Trickbot,一种于2016年首次出现的恶意软件,能够从Windows主机中窃取系统信息、登录凭证以及其他敏感数据。
Trickbot具有模块化的结构,密码抓取器就是其模块之一。在上个月,Trickbot的密码抓取模块再次升级,将目标应用程序范围扩展到了OpenSSH和OpenVPN。
Trickbot的模块
在成功感染一台Windows主机之后,Trickbot便会下载多个不同的模块,以执行不同的任务。
这些模块将作为加密的二进制文件存储在受感染计算机的“AppData\Roaming”目录下的文件夹中,后续将被解码为DLL文件并在系统内存中运行。
密码抓取器模块
如图1所示,其中一个模块名为“pwgrab64”,这正是Trickbot的密码抓取器模块。该模块能够检索存储在受感染主机浏览器缓存中的登录凭证,并且还能够从受感染主机已安装的其他应用程序中抓取登录凭证。
抓取到的数据将通过TCP端口8082上传到Trickbot使用的IP地址,数据包中所包含的信息如下图所示:
更新后的密码抓取器模块
上月初,Trickbot的密码抓取器模块引起了两个新的HTTP POST请求,它们被确认为:
- OpenSSH私钥
- OpenVPN密码和配置
新模块功能尚不完善
好消息是,Trickbot密码抓取器模块的新功能暂时还无效。虽然无论受感染主机是否安装了OpenSSH或OpenVPN,相对应的HTTP POST请求都会发生,但到目前为止流量包中并不包含任何实际数据。
不过,尽管Trickbot抓取OpenSSH私钥以及OpenVPN密码和配置的新功能尚未实现,但它的新密码抓取器模块的确能够从名为“PuTTY”的SSH/Telnet客户端中抓取SSH密码和私钥。
结论
通过分析Trickbot流量模式的最新变化,我们发现其密码抓取器模块已经被更新。这些更新似乎是为了抓取OpenSSH和OpenVPN应用程序中的数据,但此功能似乎还无法正常工作。
无论如何,事实证明Trickbot仍在持续更新。想要避免遭到Trickbot的感染,最佳的做法仍然是使用最新版本的Windows操作系统并及时安装新发布的补丁。
