<返回更多

木马病毒“Trickbot”再更新,密码窃取能力又增强

2019-12-13    
加入收藏
木马病毒“Trickbot”再更新,密码窃取能力又增强

 

Trickbot,一种于2016年首次出现的恶意软件,能够从windows主机中窃取系统信息、登录凭证以及其他敏感数据。

Trickbot具有模块化的结构,密码抓取器就是其模块之一。在上个月,Trickbot的密码抓取模块再次升级,将目标应用程序范围扩展到了OpenSSH和OpenVPN。

Trickbot的模块

在成功感染一台Windows主机之后,Trickbot便会下载多个不同的模块,以执行不同的任务。

这些模块将作为加密的二进制文件存储在受感染计算机的“AppDataRoaming”目录下的文件夹中,后续将被解码为DLL文件并在系统内存中运行。

木马病毒“Trickbot”再更新,密码窃取能力又增强

图1.Trickbot在感染64位Windows 7主机后下载的模块(11月8日)

密码抓取器模块

如图1所示,其中一个模块名为“pwgrab64”,这正是Trickbot的密码抓取器模块。该模块能够检索存储在受感染主机浏览器缓存中的登录凭证,并且还能够从受感染主机已安装的其他应用程序中抓取登录凭证。

抓取到的数据将通过TCP端口8082上传到Trickbot使用的IP地址,数据包中所包含的信息如下图所示:

木马病毒“Trickbot”再更新,密码窃取能力又增强

图2.从受感染主机的Chrome浏览器缓存中抓取的登录凭证

更新后的密码抓取器模块

上月初,Trickbot的密码抓取器模块引起了两个新的HTTP POST请求,它们被确认为:

木马病毒“Trickbot”再更新,密码窃取能力又增强

图3.由新的Trickbot密码抓取器模块引起的HTTP POST请求(旨在抓取OpenSSH私钥)


木马病毒“Trickbot”再更新,密码窃取能力又增强

图4.由新的Trickbot密码抓取器模块引起的HTTP POST请求(旨在抓取OpenVPN密码和配置)

新模块功能尚不完善

好消息是,Trickbot密码抓取器模块的新功能暂时还无效。虽然无论受感染主机是否安装了OpenSSH或OpenVPN,相对应的HTTP POST请求都会发生,但到目前为止流量包中并不包含任何实际数据。

不过,尽管Trickbot抓取OpenSSH私钥以及OpenVPN密码和配置的新功能尚未实现,但它的新密码抓取器模块的确能够从名为“PuTTY”的SSH/Telnet客户端中抓取SSH密码和私钥。

木马病毒“Trickbot”再更新,密码窃取能力又增强

图5. 由新的Trickbot密码抓取器模块引起的HTTP POST请求(旨在抓取PuTTY密码)


木马病毒“Trickbot”再更新,密码窃取能力又增强

图6. 由新的Trickbot密码抓取器模块引起的HTTP POST请求(旨在抓取PuTTY私钥)

结论

通过分析Trickbot流量模式的最新变化,我们发现其密码抓取器模块已经被更新。这些更新似乎是为了抓取OpenSSH和OpenVPN应用程序中的数据,但此功能似乎还无法正常工作。

无论如何,事实证明Trickbot仍在持续更新。想要避免遭到Trickbot的感染,最佳的做法仍然是使用最新版本的Windows操作系统并及时安装新发布的补丁。

声明:本站部分内容来自互联网,如有版权侵犯或其他问题请与我们联系,我们将立即删除或处理。
▍相关推荐
更多资讯 >>>