TrickBot更新傳播模塊

TrickBot是2016年發現的一款信息竊取後門，同時用來傳播其他惡意軟體。TrickBot使用不同的模塊來執行不同的功能，其中一個關鍵功能就是從受感染的Windows客戶端傳播到有漏洞的Domain Controller (DC)。TrickBot目前使用3個模塊來進行傳播，2020年4月初，研究人員發現TrickBot將其中的一個模塊mworm更新為nworm。Nworm模塊的感染不會在受感染的DC中留下痕迹，但是再重啟或關機會消失。

TrickBot模塊

TrickBot是一款多模塊的惡意軟體，在感染過程中使用不同的二進位文件來執行不同的功能。在大多數樣本中，TrickBot是感染基礎是一個保持在硬碟中的惡意Windows可執行文件（exe文件）。該exe文件負責載入TrickBot模塊，所以被成為TrickBot載入器。

TrickBot模塊是來自系統內存的DLL或exe文件。圖1是TrickBot模塊的可視化表示：

圖 1. TrickBot和其模塊的可視化表示

感染Windows 10主機後，TrickBot模塊只出現在系統內存中。但是在Windows 7感染主機中，研究人員發現了與保持在硬碟中的模塊相關的artifacts。這些artifacts是加密的二進位文件。在TrickBot感染過程中，這些加密的二進位文件會被解密，並從系統內存中運行。圖 2是2020年1月Windows 7客戶端上感染的TrickBot模塊的artifacts示例：

圖 2. Windows 7客戶端上感染的TrickBot模塊的artifacts示例

如圖 2所示，artifact名是以64結尾的，也就是說主機運行的是Windows 7的64位版本。如果感染髮生在Windows 7主機的32位系統上，這些artifact名就會變成32結尾。

圖 2也表明TrickBot用來在Active Directory (AD，活動目錄)環境傳播的3個模塊，分別是：

·mwormDll64 ( 「mworm」模塊)

·mshareDll64 ( 「mshare」模塊)

·tabDll64 ( 「tab」模塊)

傳播模塊

從2019年9月開始，具有傳播功能的TrickBot模塊就使用mworm、mshare和tab。在有漏洞的DC上進行傳播上生成不同的活動。

對mshare和tab模塊：

·受感染的Windows客戶端可以用HTTP URL提取出一個新的TrickBot EXE文件；

·受感染的Windows客戶端會通過SMB流量發送新的TrickBot EXE文件到有漏洞的DC；

對mworm模塊：

·受感染的Windows客戶端可以用SMB漏洞利用來攻擊有漏洞的DC。

·有漏洞的DC可以用HTTP URL提取出新的TrickBot EXE來感染自己。

圖 3 是這3個TrickBot模塊引發的傳播流量圖：

圖 3. TrickBot傳播流圖（2019年9月-2020年3月）

2020年2月起，這些模塊生成的URL來提取TrickBot EXE文件使用了如下模式：

·Mshare模塊生成的URL以 /images/cursor.png結尾；

·mworm模塊生成的URL以 /images/redcar.png結尾；

·tab模塊生成的URL以/images/imgpaper.png結尾。

這些URLs使用的是IP地址而非域名。圖4是2020年3月Wireshark抓取的TrickBot感染流量：

圖 4. TrickBot的mshare、mworm、tab模塊引發的HTTP GET請求

MwormNworm

2020年4月，研究人員在實驗室環境生成TrickBot感染時發現TrickBot就不再使用mworm模塊了。在感染的Windows 7客戶端上出現了一個新的artifact——「nworm」，如圖5所示：

圖 5. 2020年4月發現的nworm模塊

Nworm產生的HTTP流量與mworm產生的HTTP流量是明顯不同，具體是：

·mworm: URL是以/images/redcar.png結尾的；

·nworm: URL 是以/ico/VidT6cErs結尾的；

·mworm: TrickBot EXE之後會返回一個非加密的HTTP流量；

·nworm: TrickBot EXE之後會在HTTP流量中返回一個解密的或編碼的二進位文件。

通過使用Wireshark抓取和分析TCP流量，可以發現mworm 模塊和新nworm模塊對HTTP流量帶來的不同。圖6是2020年3月mworm的流量，圖7是2020年4月nworm模塊的流量：

圖 6. 2020年3月mworm模塊引發的HTTP的流量

圖 7. 2020年4月nworm模塊引發的HTTP的流量

圖 8 是當前傳播流圖：

圖 8. TrickBot的傳播流圖

與mworm類似，新的nworm模塊並沒有出現，除非TrickBot感染髮生在AD環境中。

Nworm無法實現駐留

Nworm感染了有漏洞的DC後，惡意軟體就會從內存中運行。在感染的DC中沒有發現artifacts，DC中的TrickBot重啟後無法生存。

TrickBot的 mshare 和 tab感染了有漏洞的DC後，感染就會在DC上實現駐留，但通過nworm實現的感染是不持久的。但這對惡意軟體來說，並不是一個問題。因為DC是伺服器，而伺服器關機和重啟的頻率都很低。

Gtag

每個TrickBot二進位文件都有一個唯一的id——gtag。Gtag在TrickBot二進位文件的配置數據中可以提取出來。在TrickBot感染過程中，Gtag也會出現在HTTP流量中。這用來表明特定的攻擊活動或TrickBot二進位文件的感染源。

Gtag是一個端的字母字元串 數字，比如：

·mor-series gtag: mor84

·red-series gtag: red5

TrickBot二進位文件的gtags是唯一的：

·tot-series gtag: mshare 模塊使用的TrickBot二進位文件

·jim-series gtag: nworm (mworm) 模塊使用的TrickBot二進位文件

·lib-series gtag: tab module模塊使用的TrickBot二進位文件

圖 9. 初始的TrickBot感染，10.4.20.101的感染客戶端的HTTP流量表明gtag是ono38

圖 10. TrickBot傳播到DC，其中gtag為jim716

參考及來源：https://unit42.paloaltonetworks.com/goodbye-mworm-hello-nworm-trickbot-updates-propagation-module/

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！