TrickBot masrv 模块

概述

TrickBot 自 2016 年以来一直活跃，是最流行的模块化银行木马之一。僵尸网络的模块执行诸如凭证收集、通过网络传播、Web 注入等目标。作为一个积极开发的僵尸网络，我们经常会遇到更新的模块，在某些情况下，还会遇到作为其武器库一部分添加的新工具。

最近，我们发现了一个相对较新的模块，名为 masrv。该模块是一个包含 Masscan 开源工具的网络扫描器。此外，该模块还包含一个未引用的 Anchor C2 通信功能和一个之前与 Anchor 和 Bazar 关联的硬编码 IP 列表。

masrv Masscan

我们认为该模块被用作 TrickBot 的网络侦察工具之一，以收集有关受害者网络的更多信息。

masrv 模块

该模块以 32 位或 64 位 DLL 的形式出现，具体取决于机器人所运行的受害者机器的 Windows 操作系统版本。我们观察到的两个 DLL 都是调试版本，并将其执行记录到标准输出中。

与其他 TrickBot 模块一样，该模块通过其导出函数 Start 和 Control 执行。

开始 控制

模块 C2 的命令

该模块向 C2 发出请求，以接收它需要作为参数传递给 Masscan 的信息。

命令HTTP 方法描述81POST发送结果freqGET获取运行 Masscan 的频率domainsGET获取 IP 地址范围列表，后跟端口 rangeoverGET向 C2 发出扫描已完成的信号rateGET获取传输数据包的速率值npcap.exeGET获取 Nmap 的数据包嗅探库安装程序 命令HTTP 方法描述 命令 命令 HTTP 方法 HTTP 方法 描述 描述 81POST发送结果 81 POST 发送结果 freqGET获取运行 Masscan 的频率 freq GET 获取运行 Masscan 的频率 domainsGET获取 IP 地址范围列表，后跟端口范围 domains GET 获取 IP 地址范围列表，后跟端口范围 over GET rate GET npcap.exe