TrickBot更新傳播模塊
TrickBot是2016年發現的一款信息竊取後門,同時用來傳播其他惡意軟體。TrickBot使用不同的模塊來執行不同的功能,其中一個關鍵功能就是從受感染的Windows客戶端傳播到有漏洞的Domain Controller (DC)。TrickBot目前使用3個模塊來進行傳播,2020年4月初,研究人員發現TrickBot將其中的一個模塊mworm更新為nworm。Nworm模塊的感染不會在受感染的DC中留下痕迹,但是再重啟或關機會消失。
TrickBot模塊
TrickBot是一款多模塊的惡意軟體,在感染過程中使用不同的二進位文件來執行不同的功能。在大多數樣本中,TrickBot是感染基礎是一個保持在硬碟中的惡意Windows可執行文件(exe文件)。該exe文件負責載入TrickBot模塊,所以被成為TrickBot載入器。
TrickBot模塊是來自系統內存的DLL或exe文件。圖1是TrickBot模塊的可視化表示:
圖 1. TrickBot和其模塊的可視化表示
感染Windows 10主機後,TrickBot模塊只出現在系統內存中。但是在Windows 7感染主機中,研究人員發現了與保持在硬碟中的模塊相關的artifacts。這些artifacts是加密的二進位文件。在TrickBot感染過程中,這些加密的二進位文件會被解密,並從系統內存中運行。圖 2是2020年1月Windows 7客戶端上感染的TrickBot模塊的artifacts示例:
圖 2. Windows 7客戶端上感染的TrickBot模塊的artifacts示例
如圖 2所示,artifact名是以64結尾的,也就是說主機運行的是Windows 7的64位版本。如果感染髮生在Windows 7主機的32位系統上,這些artifact名就會變成32結尾。
圖 2也表明TrickBot用來在Active Directory (AD,活動目錄)環境傳播的3個模塊,分別是:
·mwormDll64 ( 「mworm」模塊)
·mshareDll64 ( 「mshare」模塊)
·tabDll64 ( 「tab」模塊)
傳播模塊
從2019年9月開始,具有傳播功能的TrickBot模塊就使用mworm、mshare和tab。在有漏洞的DC上進行傳播上生成不同的活動。
對mshare和tab模塊:
·受感染的Windows客戶端可以用HTTP URL提取出一個新的TrickBot EXE文件;
·受感染的Windows客戶端會通過SMB流量發送新的TrickBot EXE文件到有漏洞的DC;
對mworm模塊:
·受感染的Windows客戶端可以用SMB漏洞利用來攻擊有漏洞的DC。
·有漏洞的DC可以用HTTP URL提取出新的TrickBot EXE來感染自己。
圖 3 是這3個TrickBot模塊引發的傳播流量圖:
圖 3. TrickBot傳播流圖(2019年9月-2020年3月)
2020年2月起,這些模塊生成的URL來提取TrickBot EXE文件使用了如下模式:
·Mshare模塊生成的URL以 /images/cursor.png結尾;
·mworm模塊生成的URL以 /images/redcar.png結尾;
·tab模塊生成的URL以/images/imgpaper.png結尾。
這些URLs使用的是IP地址而非域名。圖4是2020年3月Wireshark抓取的TrickBot感染流量:
圖 4. TrickBot的mshare、mworm、tab模塊引發的HTTP GET請求
MwormNworm
2020年4月,研究人員在實驗室環境生成TrickBot感染時發現TrickBot就不再使用mworm模塊了。在感染的Windows 7客戶端上出現了一個新的artifact——「nworm」,如圖5所示:
圖 5. 2020年4月發現的nworm模塊
Nworm產生的HTTP流量與mworm產生的HTTP流量是明顯不同,具體是:
·mworm: URL是以/images/redcar.png結尾的;
·nworm: URL 是以/ico/VidT6cErs結尾的;
·mworm: TrickBot EXE之後會返回一個非加密的HTTP流量;
·nworm: TrickBot EXE之後會在HTTP流量中返回一個解密的或編碼的二進位文件。
通過使用Wireshark抓取和分析TCP流量,可以發現mworm 模塊和新nworm模塊對HTTP流量帶來的不同。圖6是2020年3月mworm的流量,圖7是2020年4月nworm模塊的流量:
圖 6. 2020年3月mworm模塊引發的HTTP的流量
圖 7. 2020年4月nworm模塊引發的HTTP的流量
圖 8 是當前傳播流圖:
圖 8. TrickBot的傳播流圖
與mworm類似,新的nworm模塊並沒有出現,除非TrickBot感染髮生在AD環境中。
Nworm無法實現駐留
Nworm感染了有漏洞的DC後,惡意軟體就會從內存中運行。在感染的DC中沒有發現artifacts,DC中的TrickBot重啟後無法生存。
TrickBot的 mshare 和 tab感染了有漏洞的DC後,感染就會在DC上實現駐留,但通過nworm實現的感染是不持久的。但這對惡意軟體來說,並不是一個問題。因為DC是伺服器,而伺服器關機和重啟的頻率都很低。
Gtag
每個TrickBot二進位文件都有一個唯一的id——gtag。Gtag在TrickBot二進位文件的配置數據中可以提取出來。在TrickBot感染過程中,Gtag也會出現在HTTP流量中。這用來表明特定的攻擊活動或TrickBot二進位文件的感染源。
Gtag是一個端的字母字元串 數字,比如:
·mor-series gtag: mor84
·red-series gtag: red5
TrickBot二進位文件的gtags是唯一的:
·tot-series gtag: mshare 模塊使用的TrickBot二進位文件
·jim-series gtag: nworm (mworm) 模塊使用的TrickBot二進位文件
·lib-series gtag: tab module模塊使用的TrickBot二進位文件
圖 9. 初始的TrickBot感染,10.4.20.101的感染客戶端的HTTP流量表明gtag是ono38
圖 10. TrickBot傳播到DC,其中gtag為jim716
參考及來源:https://unit42.paloaltonetworks.com/goodbye-mworm-hello-nworm-trickbot-updates-propagation-module/
※UPNP協議存在嚴重漏洞,攻擊者可劫持智能設備發起DDoS攻擊
※Project Zero 對近幾年 iOS 內核漏洞利用技術的總結