Trickbot，一種于2016年首次出現(xiàn)的惡意軟件，能夠從windows主機(jī)中竊取系統(tǒng)信息、登錄憑證以及其他敏感數(shù)據(jù)。

Trickbot具有模塊化的結(jié)構(gòu)，密碼抓取器就是其模塊之一。在上個(gè)月，Trickbot的密碼抓取模塊再次升級(jí)，將目標(biāo)應(yīng)用程序范圍擴(kuò)展到了OpenSSH和OpenVPN。

Trickbot的模塊

在成功感染一臺(tái)Windows主機(jī)之后，Trickbot便會(huì)下載多個(gè)不同的模塊，以執(zhí)行不同的任務(wù)。

這些模塊將作為加密的二進(jìn)制文件存儲(chǔ)在受感染計(jì)算機(jī)的“AppDataRoaming”目錄下的文件夾中，后續(xù)將被解碼為DLL文件并在系統(tǒng)內(nèi)存中運(yùn)行。

圖1.Trickbot在感染64位Windows 7主機(jī)后下載的模塊（11月8日）

密碼抓取器模塊

如圖1所示，其中一個(gè)模塊名為“pwgrab64”，這正是Trickbot的密碼抓取器模塊。該模塊能夠檢索存儲(chǔ)在受感染主機(jī)瀏覽器緩存中的登錄憑證，并且還能夠從受感染主機(jī)已安裝的其他應(yīng)用程序中抓取登錄憑證。

抓取到的數(shù)據(jù)將通過TCP端口8082上傳到Trickbot使用的IP地址，數(shù)據(jù)包中所包含的信息如下圖所示：

圖2.從受感染主機(jī)的Chrome瀏覽器緩存中抓取的登錄憑證

更新后的密碼抓取器模塊

上月初，Trickbot的密碼抓取器模塊引起了兩個(gè)新的HTTP POST請(qǐng)求，它們被確認(rèn)為：

• OpenSSH私鑰
• OpenVPN密碼和配置

圖3.由新的Trickbot密碼抓取器模塊引起的HTTP POST請(qǐng)求（旨在抓取OpenSSH私鑰）

圖4.由新的Trickbot密碼抓取器模塊引起的HTTP POST請(qǐng)求（旨在抓取OpenVPN密碼和配置）

新模塊功能尚不完善

好消息是，Trickbot密碼抓取器模塊的新功能暫時(shí)還無(wú)效。雖然無(wú)論受感染主機(jī)是否安裝了OpenSSH或OpenVPN，相對(duì)應(yīng)的HTTP POST請(qǐng)求都會(huì)發(fā)生，但到目前為止流量包中并不包含任何實(shí)際數(shù)據(jù)。

不過，盡管Trickbot抓取OpenSSH私鑰以及OpenVPN密碼和配置的新功能尚未實(shí)現(xiàn)，但它的新密碼抓取器模塊的確能夠從名為“PuTTY”的SSH/Telnet客戶端中抓取SSH密碼和私鑰。

圖5. 由新的Trickbot密碼抓取器模塊引起的HTTP POST請(qǐng)求（旨在抓取PuTTY密碼）

圖6. 由新的Trickbot密碼抓取器模塊引起的HTTP POST請(qǐng)求（旨在抓取PuTTY私鑰）

結(jié)論

通過分析Trickbot流量模式的最新變化，我們發(fā)現(xiàn)其密碼抓取器模塊已經(jīng)被更新。這些更新似乎是為了抓取OpenSSH和OpenVPN應(yīng)用程序中的數(shù)據(jù)，但此功能似乎還無(wú)法正常工作。

無(wú)論如何，事實(shí)證明Trickbot仍在持續(xù)更新。想要避免遭到Trickbot的感染，最佳的做法仍然是使用最新版本的Windows操作系統(tǒng)并及時(shí)安裝新發(fā)布的補(bǔ)丁。