Trickbot,2016年以来最具影响力的银行木马之一。
经过几年的发展,Trickbot早已脱离了“银行木马”的范畴,其模块化的结构将它提升到了一个更高的层次——不仅可以入侵银行相关业务,还能为攻击者提供渗透目标网络的能力。
其实现在的Trickbot更多的是用来传播其他恶意软件来针对电脑,甚至可以说是近年来最高级的“病毒种子”之一。
最近,Morphisec实验室捕获了一个新的Trickbot木马。这个新变种除了原有的功能外,还可以通过使用Windows10WSResetUAC绕过用户账号控制,然后将恶意有效载荷传播到目标计算机。
TrickbotVSWin10分析表明,Trickbot这种新变种的WSResetUAC旁路是从检测操作系统版本开始的。
简单来说,如果运行在Windows7上,新的Trickbot变种会被使用CMSTPLUAUAC绕过;只有在Windows S10上运行时,才会被WSResetUAC绕过。
图一。操作版本检查
图二。UAC旁路模式选择
据说WSResetUAC绕过了2019年3月发现的东西,涉及利用过程。是Microsoft的签名可执行文件,用于重置Windows应用商店设置。
图3。的配置
新的Trickbot变种可以使用WSResetUAC通过解密其字符串来绕过,如注册表路径和要执行的命令。
图4。Trickbot命令列表
Trickbot然后将使用“”添加相关的注册表项,以便可以使用WSResetUAC绕过它。
图6。执行WSReset之前的注册表
要绕过的最后一步是执行,这将使Trickbot在没有UAC弹出窗口的情况下以提升权限的权限运行。
图7。执行
标签UserAccountControl)是微软在其WindowsVista及更高版本的操作系统中采用的一种控制机制。其原理是通过弹出窗口告知用户是否授权应用程序使用硬盘和系统文件。
虽然弹窗通知确实会给大家带来一些麻烦,但是微软推出UAC的初衷是间接帮助用户防止恶意软件对系统的破坏。所以建议大家尽量不要禁用这个功能,尤其是那些习惯从非官方渠道下载文件或者软件的人。