详细内容或原文请订阅后点击阅览
TrickBot 和 Zeus
概述 TrickBot 是一种成熟且广泛使用的多用途木马。自 2016 年以来一直活跃,本质上是模块化的,它可以实现从凭证盗窃到横向移动的各种目标。恶意软件的许多功能都是作为独立模块提供的,恶意软件被指示从 C2 下载。最初,TrickBot 的主要重点是银行欺诈,但后来转向针对企业的勒索软件攻击,最终导致其欺诈行动停止。
来源:Kryptos Logic _恶意软件概述
TrickBot 是一种成熟且广泛使用的多用途木马。自 2016 年以来一直活跃,本质上是模块化的,它可以实现从凭证盗窃到横向移动的各种目标。该恶意软件的许多功能都是以独立模块的形式提供的,恶意软件被指示从 C2 下载。最初,TrickBot 的主要重点是银行欺诈,但后来转向针对企业的勒索软件攻击,最终导致其欺诈行动停止。
2021 年 6 月,Kryptos Logic 威胁情报团队开始观察 TrickBot webinject 模块的新发展。TrickBot 的 webinject 模块支持静态和动态注入配置。静态注入类型会导致受害者被重定向到攻击者控制的预期目标站点的副本,然后可以在那里收集凭据。动态注入类型透明地将服务器响应转发到 TrickBot C2,然后修改源以包含恶意组件,然后再将其返回给受害者,就好像它来自合法站点一样。在 webinject 模块的当前迭代中,注入是通过本地 SOCKS 服务器代理流量来实现的,如果流量与目标 URL 列表匹配,则流量会进行相应修改。
通过我们的监控,我们能够获得该模块的调试版本,其中包含正在测试的新功能。在 webinject 功能的这次演变中,TrickBot 增加了对 Zeus 样式 webinject 配置的支持。在开发过程中,该模块以测试名称提供服务,并支持名为 zeus 的解析配置。从那时起,我们观察到更新后的模块以 injectionDll 的名称推送给真正的受害者,取代了他们的旧 webinject 模块。以前,webinject 配置存储在两个名为 sinj(静态注入)和 dinj(动态注入)的文件中。现在,存在一个名为 winj 的配置文件,其中包含 Zeus 风格的 webinjects。
zeus