欢迎访问Sunbet,Sunbet是欧博Allbet的官方网站!

首页Sunbet_新闻事件正文

TrickBot更新传播模块

admin2020-07-0435恶意软件

TrickBot是2016年发现的一款信息窃取后门,同时用来传播其他恶意软件。TrickBot使用不同的模块来执行不同的功能,其中一个关键功能就是从受感染的Windows客户端传播到有漏洞的Domain Controller (DC)。TrickBot目前使用3个模块来进行传播,2020年4月初,研究人员发现TrickBot将其中的一个模块mworm更新为nworm。Nworm模块的感染不会在受感染的DC中留下痕迹,但是再重启或关机会消失。

TrickBot模块

TrickBot是一款多模块的恶意软件,在感染过程中使用不同的二进制文件来执行不同的功能。在大多数样本中,TrickBot是感染基础是一个保持在硬盘中的恶意Windows可执行文件(exe文件)。该exe文件负责加载TrickBot模块,所以被成为TrickBot加载器。

TrickBot模块是来自系统内存的DLL或exe文件。图1是TrickBot模块的可视化表示:


图 1. TrickBot和其模块的可视化表示

感染Windows 10主机后,TrickBot模块只出现在系统内存中。但是在Windows 7感染主机中,研究人员发现了与保持在硬盘中的模块相关的artifacts。这些artifacts是加密的二进制文件。在TrickBot感染过程中,这些加密的二进制文件会被解密,并从系统内存中运行。图 2是2020年1月Windows 7客户端上感染的TrickBot模块的artifacts示例:


图 2. Windows 7客户端上感染的TrickBot模块的artifacts示例

如图 2所示,artifact名是以64结尾的,也就是说主机运行的是Windows 7的64位版本。如果感染发生在Windows 7主机的32位系统上,这些artifact名就会变成32结尾。

图 2也表明TrickBot用来在Active Directory (AD,活动目录)环境传播的3个模块,分别是:

· mwormDll64 ( “mworm”模块)

· mshareDll64 ( “mshare”模块)

· tabDll64 ( “tab”模块)

传播模块

从2019年9月开始,具有传播功能的TrickBot模块就使用mworm、mshare和tab。在有漏洞的DC上进行传播上生成不同的活动。

对mshare和tab模块:

· 受感染的Windows客户端可以用HTTP URL提取出一个新的TrickBot EXE文件;

· 受感染的Windows客户端会通过SMB流量发送新的TrickBot EXE文件到有漏洞的DC;

对mworm模块:

· 受感染的Windows客户端可以用SMB漏洞利用来攻击有漏洞的DC。

· 有漏洞的DC可以用HTTP URL提取出新的TrickBot EXE来感染自己。

图 3 是这3个TrickBot模块引发的传播流量图:


图 3. TrickBot传播流图(2019年9月-2020年3月)

2020年2月起,这些模块生成的URL来提取TrickBot EXE文件使用了如下模式:

· Mshare模块生成的URL以 /images/cursor.png结尾;

· mworm模块生成的URL以 /images/redcar.png结尾;

· tab模块生成的URL以/images/imgpaper.png结尾。

这些URLs使用的是IP地址而非域名。图4是2020年3月Wireshark抓取的TrickBot感染流量:


图 4. TrickBot的mshare、mworm、tab模块引发的HTTP GET请求

Mworm→Nworm

2020年4月,研究人员在实验室环境生成TrickBot感染时发现TrickBot就不再使用mworm模块了。在感染的Windows 7客户端上出现了一个新的artifact——“nworm”,如图5所示:


图 5. 2020年4月发现的nworm模块

Nworm产生的HTTP流量与mworm产生的HTTP流量是明显不同,具体是:

· mworm: URL是以/images/redcar.png结尾的;

· nworm: URL 是以/ico/VidT6cErs结尾的;

· mworm: TrickBot EXE之后会返回一个非加密的HTTP流量;

· nworm: TrickBot EXE之后会在HTTP流量中返回一个解密的或编码的二进制文件。

通过使用Wireshark抓取和分析TCP流量,可以发现mworm 模块和新nworm模块对HTTP流量带来的不同。图6是2020年3月mworm的流量,图7是2020年4月nworm模块的流量:


图 6. 2020年3月mworm模块引发的HTTP的流量


图 7. 2020年4月nworm模块引发的HTTP的流量

图 8 是当前传播流图:

 图 8. TrickBot的传播流图

与mworm类似,新的nworm模块并没有出现,除非TrickBot感染发生在AD环境中。

Nworm无法实现驻留

Nworm感染了有漏洞的DC后,恶意软件就会从内存中运行。在感染的DC中没有发现artifacts,DC中的TrickBot重启后无法生存。

TrickBot的 mshare 和 tab感染了有漏洞的DC后,感染就会在DC上实现驻留,但通过nworm实现的感染是不持久的。但这对恶意软件来说,并不是一个问题。因为DC是服务器,而服务器关机和重启的频率都很低。

Gtag

每个TrickBot二进制文件都有一个唯一的id——gtag。Gtag在TrickBot二进制文件的配置数据中可以提取出来。在TrickBot感染过程中,Gtag也会出现在HTTP流量中。这用来表明特定的攻击活动或TrickBot二进制文件的感染源。

Gtag是一个端的字母字符串+数字,比如:

· mor-series gtag: mor84

· red-series gtag: red5

TrickBot二进制文件的gtags是唯一的:

· tot-series gtag: mshare 模块使用的TrickBot二进制文件

· jim-series gtag: nworm (mworm) 模块使用的TrickBot二进制文件

· lib-series gtag: tab module模块使用的TrickBot二进制文件

图 9. 初始的TrickBot感染,10.4.20.101的感染客户端的HTTP流量表明gtag是ono38


图 10. TrickBot传播到DC,其中gtag为jim716

本文翻译自:https://unit42.paloaltonetworks.com/goodbye-mworm-hello-nworm-trickbot-updates-propagation-module/

Nexus Repository Manager 2.x 命令注入漏洞 (CVE-2019-5475) 两次绕过

前言 2019年9月初我们应急了Nexus Repository Manager 2.x 命令注入漏洞(CVE-2019-5475),其大致的原因和复现步骤在 hackerone 上公布了,在应急完这个漏洞之后,我们分析该漏洞的修复补丁,发现修复不完全,仍然可以绕过,本篇文章记录该漏洞的两次绕过。虽然早发布了两次的修复版本,由于官方第二次更新公告太慢https://support.sonatype.com/hc/en-us/articles/360033490774,所以现在才发。 几次更新时间线: · CVE-2019-5475(2019-08-09) · 第一次绕过,CVE-2019-15588(2019-10-28) · 第二次绕过,未分配CVE,更新了公告影响版本(2020-3-25) 注:原始漏洞分析、第一次绕过分析、第二次绕过分析部分主要由Badcode师傅编写,第二次绕过分析+、最新版本分析主要由Longofo添加。 原始漏洞分析 利用条件 · 需管理员权限(默认认证:admin/admin123) 漏洞分析 以下分析的代码基于 2.14.9-01 版本。 漏洞

网友评论