Trickbot是什么

這篇文章主要為大家展示了“Trickbot是什么”，內(nèi)容簡(jiǎn)而易懂，條理清晰，希望能夠幫助大家解決疑惑，下面讓小編帶領(lǐng)大家一起研究并學(xué)習(xí)一下“Trickbot是什么”這篇文章吧。

前言

Trickbot這款銀行木馬涉及到了多種網(wǎng)絡(luò)攻擊活動(dòng)，但它主要針對(duì)的是銀行機(jī)構(gòu)的網(wǎng)絡(luò)系統(tǒng)。但是現(xiàn)在，TrickBot的更新版本將能夠針對(duì)自助提款服務(wù)以及POS機(jī)設(shè)備來(lái)發(fā)動(dòng)攻擊，并竊取目標(biāo)用戶(hù)的儲(chǔ)蓄卡及信用卡支付數(shù)據(jù)。

概述

近期，TrickBot的惡意活動(dòng)變得越來(lái)越頻繁了，而且它還可以攻擊類(lèi)似Microsoft Outlook、Chrome、Firefox、IE和Edge等瀏覽器或者App，并從中竊取用戶(hù)密碼和其他的敏感數(shù)據(jù)。

除此之外，這款?lèi)阂廛浖拈_(kāi)發(fā)者仍在持續(xù)給TrickBot增加新的功能，比如說(shuō)引入更強(qiáng)大的代碼注入技術(shù)來(lái)繞過(guò)安全檢測(cè)，引入反分析技術(shù)并禁止目標(biāo)計(jì)算機(jī)運(yùn)行安全工具。

目前識(shí)別到的TrickBot樣本已經(jīng)支持POS服務(wù)攻擊功能了。這個(gè)新添加的POS感染模塊名為psfin32，它的作用跟此前攻擊所使用的網(wǎng)絡(luò)域名收集模塊非常類(lèi)似。

研究人員在分析過(guò)程中發(fā)現(xiàn)，模塊代碼中包含了跟POS相關(guān)的術(shù)語(yǔ)，而且代碼使用了LDAP查詢(xún)請(qǐng)求來(lái)訪問(wèn)活動(dòng)目錄服務(wù)（ADS）并識(shí)別目標(biāo)網(wǎng)絡(luò)中的POS服務(wù)。

LDAP查詢(xún)&TrickBot感染過(guò)程

TrickBot主要使用LDAP查詢(xún)來(lái)在Global Catalog中搜索包含了下列子字符串（跟POS服務(wù)相關(guān)）的設(shè)備：

*POS**LANE* *BOH* *TERM**REG* *STORE* *ALOHA* *CASH* *RETAIL* *MICROS*

它使用了不同的LDAP查詢(xún)來(lái)搜索這些子字符串，如果查詢(xún)請(qǐng)求無(wú)法獲取到預(yù)期的響應(yīng)信息，也就是查詢(xún)結(jié)果，那么它將會(huì)查詢(xún)其他的賬號(hào)或者對(duì)象。

當(dāng)Trickbot從目標(biāo)設(shè)備上獲取到了所需信息之后，它將會(huì)把數(shù)據(jù)存儲(chǔ)在預(yù)配置文件中，并通過(guò)POST鏈接將收集到的數(shù)據(jù)傳回遠(yuǎn)程C2服務(wù)器。

如果C2服務(wù)器無(wú)法訪問(wèn)，它將會(huì)返回“Dpost servers unavailable”，否則它將會(huì)發(fā)送“Report successfully sent”。

因此，研究人員提醒廣大企業(yè)及用戶(hù)，不要打開(kāi)任何可疑郵件以及附件文檔，以防止受到此類(lèi)攻擊的威脅。

以上是“Trickbot是什么”這篇文章的所有內(nèi)容，感謝各位的閱讀！相信大家都有了一定的了解，希望分享的內(nèi)容對(duì)大家有所幫助，如果還想學(xué)習(xí)更多知識(shí)，歡迎關(guān)注億速云行業(yè)資訊頻道！