Nworm:TrickBot帮派的新隐式恶意软件传播模块

TrickBot

Trickbot银行木马通过新的恶意软件传播模块再次发展,该模块使用隐身模式悄悄感染Windows域控制器而未被检测到。

TrickBot恶意软件从银行木马开始,随着不断增加的新模块不断发展,使其能够执行各种恶意行为。

这种行为包括:通过网络横向传播,窃取Active Directory服务数据库窃取CookieOpenSSH密钥窃取RDP,VNC和PuTTY凭据,等等。

TrickBot还  Ryuk等勒索软件运营商合作,以访问受感染的网络,以便他们可以部署勒索软件。

认识Nworm:TrickBot恶意软件的隐身传播模块

在Palo Alto Unit 42的最新报告中,研究人员发现TrickBot开发人员已经发布了一个名为“ nworm”的更新的网络传播模块,该模块使用新技术来逃避检测,因为它感染了Windows域控制器。

安装后,TrickBot将评估其正在运行的环境,然后下载各种模块以在受感染的计算机和网络中执行特定的恶意活动。

如果TrickBot检测到它正在Windows Active Directory(AD)环境中运行,则它已下载了名为“ mworm”和“ mshare”的模块,这些模块用于将TrickBot感染传播到易受攻击的域控制器。

该模块通过尝试利用域控制器中的SMB漏洞来实现此目的。

从2019年9月TrickBot开始使用Mworm到2020年3月,mworm模块会将TrickBot可执行文件以未加密的形式传输到易受攻击的域控制器。

2020年3月之前的攻击流程
2020年3月之前的攻击流
来源:帕洛阿尔托42号部队

由于该恶意软件可执行文件不会被加密,因此安装在DC上的安全软件可以检测到该恶意软件,并在复制后立即将其删除。

TrickBot可执行文件的未加密传输
TrickBot可执行文件的未加密传输

为了更难被发现,TrickBot开发人员于2020年4月发布了一个更新的蠕虫模块,称为“ Nworm”,

研究人员在报告中解释说:“到2020年4月,在实验室环境中产生TrickBot感染时,TrickBot停止使用mworm模块。取而代之的是,一个新的名为“ nworm”的工件出现在被感染的Windows 7客户端上。

自2020年4月以来的攻击流
自2020年4月以来的攻击流
来源:Palo Alto Unit 42

这个新的nworm模块不仅对TrickBot可执行文件进行加密,以使其无法被安全软件检测到,而且还会在内存中的域控制器上启动感染。

使用此方法,可以将TrickBot插入域控制器并执行而不会被检测到。

Nworm加密的TrickBot传输
来源:Palo Alto Unit 42

为了进一步提高其隐身性,当感染域控制器时,如果重新启动计算机,TrickBot恶意软件将不会保持持久状态以再次启动。 

由于域控制器很少重新启动,因此这不会造成问题,因为感染应在内存中保持运行较长时间。

通常,威胁者有足够的时间执行并完成攻击。

 

*编译:Domino

*来自:bleepingcomputer