在超過5年時間,銀行木馬程式Trickbot (又名TrickLoader或Trickster)終於進化成一款多功能工具,讓網絡犯罪份子能夠利用它植入第三方惡意程式到公司的電腦設施,也有報導指Trickbot近日與Conti加密勒索有合作關係。
不再局限於銀行木馬的Trickbot
Trickbot在主要功能上的轉變為公司的IT管理員和保安專家帶來額外的危險,部份保安方案仍判斷Trickbot為銀行木馬,有機會輕視潛在的危險性。現代的Trickbot主要用作在本地網絡進行滲透和散播,能用於不同的工作之內,例如向第三方攻擊者販賣存取公司設施權限、盜取敏感數據,以下是惡意程式能做到的功能:
- 搜括用戶名稱、密碼和其他有利於在Active Directory和registry活動的資料
- 攔截受感染電腦的網絡傳輸
- 經VNC protocol提供遙距裝置控制
- 從瀏覽器盜取cookies
- 從registry、不同應用程式的數據庫和設定檔案拆解登入授權資料,以及盜取private key、SSL證書和加密貨幣錢包的數據檔案。
- 截取瀏覽器內用戶於網站表格自動填寫的資料
- 掃瞄FTP和FTP伺服器
- 把惡意腳本放入網頁
- 經由本地proxy重新導引瀏覽器傳輸
- 騎勢負責連串證書認證的API以達到偽冒證書的目的
- 收集Outlook個人檔案擋權,截取Outlook的電郵並向對方發送垃圾郵件
- 搜尋OWA服務並以暴力破解它
- 取得硬件的低層存取
- 提供硬件程度的存取電腦
- 掃瞄domain的安全漏洞
- 尋找SQL的地址並執行對他們的搜索查詢
- 使用EternalRomance和EternalBlue安全漏洞進行散播
- 創建VPN連線
模組和其他更詳細的內容可以瀏覽Securelist
如何防範Trickbot
根據統計,今年大部份的Trickbot偵測位於美國、澳洲、中國、墨西哥和法國,但這並不代表其他區域安全,尤其考慮到其製作者與其他網絡犯罪份子合作。為防子公司成為此木馬程式的受害者,建議裝置高品質的網絡安全方案,而配合網絡威脅監察服務來偵測公司內的可疑活動也是不錯的選擇。
資料來源:Kaspersky blog
