木马病毒“Trickbot”再更新，密码窃取能力又增强 _Trickbot

文章插图

Trickbot，一种于2016年首次出现的恶意软件，能够从windows主机中窃取系统信息、登录凭证以及其他敏感数据。
Trickbot具有模块化的结构，密码抓取器就是其模块之一。在上个月，Trickbot的密码抓取模块再次升级，将目标应用程序范围扩展到了OpenSSH和OpenVPN 。
Trickbot的模块在成功感染一台Windows主机之后，Trickbot便会下载多个不同的模块，以执行不同的任务。
这些模块将作为加密的二进制文件存储在受感染计算机的“AppDataRoaming”目录下的文件夹中，后续将被解码为DLL文件并在系统内存中运行。

文章插图
图1.Trickbot在感染64位Windows 7主机后下载的模块（11月8日）
密码抓取器模块如图1所示，其中一个模块名为“pwgrab64”，这正是Trickbot的密码抓取器模块。该模块能够检索存储在受感染主机浏览器缓存中的登录凭证，并且还能够从受感染主机已安装的其他应用程序中抓取登录凭证。
抓取到的数据将通过TCP端口8082上传到Trickbot使用的IP地址，数据包中所包含的信息如下图所示：

文章插图
图2.从受感染主机的Chrome浏览器缓存中抓取的登录凭证
更新后的密码抓取器模块上月初，Trickbot的密码抓取器模块引起了两个新的HTTP POST请求，它们被确认为：

OpenSSH私钥
OpenVPN密码和配置

文章插图
图3.由新的Trickbot密码抓取器模块引起的HTTP POST请求（旨在抓取OpenSSH私钥）

文章插图
图4.由新的Trickbot密码抓取器模块引起的HTTP POST请求（旨在抓取OpenVPN密码和配置）
新模块功能尚不完善好消息是，Trickbot密码抓取器模块的新功能暂时还无效。虽然无论受感染主机是否安装了OpenSSH或OpenVPN，相对应的HTTP POST请求都会发生，但到目前为止流量包中并不包含任何实际数据。
不过，尽管Trickbot抓取OpenSSH私钥以及OpenVPN密码和配置的新功能尚未实现，但它的新密码抓取器模块的确能够从名为“PuTTY”的SSH/Telnet客户端中抓取SSH密码和私钥。

文章插图
图5. 由新的Trickbot密码抓取器模块引起的HTTP POST请求（旨在抓取PuTTY密码）

文章插图
图6. 由新的Trickbot密码抓取器模块引起的HTTP POST请求（旨在抓取PuTTY私钥）
结论通过分析Trickbot流量模式的最新变化，我们发现其密码抓取器模块已经被更新。这些更新似乎是为了抓取OpenSSH和OpenVPN应用程序中的数据，但此功能似乎还无法正常工作。
无论如何，事实证明Trickbot仍在持续更新。想要避免遭到Trickbot的感染，最佳的做法仍然是使用最新版本的Windows操作系统并及时安装新发布的补丁。

【木马病毒“Trickbot”再更新，密码窃取能力又增强】