Trickbot更新密碼竊取模塊
Trickbot 是2016年首次出現的從有漏洞的Windows主機竊取系統信息、登陸憑證和其他敏感數據的一款惡意軟體。Trickbot是一種模塊化的惡意軟體,其中一個模塊就算密碼獲取模塊。2019年11月,研究人員發現Trickbot的密碼竊取模塊的目標轉向了OpenSSH和OpenVPN應用。
Trickbot模塊
感染了Trickbot的Windows主機會下載不同的模塊來執行不同的功能。這些模塊以加密二進位文件的形式保存在受感染用戶的AppData\Roaming文件夾中。然後加密的二進位文件會解碼為DLL文件,並在系統內存中運行。圖1是2019年11月8日Trickbot感染64位Windows 7系統主機生成的編碼的Trickbot模塊。
圖 1. 2019年11月8日Trickbot 感染的模塊
密碼竊取模塊
如圖1所示,其中一個模塊名為pwgrab64,這也是Trickbot使用的密碼竊取模塊。該模塊會從受害者的瀏覽器緩存中提取出登陸憑證,並從受害者主機的其他應用中獲取登陸憑證。該密碼竊取模塊和其他模塊會將竊取的數據用未加密的HTTP數據包通過TCP 8082埠發送到Trickbot使用的IP地址中。如圖2所示,就是從感染了Trickbot的主機中的抓包數據中收集的信息。這是從受感染用戶的Chrome瀏覽器緩存中竊取的登陸憑證示例。
圖 2. 從受感染的用戶Chrome瀏覽器緩存中竊取的登陸憑證
密碼竊取模塊更新
從最近Trickbot感染的流量模式中可以發現其與2019年11月的感染情況是一致的。首先看一下密碼竊取器的2個HTTP POST請求:
·OpenSSH私鑰
·OpenVPN密碼和configsls
OpenVPN那行,configsls可能是configs的錯誤拼寫。圖3和圖4是含有這些id的HTTP POST請求示例。
圖 3. Trickbot密碼竊取模塊竊取OpenSSH私鑰的HTTP POST請求
圖 4. Trickbot密碼竊取模塊竊取Open OpenVPN密碼和配置的HTTP POST請求
更新不起作用?
Trickbot的密碼竊取模塊更新可能並沒有完全起作用。密碼竊取器竊取OpenSSH和OpenVPN的HTTP POST請求並不管受害者主機中是否安裝了OpenSSH或OpenVPN。而且研究人員在請求中並沒有發現什麼數據。
研究人員在實驗室環境下對配置了OpenSSH和OpenVPN應用的Windows 7和Windows 10主機進行了測試,也沒有發現任何數據。密碼竊取器對OpenSSH和OpenVPN應用竊取所產生的HTTP POST請求是不含有數據的。
但Trickbot的密碼竊取器模塊會從PuTTY(SSH/Telnet客戶端)竊取SSH密碼和私鑰。圖5和圖6是從感染了Trickbot並安裝了PuTTY的主機中密碼竊取器竊取到雲伺服器的SSH連接的私鑰。
圖 5. Trickbot密碼竊取器模塊竊取PuTTY應用產生的HTTP POST請求
圖 6. Trickbot密碼竊取器模塊竊取PuTTY使用的私鑰產生的HTTP POST請求
結論
本文描述了Trickbot流量模式的最新變化,表明對密碼竊取器模塊產生的一些變化。這些更新表明更新的目標是來自OpenSSH和OpenVPN應用的數據,但這些功能好像還不能正常工作。但更新後的密碼竊取模塊是可以從PuTTY這樣的SSH相關的應用中竊取私鑰這樣的敏感數據的。流量模式的更新表明Trickbot仍然在不斷進化。
參考來源:https://unit42.paloaltonetworks.com/trickbot-updates-password-grabber-module/
