木馬程式Trickbot的新技倆

在超過5年時間,銀行木馬程式Trickbot (又名TrickLoader或Trickster)終於進化成一款多功能工具,讓網絡犯罪份子能夠利用它植入第三方惡意程式到公司的電腦設施,也有報導指Trickbot近日與Conti加密勒索有合作關係。

不再局限於銀行木馬的Trickbot 

Trickbot在主要功能上的轉變為公司的IT管理員和保安專家帶來額外的危險,部份保安方案仍判斷Trickbot為銀行木馬,有機會輕視潛在的危險性。現代的Trickbot主要用作在本地網絡進行滲透和散播,能用於不同的工作之內,例如向第三方攻擊者販賣存取公司設施權限、盜取敏感數據,以下是惡意程式能做到的功能:

  • 搜括用戶名稱、密碼和其他有利於在Active Directory和registry活動的資料
  • 攔截受感染電腦的網絡傳輸
  • 經VNC protocol提供遙距裝置控制
  • 從瀏覽器盜取cookies
  • 從registry、不同應用程式的數據庫和設定檔案拆解登入授權資料,以及盜取private key、SSL證書和加密貨幣錢包的數據檔案。
  • 截取瀏覽器內用戶於網站表格自動填寫的資料
  • 掃瞄FTP和FTP伺服器
  • 把惡意腳本放入網頁
  • 經由本地proxy重新導引瀏覽器傳輸
  • 騎勢負責連串證書認證的API以達到偽冒證書的目的
  • 收集Outlook個人檔案擋權,截取Outlook的電郵並向對方發送垃圾郵件
  • 搜尋OWA服務並以暴力破解它
  • 取得硬件的低層存取
  • 提供硬件程度的存取電腦
  • 掃瞄domain的安全漏洞
  • 尋找SQL的地址並執行對他們的搜索查詢
  • 使用EternalRomance和EternalBlue安全漏洞進行散播
  • 創建VPN連線

模組和其他更詳細的內容可以瀏覽Securelist

如何防範Trickbot

根據統計,今年大部份的Trickbot偵測位於美國、澳洲、中國、墨西哥和法國,但這並不代表其他區域安全,尤其考慮到其製作者與其他網絡犯罪份子合作。為防子公司成為此木馬程式的受害者,建議裝置高品質的網絡安全方案,而配合網絡威脅監察服務來偵測公司內的可疑活動也是不錯的選擇。

資料來源:Kaspersky blog