信息来源:4hou
Trickbot 是2016年首次出现的从有漏洞的Windows主机窃取系统信息、登陆凭证和其他敏感数据的一款恶意软件。Trickbot是一种模块化的恶意软件,其中一个模块就算密码获取模块。2019年11月,研究人员发现Trickbot的密码窃取模块的目标转向了OpenSSH和OpenVPN应用。
Trickbot模块
感染了Trickbot的Windows主机会下载不同的模块来执行不同的功能。这些模块以加密二进制文件的形式保存在受感染用户的AppData\Roaming文件夹中。然后加密的二进制文件会解码为DLL文件,并在系统内存中运行。图1是2019年11月8日Trickbot感染64位Windows 7系统主机生成的编码的Trickbot模块。
图 1. 2019年11月8日Trickbot 感染的模块
密码窃取模块
如图1所示,其中一个模块名为pwgrab64,这也是Trickbot使用的密码窃取模块。该模块会从受害者的浏览器缓存中提取出登陆凭证,并从受害者主机的其他应用中获取登陆凭证。该密码窃取模块和其他模块会将窃取的数据用未加密的HTTP数据包通过TCP 8082端口发送到Trickbot使用的IP地址中。如图2所示,就是从感染了Trickbot的主机中的抓包数据中收集的信息。这是从受感染用户的Chrome浏览器缓存中窃取的登陆凭证示例。
图 2. 从受感染的用户Chrome浏览器缓存中窃取的登陆凭证
密码窃取模块更新
从最近Trickbot感染的流量模式中可以发现其与2019年11月的感染情况是一致的。首先看一下密码窃取器的2个HTTP POST请求:
1、OpenSSH私钥
2、OpenVPN密码和configsls
OpenVPN那行,configsls可能是configs的错误拼写。图3和图4是含有这些id的HTTP POST请求示例。
图 3. Trickbot密码窃取模块窃取OpenSSH私钥的HTTP POST请求
图 4. Trickbot密码窃取模块窃取Open OpenVPN密码和配置的HTTP POST请求
更新不起作用?
Trickbot的密码窃取模块更新可能并没有完全起作用。密码窃取器窃取OpenSSH和OpenVPN的HTTP POST请求并不管受害者主机中是否安装了OpenSSH或OpenVPN。而且研究人员在请求中并没有发现什么数据。
研究人员在实验室环境下对配置了OpenSSH和OpenVPN应用的Windows 7和Windows 10主机进行了测试,也没有发现任何数据。密码窃取器对OpenSSH和OpenVPN应用窃取所产生的HTTP POST请求是不含有数据的。
但Trickbot的密码窃取器模块会从PuTTY(SSH/Telnet客户端)窃取SSH密码和私钥。图5和图6是从感染了Trickbot并安装了PuTTY的主机中密码窃取器窃取到云服务器的SSH连接的私钥。
图 5. Trickbot密码窃取器模块窃取PuTTY应用产生的HTTP POST请求
图 6. Trickbot密码窃取器模块窃取PuTTY使用的私钥产生的HTTP POST请求
结论
本文描述了Trickbot流量模式的最新变化,表明对密码窃取器模块产生的一些变化。这些更新表明更新的目标是来自OpenSSH和OpenVPN应用的数据,但这些功能好像还不能正常工作。但更新后的密码窃取模块是可以从PuTTY这样的SSH相关的应用中窃取私钥这样的敏感数据的。流量模式的更新表明Trickbot仍然在不断进化。