安全黑客
当前位置:安全黑客文章资讯安全资讯安全新闻
日期:2018-12-01 23:30:00  来源:本站整理

TrickBot POS模块分析[安全新闻]

赞助商链接



  本文“TrickBot POS模块分析[安全新闻]”是由安全黑客为您精心收集,来源于网络转载,文章版权归文章作者所有,本站不对其观点以及内容做任何评价,请读者自行判断,以下是其具体内容:

前几天研究人员发现TrickBot新增加了窃取用户凭证的pwgrab32模块,近日研究人员又发现TrickBot加入了新的POS模块,使这款银行木马变得更加危险。POS模块会扫描受感染的计算机以确定是否连接支持POS服务或设备的网络
下面分析恶意软件作者如何利用这些信息,来入侵安装了POS相关服务的网络。根据攻击者的行为,研究人员认为这是为未来进一步入侵做信息收集的准备。
psfin32模块

图1. TrickBot新模块psfin32
psfin32是TrickBot新加入的POS提取模块,与之前加入的网络域名获取模块类似,只是简单修改来识别域名中与POS相关的项目。从域名控制器和基本账户中识别出POS服务,该模块可以使用LDAP查询来访问负责存储网络中对象信息的Active Directory Services (ADS)。LDAP查询会在Global Catalog中搜索含有以下字符串的dnsHostName:


图2. LDAP查询字符串搜索

图3. LDAP查询机器搜索
如果查询不能解析请求的信息,就执行其他账户或者对象的查询:
sAMAccountName:用于支持Windows操作系统版本,如Windows NT 4.0, Windows 95, Windows 98, LAN Manager。

图4. sAMAccountName用户查询

图5. sAMAccountName组查询
Site Name:

图6. Site name查询
Organizational Unit (OU):

图7. OU查询
除了域名控制器,恶意软件还会使用UserAccountControl (UAC) 8192查询网络中计算机的基本账户或用户。

图8.非域控制器查询
TrickBot提取信息后,会保存到之前配置的log文件中,并通过POST连接发送到C2服务器Dpost。如果C2服务器不能访问,就弹出“Dpost服务器不可达”,否则弹出“报告成功发送”。

图9. C2通信
总结
考虑到该模块应用的时间,研究人员认为攻击者还处于信息收集的阶段。分析的样本中的文档和URL都不能访问了,用户应该注意可疑的邮件、文件和附件。
 


  以上是“TrickBot POS模块分析[安全新闻]”的内容,如果你对以上该文章内容感兴趣,你可以看看安全黑客为您推荐以下文章:
  • TrickBot银行木马最新版本分析报告
  • TrickBot POS模块分析
  • 微软在谈判收购了Softricity
  • <b>BCB中实现TRichEdit的自动格局化</b>
  • TRichEdit右键滚屏代码
  • 让TRichEdit支持BIG5内码
  • 本文地址: 与您的QQ/BBS好友分享!

    文章评论评论内容只代表网友观点,与本站立场无关!

       评论摘要(共 0 条,得分 0 分,平均 0 分) 查看完整评论
    免责条款 - 广告合作 - 下载声明 - 欢迎投稿 - 友情连接 - 网站地图 -
    Copyright © 2012-2013 www.110hack.com. All Rights Reserved .