每周典型威胁分析

 
     近日，安天 CERT（安全研究与应急 处理中心）在梳理网络安全事件时发现一 种名为 Trickbot 的银行木马变种开始活跃。 在 2018 年 11 月，Trickbot 曾 出 现 过 一 个 带有密码管理器模块的变种，可以获取多 个应用程序和浏览器的访问权限。在 2019 年 1 月，一个新版本的 Trickbot 变种出现 了，它拥有更强大的密码及证书抓取功能。

     该 Trickbot 木马通过一封伪造的税收 通知邮件进行传播，邮件中包含一个启用 宏的 Excel 附件，一旦用户打开该文件， 恶意宏就会下载并运行 Trickbot 木马。这 次的木马变种与 2018 年 11 月的版本比较 相似，不同之处是它针对 Virtual Network Computing (VNC), PuTTY, Remote Desktop Protocol (RDP) 这 三 个 平 台 增 加 了 新 功能。通过抓取它们的证书，攻击者将可 以远程登录并控制受害者的计算机。为 了抓取 VNC 的凭证信息，密码管理模块 在 "%APPDATA%\Microsoft\Windows\ Recent", "%USERPROFILE%\Documents", "%USERPROFILE%\Downloads" 目 录 下 搜 索 "*.vnc.lnk" 后 缀 的 文 件， 从 中 读 取目标机器的主机名、端口、代理设置 等 信 息， 随 后 访 问 注 册 表 项 "Software\ SimonTatham\Putty\Sessions"， 检 索 可用于登录的 PuTTY 证书，最后使用 CredEnumerateA 这 个 API 函 数 获 取 RDP 的凭证信息。最终，模块会从名为 "dpost" 的配置文件中读取一个 C&C 服务器列表， 将窃取到的信息通过 HTTP POST 请求发 向这些服务器。

     安天 CERT 提醒广大政企客户，要提 高网络安全意识，在日常工作中要及时进 行系统更新和漏洞修复，不要随意下载非 正版的应用软件、非官方游戏、注册机等。 收发邮件时要确认收发来源是否可靠，更 加不要随意点击或者复制邮件中的网址， 不要轻易下载来源不明的附件，发现网络 异常要提高警惕并及时采取应对措施，养 成及时更新操作系统和软件应用的好习 惯。确保没有任何计算机运行直接连接到 Internet 的远程桌面服务，而是将运行远程 桌面的计算机放在 VPN 之后，只有使用 VPN 才能访问它们。同时也要做好文件的 备份，以防止勒索软件加密重要文件后无 法恢复。

      目前，安天追影产品已经实现了对该 类恶意代码的检出。