山西太行愚公開山機械設備有限公司  

加關注0

Trickbot，2016年以來最具影響力的銀行木馬之一。

經過幾年的發展，Trickbot早已脫離了“銀行木馬”的范疇，其模塊化的結構將它提升到了一個更高的層次——不僅可以入侵銀行相關業務，還能為攻擊者提供滲透目標網絡的能力。

其實現在的Trickbot更多的是用來傳播其他惡意軟件來針對電腦，甚至可以說是近年來最高級的“病毒種子”之一。

最近，Morphisec實驗室捕獲了一個新的Trickbot木馬。這個新變種除了原有的功能外，還可以通過使用Windows10WSResetUAC繞過用戶賬號控制，然后將惡意有效載荷傳播到目標計算機。

分析表明，Trickbot這種新變種的WSResetUAC旁路是從檢測操作系統版本開始的。

簡單來說，如果運行在Windows7上，新的Trickbot變種會被使用CMSTPLUAUAC繞過；只有在Windows S10上運行時，才會被WSResetUAC繞過。

圖一。操作版本檢查

圖二。UAC旁路模式選擇

據說WSResetUAC繞過了2019年3月發現的東西，涉及利用過程。是Microsoft的簽名可執行文件，用于重置Windows應用商店設置。

圖3。的配置

新的Trickbot變種可以使用WSResetUAC通過解密其字符串來繞過，如注冊表路徑和要執行的命令。

圖4。Trickbot命令列表

Trickbot然后將使用“”添加相關的注冊表項，以便可以使用WSResetUAC繞過它。

圖6。執行WSReset之前的注冊表

要繞過的最后一步是執行，這將使Trickbot在沒有UAC彈出窗口的情況下以提升權限的權限運行。

圖7。執行

UserAccountControl)是微軟在其WindowsVista及更高版本的操作系統中采用的一種控制機制。其原理是通過彈出窗口告知用戶是否授權應用程序使用硬盤和系統文件。

雖然彈窗通知確實會給大家帶來一些麻煩，但是微軟推出UAC的初衷是間接幫助用戶防止惡意軟件對系統的破壞。所以建議大家盡量不要禁用這個功能，尤其是那些習慣從非官方渠道下載文件或者軟件的人。