173期报告汇总
安天发布《Trickbot 银行木马变种分析报告》
 
     近日,安天 CERT(安全研究与应急 处理中心)在梳理网络安全事件时发现一 种名为 Trickbot 的银行木马变种开始活跃。 在 2018 年 11 月,Trickbot 曾 出 现 过 一 个 带有密码管理器模块的变种,可以获取多 个应用程序和浏览器的访问权限。在 2019 年 1 月,一个新版本的 Trickbot 变种出现 了,它拥有更强大的密码及证书抓取功能。

     该 Trickbot 木马通过一封伪造的税收 通知邮件进行传播,邮件中包含一个启用 宏的 Excel 附件,一旦用户打开该文件, 恶意宏就会下载并运行 Trickbot 木马。这 次的木马变种与 2018 年 11 月的版本比较 相似,不同之处是它针对 Virtual Network Computing (VNC), PuTTY, Remote Desktop Protocol (RDP) 这 三 个 平 台 增 加 了 新 功能。通过抓取它们的证书,攻击者将可 以远程登录并控制受害者的计算机。为 了抓取 VNC 的凭证信息,密码管理模块 在 "%APPDATA%\Microsoft\Windows\ Recent", "%USERPROFILE%\Documents", "%USERPROFILE%\Downloads" 目 录 下 搜 索 "*.vnc.lnk" 后 缀 的 文 件, 从 中 读 取目标机器的主机名、端口、代理设置 等 信 息, 随 后 访 问 注 册 表 项 "Software\ SimonTatham\Putty\Sessions", 检 索 可用于登录的 PuTTY 证书,最后使用 CredEnumerateA 这 个 API 函 数 获 取 RDP 的凭证信息。最终,模块会从名为 "dpost" 的配置文件中读取一个 C&C 服务器列表, 将窃取到的信息通过 HTTP POST 请求发 向这些服务器。

     安天 CERT 提醒广大政企客户,要提 高网络安全意识,在日常工作中要及时进 行系统更新和漏洞修复,不要随意下载非 正版的应用软件、非官方游戏、注册机等。 收发邮件时要确认收发来源是否可靠,更 加不要随意点击或者复制邮件中的网址, 不要轻易下载来源不明的附件,发现网络 异常要提高警惕并及时采取应对措施,养 成及时更新操作系统和软件应用的好习 惯。确保没有任何计算机运行直接连接到 Internet 的远程桌面服务,而是将运行远程 桌面的计算机放在 VPN 之后,只有使用 VPN 才能访问它们。同时也要做好文件的 备份,以防止勒索软件加密重要文件后无 法恢复。

      目前,安天追影产品已经实现了对该 类恶意代码的检出。