深入研究 Trickbot 的 Web 注入

概述

TrickBot 是一种模块化木马，自 2016 年以来一直活跃在恶意软件领域。它以攻击工具包中包含各种模块而闻名，其中一些模块非常新，一些模块正在积极开发中。这让我们想到了它的 Web 注入模块，injectDLL，自恶意软件首次被发现以来就一直存在。该模块的核心目的仍然保持不变，即向网站注入脚本以窃取信息。然而，最近对该模块进行了一些添加，特别是自从引入其较新的 webinject 配置 winj 以来。

injectDLL winj

值得注意的一项技术是该模块能够绕过证书透明度检查 - 这是一种用于检测恶意 TLS 证书的开放框架。其他一些变化是恶意软件家族使用的技术，例如创建本地主机代理和利用多阶段 JavaScript Web 注入。

在此，我们探索这些最新进展并揭示模块的工作原理。

Webinject 模块设置

通过执行其 Start 和 Control 导出函数来加载模块。

Start Control

Start 导出负责协调 webinject 进程。执行导出时，模块会检查是否能够在受害机器中利用 Windows 的 CryptoAPI 进行 TLS 通信例程。如果未通过此检查，模块将终止。然后，导出会对某些浏览器文件和系统的注册表进行修改（详见此处和此处）。此外，导出还会启动多个线程，每个线程在 Web 注入例程中扮演不同的角色。每个线程的作用详见此处。

开始 这里 这里 这里 控制 sinj dinj dpost winj sinj dinj winj dpost

线程

该模块启动多个线程，每个线程扮演不同的角色。模块启动的线程的示意图如图 1 所示。

图片 1 图片 1

1. Webinject 模块的线程

dpost winj

代理线程