Trickbot
Trickbot 是一种自 2016 年以来一直在感染受害者的信息窃取者和银行恶意软件。Trickbot通过恶意垃圾邮件(malspam)分发,也由其他恶意软件(如Emotet,IcedID或Ursnif)分发。
分析来自恶意垃圾邮件的 Trickbot 感染和通过其他恶意软件分发的 Trickbot 感染。
来自恶意垃圾邮件的 Trickbot 感染
使用basic过滤器过滤,提取对象zip,解压,看到 zip 存档中包含的文件名称 InvoiceAndStatement.lnk
- 通过 TCP 端口 447 和 449 的 HTTPS/SSL/TLS 流量
- 通过 TCP 端口 8082 的 HTTP 流量
- 以 .png 结尾的 HTTP 请求返回 Windows 可执行文件
对144.91.69.195的http请求 返回一个pe文件,这是Trickbot的初始Windows可执行文件。
之后尝试了几次 通过443端口的TCP 连接到不同的 IP 地址。
通过 TCP 端口 447 和 TCP 端口 449 发往各种 IP 地址的 HTTPS/SSL/TLS 流量具有异常的证书数据可以通过过滤ssl.handshake.type == 2 来查看证书颁发者。然后转到帧详细信息部分并展开信息,以下证书颁发者数据用于 HTTPS/SSL/TLS 流量到 187.58.56.26。通过 TCP 端口 449实现 :
- id-at-countryName=AU
- id-at-stateOrProvinceName=Some-State
- id-at-organizationName=Internet Widgits Pty Ltd
Some-State和Internet Widgits Pty Ltd不用于合法的HTTPS/SSL/TLS流量,这种类型的异常证书颁发者数据不仅限于 Trickbot。
通过tpc端口443到 Microsoft 域72.21.81.200的早期流量查看正常的数据颁发者在合法的HTTPS/SSL/TLS 流量中什么样。
受Trickbot感染的Windows主机将使用许多不同的IP地址检查站点检查其IP地址。这些网站不是恶意的,流量本质上也不是恶意的。但是,这种类型的 IP 地址检查在 Trickbot 和其他恶意软件系列中很常见。Trickbot使用的各种合法IP地址检查服务包括:
同样,IP 地址检查本身不是恶意的。但是,这种类型的活动与其他网络流量相结合可以提供感染的指标,就像我们在这种情况下看到的那样。
受感染的 Windows 主机在通过 TCP 端口 449 的 HTTPS/SSL/TLS 流量之后立即检查 IP 地址。本质上不是恶意的,但这是Trickbot感染的一部分。
由 Trickbot 引起的通过 TCP 端口 8082 的 HTTP 流量,此流量从受感染的主机发送信息,例如来自浏览器缓存和电子邮件客户端的系统信息和密码。此信息从受感染的主机发送到 Trickbot 使用的命令和控制服务器。http.request and tcp.port eq 8082过滤
以81结尾的HTTP POST 请求发送 Web 浏览器、电子邮件客户端和其他应用程序缓存的密码数据
以90结尾的HTTP POST 请求发送系统信息
http.request and ip contains .png 过滤
Trickbot通过以.png结尾的HTTP GET请求传输给受害者Windows可执行文件,当受感染的 Windows 主机是 Active Directory 环境中的客户端时,这些后续 Trickbot 可执行文件用于感染易受攻击的域控制器 (DC)
通过其他恶意软件分发的 Trickbot 感染
Trickbot经常通过其他恶意软件进行分发。Trickbot通常被视为Emotet感染的后续恶意软件,但我们也将其视为来自IcedID和Ursnif感染的后续恶意软件
分析Emotet分发的Trickbot流量:
经验丰富的分析师通常可以识别 Emotet 生成的流量和 Trickbot 生成的流量。感染后 Emotet后 活动包括 HTTP 流量和服务器返回的编码数据。这与感染后的Trickbot活动明显不同,后者通常依赖于HTTP / SSL / TLS流量进行命令和控制通信。
此感染发生在 Active Directory 环境中,其中 10.9.25.102 作为受感染的 Windows 客户端,10.9.25.9 作为 DC。在流量的后期,我们看到 DC 表现出 Trickbot 感染的迹象
Trickbot使用EternalBlue漏洞的一个版本,使用微软的SMB协议横向移动。在这种情况下,受感染的 Windows 客户端通过 TCP 端口 445 多次向 10.9.25.9 的 DC 发送信息。对185.98.87.185 HTTP GET 请求/wredneg2.png 
遵循其中一个 TCP 流,这是客户端发送到 DC 的非常不寻常的流量,因此可能与 EternalBlue 漏洞有关。
除了这种不寻常的 SMB 流量和 DC 被感染之外,此 pcap 中的任何特定于 Trickbot 的活动都与之前的示例非常相似。
Ursnif
Ursnif是银行恶意软件,有时被称为Gozi或IFSB。Ursnif 系列恶意软件已经活跃多年,当前样本生成不同的流量模式。
ursnif 可以通过基于 Web 的感染链和恶意垃圾邮件(恶意垃圾邮件)进行分发。在某些情况下,Ursnif是由Hancitor等不同恶意软件家族引起的后续感染
没有 HTTPS 感染后流量的 Ursnif
- 初始 GET 请求的域:w8.wensa[.]at
- 要求提供后续数据:hxxp://api2.casys[.]at/jvasset/xI/t64.dat
- UrsnifGET和POST请求的域:h1.wensa[.]at
具有 HTTPS 感染后流量的 Ursnif
向ghinatronx,com 发起http get请求,
此 TCP 流显示一个 Windows 可执行文件
Emotet
Emotet是一种信息窃取者,于2014年首次报告为银行恶意软件。此后,它发展了其他功能,例如滴管,分发其他恶意软件系列,如Gootkit,IcedID,Qakbot和Trickbot
Emotet通常通过恶意垃圾邮件(恶意垃圾邮件)电子邮件进行分发。Emotet感染链中的关键步骤是一个Microsoft Word文档,其中包含旨在感染易受攻击的Windows主机的宏。
word宏阶段产生的流量分析:
前五个http get请求用于检索初始emotet dll 的五个url
跟踪每个请求的 TCP 流,以查看对每个 HTTP GET 请求的回复。
过滤器 增加http响应
(http.request or http.response or ssl.handshake.type == 1) and !(udp.port eq 1900)
对seo.udaipurkart[.]com的http get请求 返回dll文件,filename=“nDurg8uFD5hl.dll”。
Emotet C2 流量是使用 HTTP POST 请求发送的编码数据,以下过滤器在Wireshark中找到这些请求:
http.request.method eq POST
- 5.2.136[.]90 通过 TCP 端口 80
- 167.71.4[.]0 通过 TCP 端口 8080
在 POST 请求中发送的一些数据被编码为 base64 字符串,并带有一些 URL 编码。
通过 TCP 端口 443重复连接46.101.230[.]194 ,此 IP 地址已用于 Emotet C2 活动。pcap 中的剩余流量是由 Microsoft Windows 10 主机生成的系统流量。
与 SMTP 关联的 TCP 端口(如 TCP 端口 25、465 和 587)
