聚焦Trickbot：借助合法的Google重定向URL实现恶意活动

栏目: 后端 · 前端 · 发布时间: 4年前

内容简介：概述近期，我们通过垃圾邮件中的重定向URL，发现了Trickbot银行木马的一个变种（Trend Micro检测为TrojanSpy.Win32.TRICKBOT.THDEAI）。根据我们的监测，该变种利用Google，从URL hxxps://google[.]dm:443/url?q=<trickbot downloader>重定向，其中查询字符串中的URL url?q=<url>是将用户重定向到的恶意URL。重定向URL是一种有效的逃避方法，旨在防止垃圾邮件过滤器阻止包含恶意URL的Trickbot垃

概述

近期，我们通过垃圾邮件中的重定向URL，发现了Trickbot银行木马的一个变种（Trend Micro检测为TrojanSpy.Win32.TRICKBOT.THDEAI）。根据我们的监测，该变种利用Google，从URL hxxps://google[.]dm:443/url?q=重定向，其中查询字符串中的URL url?q=是将用户重定向到的恶意URL。重定向URL是一种有效的逃避方法，旨在防止垃圾邮件过滤器阻止包含恶意URL的Trickbot垃圾邮件。

详细分析

大体看来，垃圾邮件可以通过合法的方式正常传递，甚至可以在其中添加社交媒体图标。邮件的内容声称已经处理订单，并准备好发货。在邮件的正文中，详细说明了包裹的运单号码、交货的免责声明以及卖家的联系方式。网络犯罪分子使用电子邮件中的Google重定向网址来欺骗不知情的用户，诱导这部分用户打开看似无害的网站，从而跳转到攻击者定义的恶意URL。此外，由于该URL来自一个众所周知的站点，也为潜在受害者点击该链接并进行重定向跳转增加了一些可能性。

带有重定向URL的垃圾邮件示例：

聚焦Trickbot：借助合法的Google重定向URL实现恶意活动

电子邮件中的URL用于将用户从Google重定向到Trickbot的下载站点，浏览器将显示重定向通知，显示用户将被发送到其中包含“订单审核”（Order Review）的链接。

重定向通知：

聚焦Trickbot：借助合法的Google重定向URL实现恶意活动

在单击链接以确认重定向之后，用户将被引导至伪装成订单审核页面的恶意站点。该站点包含一个提示，通知用户他们的订单将在3秒内生效。

声称是订单审核页面的恶意网站：

聚焦Trickbot：借助合法的Google重定向URL实现恶意活动

但是，该网站将会自动下载包含Visual Basic脚本（VBS）的.zip文件，该脚本是Trickbot下载程序，一旦执行后，Trickbot就会执行其恶意程序。由于该恶意软件具有模块化的结构，所以Trickbot可以根据其下载和安装的模块，快速部署新功能。它使用的模块具有可以轻松替换的独特功能，从而实现定制攻击。下面列出了该特定恶意软件所使用的模块。

反混淆后的脚本：

聚焦Trickbot：借助合法的Google重定向URL实现恶意活动

Trickbot执行流程：

聚焦Trickbot：借助合法的Google重定向URL实现恶意活动

Trickbot模块功能

下面是Trickbot已知模块的简单描述：

1. importDll32 – 窃取浏览器数据，例如：浏览历史记录、Cookie等。

2. injectDll32 – 将恶意代码注入Web浏览器，以监控用户的在线银行信息。

3. mailsearcher32 – 搜索受影响计算机中的文件，以收集其中包含的电子邮件地址。

4. networkDll32 – 收集受影响计算机上的网络信息并将其发送到C&C服务器。

5. psfin32 – 通过LDAP为POS机配置网络。

6. pwgrab32 – 也称为Password Grabber，该工具可以从Filezilla、Microsoft Outlook和WinSCP等应用程序窃取凭据。

7. shareDll32 – 从URL下载Trickbot加载程序，将加载程序传播到连接到受影响计算机的网络共享，并将加载程序安装为持久性服务

8. systeminfo32 – 收集系统信息，如CPU/操作系统/内存信息、用户帐户，以及已安装程序和当前服务的清单。

9. wormDll32 – 利用MS17-010漏洞进行横向移动。

Trickbot模块：

聚焦Trickbot：借助合法的Google重定向URL实现恶意活动

尽管在恶意邮件中使用链接来传播Trickbot并不是一种特别新的技术，但此次恶意活动中，攻击者对这个老套的方法做出了创新，他们使用了一个合法的URL来绕过垃圾邮件过滤器，并滥用他们的服务或功能。由于电子邮件中通常会包含URL，因此Trickbot背后的网络犯罪分子利用这一点作为掩护，以更加隐蔽的方式扩展器感染链，并试图获得更多受害者的点击。

Trickbot使用的技巧：垃圾邮件、宏以及更多方法

在此前，我们曾经监测到与Trickbot Payload相关的垃圾邮件攻击。通常，相关恶意活动都使用带有恶意附件的垃圾邮件，并将恶意附件伪装成Microsoft Excel文件。尽管在其他的一些恶意活动中，他们声称邮件是来自已知银行和已知金融机构，并将邮件内容伪装成付款通知，但我们此次分析的案例中，Trickbot变体使用的幌子是“订单审核”。一旦用户打开该附件，将会弹出提醒用户启用宏的提示。一旦用户启用，将会执行PowerShell命令，访问恶意链接，并下载Trickbot Payload。

Trickbot以各种方式实现传播，包括Office宏、受密码保护的文档，以及外部的链接。我们经过分析后发现，该恶意软件变种的功能已经从简单地窃取大量应用程序凭据扩展到逃避检测和锁定屏幕。

如何防范Trickbot：安全建议和防护方案

Trickbot的发展已经超出了典型银行木马的发展路线，并且其更新版本可能还会持续出现，在短时间范围内不会消失。举例来说，该恶意软件也被发现作为Payload传递，这一点类似于Emotet的攻击。利用Trickbot的网络犯罪分子主要使用网络钓鱼技术，诱导用户下载附件，并访问能够窃取其凭据的恶意网站。

用户和企业可以积极学习针对垃圾邮件和其他网络钓鱼技术的最佳实践方案，并遵循这些方案进行执行和部署，从而防范此类威胁：

1. 在收到电子邮件后，及时检查发件人地址是否存在明显异常，检查是否来自完全陌生的邮箱地址，或者是否包含明显的语法（拼写）错误。

2. 不要打开来源不明的电子邮件中包含的附件。

3. 在网络中，开启全面的日志记录，并保留一定时间周期内的日志，这样能有助于IT人员跟踪恶意URL流量等可疑活动。

4. 对网络中的潜在威胁进行监控，这可以帮助企业识别传统安全解决方案可能无法检测到的恶意活动。

用户和企业也可以采用多层次的安全防护方案，来抵御Trickbot等威胁所产生的风险。我们建议用户可以选用终端应用程序控制，并确保只下载、安装和查看与白名单应用程序和白名单站点相关的文件、文档和更新，从而减少恶意攻击的风险。用户可以使用终端解决方案，例如安全软件、云安全智能防护套件、企业安全软件、网络防御设备，从而实现对恶意文件和恶意URL的检测，实时保护用户的系统。

IoC

文件名：importDll32.dll

SHA-256：be201f8a0ba71b7ca14027d62ff0e1c4fd2b00caf135ab2b048fa9c3529f98c8

检测为：TSPY_TRICKBOT.NL