TrickBot於2016年被首次發現，其主要目的是竊取目標主機數據，安裝惡意軟件後門。TrickBot擁有不同的功能模塊，可從受感染的Windows客戶端傳感染DC。在2020年4月，TrickBot將其傳播模塊“mworm”更新爲“nworm”。nworm不會在DC上留下任何痕跡，服務器重新啓動或關閉後會消失。

新nworm模塊主要包括：

加密可執行文件和網絡通信流量（舊mworm模塊沒有任何類型的加密/編碼）

TrickBot感染從RAM運行，不可持久存在

通過RAM運行以逃避受感染DC的檢測

本文回顧了TrickBot模塊，並詳細地介紹了新nworm模塊的特性。

TrickBot模塊

TrickBot可以模塊化安裝運行，感染期間可加載各種二進制文件執行不同功能。 在大多數情況下，TrickBot感染的基礎是保存在磁盤的惡意Windows可執行文件（EXE）。 此EXE通常稱爲“ TrickBot加載程序”，可加載TrickBot模塊。 TrickBot模塊是從系統內存運行的動態鏈接庫（DLL）或EXE。

在受感染的Windows 10主機上，TrickBo僅出現在系統內存中。在受感染的Windows 7主機上，在磁盤中會存儲的相關模塊。 在TrickBot感染期間，加密的二進制文件將作爲TrickBot模塊解密並從系統內存中運行。 下圖顯示了2020年1月Windows 7 TrickBot模塊工件示例。

文件名稱以64結尾，說明該主機運行的是Windows 7 64位版本。如果感染髮生在32位Windows 7主機上，這些文件名稱將以32而不是64結尾。

TrickBot在Active Directory（AD）環境中擴展到DC的三個模塊：

mwormDll64（“ mworm”模塊）
mshareDll64（“ mshare”模塊）
tabDll64（“標籤”模塊）

傳播模塊

具有傳播功能的TrickBot模塊爲mworm，mshare和tab，mshare和tab模塊：

受感染的Windows客戶端使用HTTP URL檢索新的TrickBot EXE

受感染的Windows客戶端通過SMB將新的TrickBot EXE發送到易受攻擊的DC

對於mworm模塊：

受感染的Windows客戶端對易受攻擊的DC進行SMB攻擊。

易受攻擊的DC使用HTTP URL檢索新的TrickBot EXE並感染自身。

除非在帶有DC的AD環境中發生TrickBot感染，否則通常不會顯示mworm模塊。

下圖顯示了這三個TrickBot模塊的傳播流程圖：

自2020年2月以來，這些模塊生成的URL遵循以下模式：

mshare模塊以/images/cursor.png結尾
mworm模塊以/images/redcar.png結尾
tab模塊以/images/imgpaper.png結尾

這些URL使用IP地址而不是域。 下圖顯示了2020年3月TrickBot感染流量：

新模塊分析

2020年4月TrickBot停止使用mworm模塊，取而代之的是名爲“nworm”的模塊出現在受感染的Windows 7客戶端上。下圖顯示了這種新的nworm模塊：

nworm的HTTP流量與mworm流量明顯不同：

mworm：TrickBot EXE的URL以/images/redcar.png結尾
nworm：TrickBot EXE的URL以/ico/VidT6cErs結尾
mworm：HTTP流量中TrickBot EXE未加密
nworm：TrickBot EXE會在HTTP流量中加密編碼

使用Wireshark檢查TCP流，可以發現mworm模塊和nworm模塊HTTP流差異。

下圖顯示了當前的傳播流程，突出顯示了nworm模塊變化：

不持久性

nworm感染易受攻擊的DC時，惡意軟件將從內存中啓動。受感染的DC上未發現任何攻擊痕跡，但DC上的TrickBot重新後會消失。mshare和tab感染易受攻擊的DC時，DC重啓後仍然持續存在。對於TrickBot而言，重啓後消失並不是急需解決的問題，因爲DC是一臺服務器，服務器很少像Windows客戶端那樣關閉或重新啓動。

Gtag標識

每個TrickBot都有一個gtag標識符，可從TrickBot二進制文件配置數據中找到。在TrickBot感染期間，也可以在HTTP流量中找到Gtag。

Gtag是一個短字母字符串，後跟一個數字表示序列。示例如下：

mor系列gtag：由Emotet感染引起的TrickBot，例如：TrickBot gtag mor84是由Emotet在2020年1月27日感染的。
ono系列gtag：TrickBot通過惡意Microsoft Office文檔（如Word文檔或Excel電子表格）傳播的。
red系列gtag：TrickBot以DLL文件而不是EXE的形式傳播，例如：2020年3月17日記錄的TrickBot gtag red5。
TrickBot模塊使用的TrickBot二進制文件的Gtag是唯一的。
tot系列gtag：mshare模塊使用的TrickBot二進制文件
jim系列gtag：nworm（和舊的mworm）模塊使用的TrickBot二進制文件
lib系列gtag：tab模塊使用的TrickBot二進制文件

下圖顯示了2020年4月20日Wireshark中的gtag。其中Windows客戶端爲10.4.20.101，DC爲10.4.20.4。

IOCs

HTTP URLs

2020-04-20 – nworm – hxxp://107.172.221[.]106/ico/VidT6cErs
2020-04-20 – mshare – hxxp://107.172.221[.]106/images/cursor.png
2020-04-20 – tab – hxxp://107.172.221[.]106/images/imgpaper.png
2020-05-08 – nworm – hxxp://23.95.227[.]159/ico/VidT6cErs
2020-05-08 – mshare – hxxp://23.95.227[.]159/images/cursor.png
2020-05-08 – tab – hxxp://23.95.227[.]159/images/imgpaper.png

nwormDll64 （Windows 7 client April 24th 2020）

900aa025bf770102428350e584e8110342a70159ef2f92a9bfd651c5d8e5f76b

nwormDll64（Windows 7 client May 8th 2020）

85d88129eab948d44bb9999774869449ab671b4d1df3c593731102592ce93a70

參考來源

unit42

*本文作者：Kriston，轉載請註明來自FreeBuf.COM