Trickbot，一种于2016年首次出现的恶意软件，能够从windows主机中窃取系统信息、登录凭证以及其他敏感数据。

Trickbot具有模块化的结构，密码抓取器就是其模块之一。在上个月，Trickbot的密码抓取模块再次升级，将目标应用程序范围扩展到了OpenSSH和OpenVPN。

Trickbot的模块

在成功感染一台Windows主机之后，Trickbot便会下载多个不同的模块，以执行不同的任务。

这些模块将作为加密的二进制文件存储在受感染计算机的“AppDataRoaming”目录下的文件夹中，后续将被解码为DLL文件并在系统内存中运行。

图1.Trickbot在感染64位Windows 7主机后下载的模块（11月8日）

密码抓取器模块

如图1所示，其中一个模块名为“pwgrab64”，这正是Trickbot的密码抓取器模块。该模块能够检索存储在受感染主机浏览器缓存中的登录凭证，并且还能够从受感染主机已安装的其他应用程序中抓取登录凭证。

抓取到的数据将通过TCP端口8082上传到Trickbot使用的IP地址，数据包中所包含的信息如下图所示：

图2.从受感染主机的Chrome浏览器缓存中抓取的登录凭证

更新后的密码抓取器模块

上月初，Trickbot的密码抓取器模块引起了两个新的HTTP POST请求，它们被确认为：

• OpenSSH私钥
• OpenVPN密码和配置

图3.由新的Trickbot密码抓取器模块引起的HTTP POST请求（旨在抓取OpenSSH私钥）

图4.由新的Trickbot密码抓取器模块引起的HTTP POST请求（旨在抓取OpenVPN密码和配置）

新模块功能尚不完善

好消息是，Trickbot密码抓取器模块的新功能暂时还无效。虽然无论受感染主机是否安装了OpenSSH或OpenVPN，相对应的HTTP POST请求都会发生，但到目前为止流量包中并不包含任何实际数据。

不过，尽管Trickbot抓取OpenSSH私钥以及OpenVPN密码和配置的新功能尚未实现，但它的新密码抓取器模块的确能够从名为“PuTTY”的SSH/Telnet客户端中抓取SSH密码和私钥。

图5. 由新的Trickbot密码抓取器模块引起的HTTP POST请求（旨在抓取PuTTY密码）

图6. 由新的Trickbot密码抓取器模块引起的HTTP POST请求（旨在抓取PuTTY私钥）

结论

通过分析Trickbot流量模式的最新变化，我们发现其密码抓取器模块已经被更新。这些更新似乎是为了抓取OpenSSH和OpenVPN应用程序中的数据，但此功能似乎还无法正常工作。

无论如何，事实证明Trickbot仍在持续更新。想要避免遭到Trickbot的感染，最佳的做法仍然是使用最新版本的Windows操作系统并及时安装新发布的补丁。