火绒安全性报警:病毒感染掩藏成“汇丰银行金

一、 简述
前不久,火绒安全性精英团队发觉名叫“TrickBot”的侧门病毒感染已经全世界范畴内根据假冒电子邮件进行新一轮互联网进攻,全球范畴内好几家金融机构和BTC买卖服务平台(总共269家)的应用者都会本次黑客攻击范畴以内。病毒感染“TrickBot”目地确立,取决于窃取客户的金融机构帐户、BTC帐户信息内容,牟取金钱。

图:遭受病毒感染进攻威协的一部分金融机构、BTC买卖服务平台名字

侧门病毒感染“TrickBot”根据掩藏成题目为“您的汇丰银行金融机构申请办理文本文档”的电子邮件开展散播,并且以配件的方式发送给客户。其中容具有蒙蔽性,实际操作表明、留意事宜、在线客服电話及其办公室详细地址等信息内容一应俱全,客户难以鉴别其真假。而客户一旦开启该文本文档,文本文档内的故意编码可能全自动实行,并根据Office系统漏洞(CVE-2017-11882)免费下载侧门病毒感染“TrickBot”。下列为受危害版本号:

病毒感染“TrickBot”侵入客户电脑上后,会窃取其金融机构帐户及其BTC买卖服务平台登陆信息内容。同时还会继续搜集客户测算机内的数据信息信息内容,包含系统软件版本号,CPU状况,运行内存,客户名,系统软件中的服务项,手机软件安裝状况等。不但这般,病毒感染团伙可随时随地根据远程控制操纵变更病毒感染编码,开展别的毁坏个人行为。比如:嵌入挖币病毒感染、敲诈勒索病毒感染等。
火绒工程项目师根据技术性剖析,发觉“TrickBot”早就在2017年就早已出現,本次火绒安全性精英团队阻拦到的为其变异版本号。尽管该病毒感染的新变异五花八门,但其关键总体目标全是窃取客户金融机构账户、登陆密码等信息内容,牟取金钱。
“火绒安全性手机软件”全新版就可以杀毒侧门病毒感染“TrickBot”,提议最近接到过相近电子邮件的客户尽早开展清查。另外,现阶段Microsoft Office早已修补该系统漏洞,提议客户安裝全新补丁下载,以防遭到无须要的损害。
二、 详尽剖析
最近,火绒截获到一批病毒感染样版,会运用废弃物电子邮件相互配合系统漏洞文本文档的方式散播TrickBot病毒感染。电子邮件內容将自身掩藏成汇丰银行金融机构的通告电子邮件,进而哄骗被害者开启配件中储放的系统漏洞文本文档(CVE-2017-11882),文本文档內容一样将自身掩藏成汇丰银行金融机构通告內容。系统漏洞被开启后,病毒感染会根据浏览C C网络服务器免费下载实行TrickBot病毒感染,TrickBot病毒感染实行会恳求远程控制的故意作用控制模块到当地实行,病毒感染控制模块作用包含:窃取客户金融机构账户信息内容、搜集客户当地实际操作系统软件信息内容、手机软件安裝状况等。病毒感染散播与实行故意个人行为步骤图,以下图所显示:

病毒感染散播与实行故意个人行为步骤图

仿冒的电子邮件及文本文档內容,以下图所显示:

电子邮件及文本文档內容

文本文档中常包括的CVE-2017-11882系统漏洞被开启后,会实行PowerShell脚本制作从C C网络服务器(hxxp:// ccmlongueuil.ca、hxxp://guardtrack.uk)免费下载实行远程控制故意编码。PowerShell编码,以下图所显示:

PowerShell编码內容

如圖,PowerShell编码实行之后将TrickBot病毒感染免费下载至 “%TMP%bumsiery.exe”部位后入行实行。系统漏洞开启后的过程关联状况,以下图所显示:

以便抵抗安全性手机软件杀毒,病毒感染被搞混器开展了搞混。在搞混器编码根据建立文本框、推送文本框信息的方法抵抗虚似机模块,在文本框信息解决涵数中建立Timer,当Timer信息持续被响应360次后才可以开启最后的搞混器解密编码。有关编码,以下图所显示:

