TrickBot金融木马病毒Dropper研究

本年7月份，网安研讨人员捕获到 TrickBot金融木马病毒的新样本，经由过程研讨和阐发发觉，借助于Necurs僵尸收集的春风，TrickBot金融木马软件背后的黑客构造正在对包含新加坡、美国、新西兰、加拿大等24个国度的金融机构提议新一轮收集攻击。本文的重要内容是对TrickBot银行木马的Dropper(DOC00039217.doc)开始深刻的阐发和研讨。

TrickBot银行木马Dropper-DOC00039217.doc

DOC 00039217.doc(样本示比方下图所示)经由过程运转歹意的VBA剧本法式来下载第二阶段木马法式，下载到的木马法式可用于下载并装置其余歹意软件。

文件详细信息

技巧细节

拿到样本以后，咱们起首从该DOC文件的首部开端阐发，在文件首部外面咱们找到了具备XML引用的PK字段，这些发明表现该DOC文件是一个Microsoft Word DOCX和DOCM范例的文件。要反省该DOC文档中都包含了哪些文件，咱们只需将DOC扩大名更改成ZIP扩大名便可，并应用归档管理器关上该ZIP文件，解压以后的文件如下图所示。

在紧缩包文件中，咱们的研讨人员找到了一个包含歹意VBA宏代码的vbaProject.bin文件。在文本编辑器中关上该歹意软件，咱们发明一旦关上DOC00039217.doc这个原始文件，该VBA歹意剧本就会开端运转。在履行的过程当中，该剧本将起首从http://appenzeller.fr/aaaa这个歹意网站高低载一个文件，详细如下图所示：

下载获得的aaaa文件其实是一个VBScript剧本法式，该剧本法式会去挪用Wscript.Shell工具并运转Powershell来下载另一个文件，用于下载此文件的参数变量是由第一个剧本“amphibiousvehicle.eu/0chb7”通报过去的，详细如下图所示：

在阐发该Dropper的过程当中，咱们获得一个重要的发明，那便是上述下载的文件被放到目的机械的%TEMP%文件夹偏重命名为petya.exe，但这个petya.exe文件不是最近的Petya 打单软件，它是一个木马法式。

颠末阐发咱们发明上述咱们下载到的木马法式应用PECompact2加壳工具停止了加壳处置，为了能够或许对加壳法式停止脱壳处置，咱们起首将其加载到咱们的调试器中，并进入调试器抉择的“法式入口点”，详细如下图所示。

而后，咱们跳转到保留在EAX寄存器中的地点，该地点是0x002440e4，如下图所示：

接下来，咱们从0x002440e4地点处的指令开端向下单步履行，不停履行到末了一条指令，该指令应当是一条跳转到其余其余寄存器地点的JMP指令。以后单步履即将使咱们进入到法式的Original Entry Point(OEP)，此时能够应用传统的导入表重修技巧来复原文件。固然纰谬木马软件履行脱壳操纵该歹意法式也能够或许失常履行，然则脱壳后将使得动态阐发变得加倍的轻易。

歹意软件履行后，petya.exe将本身拷贝到目的机械上的Roamingwinapp文件目次，并将其重命名为odsxa.exe文件。在Roamingwinapp文件目次中，petya.exe法式还天生client_id和group_tag这两个文件，这两个文件中包含了无关受害者机械的标识字符串。同时，petya.exe法式还在Roamingwinapp文件目次中天生一个modules文件夹，该文件夹用于保留稍后下载的其余歹意软件/模块/插件，详细如下图所示。

一旦petya.exe法式将一切器械都拷贝到新的文件夹中了，该法式将主动加入，上文中天生的odsxa.exe将会接收继承履行。odsxa.exe法式起首启动SVCHOST.EXE法式并使其处于可叫醒状况，以后在SVCHOST过程内存段中的一个新的代码节中注入木马法式想要履行的歹意代码。这类注入过程是平安的，由于它在SVCHOST.EXE的平安高低文中运转。如许注入后的代码能够在Windows操纵系统中平安的履行而不轻易被平安检测工具辨认到(ps：这类注入伎俩以前平安客平台上曾经有先容过，概况见【技巧分享】Dll注入新姿态：SetThreadContext注入)。

在注入操纵完成以后，SVCHOST.EXE过程将由可叫醒状况转酿成履行状况，它起首经由过程向正当的网站ipinfo.io/ip收回GET哀求来获得受害者机械上的公网IP，详细如下图所示。咱们在group_tag文件中找到了Mac1，在client_id文件中找到了WIN-FD 。

歹意软件在运转的过程当中将连续与C&C服务器树立链接，直到有新的数据必要它去下载。一旦新文件被下载，它们将被放置在winapp目次的modules文件夹中，如下图所示。

也许30分钟以后，多个其余模块被下载到Modules目次，如下图所示。

颠末咱们的的研讨发明，在咱们的会话中下载到的一切数据彷佛都以某种方法被加密或许混杂了，今朝尚不清楚木马法式中的哪些例程被加密或许混杂处置了，然则有一种办法能够测验考试一下，那便是他们应当能够或许在未加壳版本的木马软件中找到。

若何检测该木马软件?

由于该木马软件在完成上并无应用甚么“高超”的伎俩，是以一些主流的防病毒扫描法式平日都能够或许将初始文档(DOC00039217.doc)作为剧本下载器而检测到。第二阶段的加壳文件也能够或许被一些主流的反病毒法式作为通用木马下载法式检测到。并且，Symantec公司的平安研讨人员也对该银行木马停止了阐发，并将该银行木马软件标识为Trojan.Trickybot歹意软件，该公司平安研讨人员宣布的无关该银行木马软件阐发的技巧细节彷佛与本文档中的阐发类似。

纵然应用恰当的BLUECOAT装备来反省HTTPS中的流量，然则GET哀求字符串中的可变长度参数会使寄托流量中的特性来检测该银行木马软件变得轻微有些艰苦，是以最好的减缓战略是间接阻断与该银行木马软件相干的的C&C服务器的IP地点列表，最好的做法是不启用那些陌生人发来的无奈验证的Word文档中的任何宏。

论断

本文对一款银行木马软件的Dropper法式停止了阐发，该Dropper是一个启用了宏的文档，能够下载并履行PECompact2加壳的木马法式。为了扩大其功效，歹意软件彷佛有多个模块能够在受害者的机械高低载并履行法式。

后续更新

颠末咱们进一步的查询拜访发明，DOC00039217.doc文件是TrickBot银行木马软件收集进击运动中的一部分，被称为Dyreza的继任者。这是一个多级木马，能够或许向受害者的机械下载多个模块，以停止凭证盗取，银行讹诈，电子邮件挟制等操纵。概况请参阅MalwareBytes和FidelisSecurity两人宣布的无关该银行木马软件的深刻研究文章。