 后跟一个数字表示序列 。 示例如下:
mor系列gtag:由Emotet感染引起的TrickBot , 例如:TrickBot gtag mor84是由Emotet在2020年1月27日感染的 。
ono系列gtag:TrickBot通过恶意Microsoft Office文档(如Word文档或Excel电子表格)传播的 。
red系列gtag:TrickBot以DLL文件而不是EXE的形式传播 , 例如:2020年3月17日记录的TrickBot gtag red5 。
TrickBot模块使用的TrickBot二进制文件的Gtag是唯一的 。
tot系列gtag:mshare模块使用的TrickBot二进制文件
jim系列gtag:nworm(和旧的mworm)模块使用的TrickBot二进制文件
lib系列gtag:tab模块使用的TrickBot二进制文件
下图显示了2020年4月20日Wireshark中的gtag 。 其中Windows客户端为10.4.20.101 , DC为10.4.20.4 。
本文插图
IOCsHTTP URLs2020-04-20 – nworm – hxxp://107.172.221[.]106/ico/VidT6cErs
2020-04-20 – mshare – hxxp://107.172.221[.]106/images/cursor.png
2020-04-20 – tab – hxxp://107.172.221[.]106/images/imgpaper.png
2020-05-08 – nworm – hxxp://23.95.227[.]159/ico/VidT6cErs
2020-05-08 – mshare – hxxp://23.95.227[.]159/images/cursor.png
2020-05-08 – tab – hxxp://23.95.227[.]159/images/imgpaper.png
nwormDll64 (Windows 7 client April 24th 2020)900aa025bf770102428350e584e8110342a70159ef2f92a9bfd651c5d8e5f76b
nwormDll64(Windows 7 client May 8th 2020)85d88129eab948d44bb9999774869449ab671b4d1df3c593731102592ce93a70
参考来源unit42
精彩推荐
本文插图
推荐阅读
- FreeBuf|“黑球”攻击仍在行动:从检测杀软到安装挖矿
- FreeBuf|管中窥豹之工控设备解密
- FreeBuf|工控渗透框架:PLC密码检测
- FreeBuf|谷歌副总裁宣布退出Black Hat,称“黑帽”涉嫌种族歧视
- FreeBuf|安全研究:2019年流行的开源项目漏洞数量翻了一倍
- FreeBuf|DEDECMS伪随机漏洞分析
- FreeBuf|Werkzeug更新带来的Flask debug pin码生成方式改变
- FreeBuf|硬件安全危机下,美国DARPA启动全球漏洞赏金计划
- FreeBuf|Maze引入披露数据这种新型勒索方式
- FreeBuf|Ligolo:一款反向隧道工具