搞混器编码

病毒感染所应用的标识符串数据信息均被开展过数据加密解决,在病毒感染编码应用有关的标识符串資源时,会根据解密涵数开展临时性解密。解密后的数据信息被储放在栈中,使病毒感染剖析工作人员难以根据查询过程运行内存镜像系统的方式寻找与病毒感染作用有关的数据信息信息内容,进而增加对病毒感染的剖析和反向繁杂度。此外,病毒感染所启用的全部系统软件API所有根据病毒感染获得的涵数详细地址表开展启用,进而用所述方式抵抗安全性生产商的剖析与杀毒。标识符串数据信息解密前后左右实例,以下图所显示:

标识符串数据信息

获得API涵数详细地址表有关编码,以下图所显示:

获得API涵数表

病毒感染实行后,最先会建立方案每日任务建立起动项,且每过3分鐘便会反复实行一次。以下图所显示:

在关键病毒感染编码逻辑性实行后,病毒感染会应用多种多样不一样的指令序号与C C网络服务器开展通讯,进而获得不一样的远端数据信息(包括病毒感染控制模块数据信息及有关配备数据信息),并将当地测算机信息内容和病毒感染运作情况提交到网络服务器。关键指令序号及功效,以下图所显示:

关键指令序号与相匹配作用叙述

C C网络服务器回到的数据信息均被应用AES-256优化算法开展数据加密过,数据信息在被害测算机中也以数据加密方式开展储放,解密密匙也被储放在回传数据信息中。从C C网络服务器恳求到的数据信息文档及作用叙述,以下图所显示:

数据信息文档及作用叙述

TrickBot病毒感染具备较强的扩展性,病毒感染创作者能够随便根据改动C C网络服务器回到数据信息的方法增减病毒感染控制模块,实行随意进攻逻辑性。病毒感染在恳求到控制模块数据信息后,会依据远程控制回到的配备文档启用不一样导出来涵数实行故意编码,TrickBot病毒感染的病毒感染控制模块一般的导出来涵数现有4个,以下图所显示:

病毒感染控制模块导出来涵数 <,控制模块则用于搜集被害者测算机中的系统软件信息内容,下面里将依照病毒感染控制模块开展逐一表明。用以恳求作用控制模块的远程控制配备信息内容,以下图所显示:

用以恳求作用控制模块的远程控制配备信息内容

Injectdll
该病毒感染控制模块最先会被引入到svchost过程开展实行,当根据解析xml搜索访问器过程开展远程控制引入窃取客户帐户信息内容,该病毒感染只对于IE、Chrome和FireFox开展窃取。根据对病毒感染配备信息内容的筛选,大家发觉病毒感染盗取帐户范畴十分之广,共包括金融机构站点、BTC买卖服务平台27一个。配备中常涉及到的某些站点实例,以下图所显示:

病毒感染在检验到访问器开展之后对访问器开展引入,Hook访问器过程中的互联网恳求涵数,依据病毒感染配备标准过虑推送向特定网站地址的数据信息。访问器过程被Hook状况,以下图所显示:

访问器过程被Hook状况

窃取账户有关配备信息内容各自储放在sinj、dinj和dpost中。 sinj解密后配备內容实例,以下图所显示:

sinj配备实例

dinj解密后配备內容实例,以下图所显示:

dinj配备实例

dpost解密后配备內容,以下图所显示:

dpost配备內容 <
控制模块关键用于获得被害者的测算机信息内容,关键会搜集客户系统软件版本号、CPU信息内容、运行内存尺寸信息内容,系统软件服务信息内容,手机软件安裝信息内容等,搜集到的信息内容最后会拼凑成xml文档。搜集当地信息内容编码,以下图所显示:

获得当地系统软件信息内容关键逻辑性

运用WMI查寻当地系统软件版本号信息内容,以下图所显示:

根据WMI查寻系统软件信息内容

根据解析xml申请注册表的方法获得当今系统软件中的手机软件安裝信息内容,以下图所显示:

搜集手机软件安裝信息内容

三、 附录
原文中涉及到样版SHA256: