TrickBot 新动态解析:近万行代码的 Dropper 和滥用
发布时间:2019-09-19 10:35来源: 未知
TrickBot 是自 2016 年以来影响范围最大的银行木马之一,经过几年的发展,现在的 trickBot 可能已经脱离了简单的 " 银行木马 " 的范畴,它的模块化属性将恶意软件提升到了更高的水平。事实上,它可以被视为一种恶意植入,不仅能够入侵银行相关业务,还能为高级攻击者提供渗透公司网络的工具和机制。在过去,有数个威胁组织利用 trickBot 在核心服务器基础设施中接种 Ryuk 勒索软件,导致公司严重的业务中断。
在本文中,我们将分析 TrickBot 最新运作的一些变化情况,包括诱饵 Word 文档,还有一个由近万行高度混淆代码的的 dropper,以及滥用 ADS(Alternate Data Stream,供选数据流)的机制。
技术分析
表 1. 样本信息
诱饵文档用到的技巧其实是非常简单的:攻击者将恶意代码写入文档文本中,将字体设置为白色,只需更改字体颜色就可以看到一些密集显示的 JavaScript 代码。这段代码将在感染链的下一阶段执行,但在深入研究 JavaScript 代码之前,我们将先研究嵌入恶意文档中的宏代码。
图 1. Word 文档的内容
图 2. Word 文档的公开内容
在本文中,我们将分析 TrickBot 最新运作的一些变化情况,包括诱饵 Word 文档,还有一个由近万行高度混淆代码的的 dropper,以及滥用 ADS(Alternate Data Stream,供选数据流)的机制。
技术分析
表 1. 样本信息
诱饵文档用到的技巧其实是非常简单的:攻击者将恶意代码写入文档文本中,将字体设置为白色,只需更改字体颜色就可以看到一些密集显示的 JavaScript 代码。这段代码将在感染链的下一阶段执行,但在深入研究 JavaScript 代码之前,我们将先研究嵌入恶意文档中的宏代码。
图 1. Word 文档的内容
图 2. Word 文档的公开内容