无图美人的财富牧场: 【技术分享】TrickBot银行木马Web Injects分析

本邮件内容由第三方提供，如果您不想继续收到该邮件，可点此退订。

【技术分享】TrickBot银行木马Web Injects分析 阅读原文»

预估稿费：200RMB

投稿方式：发送邮件至linwei#360.cn，或登陆网页版在线投稿

前言

目前，网上已经有很多关于TrickBot（该恶意软件一度被认为是Dyre银行恶意软件的继承者）木马的分析报告。然而，很少有文章对用于欺骗其受害者的木马核心组件web injects进行分析，因此在本文中我将深入对web injects进行研究和分析。

Web injects

Web injects通常是一段HTML或者javascript代码，这些代码通常被注入到浏览器打开的网页（主要是银行网站）中，允许木马更改或替换网页中的内容或者在网页中显示其他字段。网络攻击者使用Web injects窃取用户在网页上输入的登录凭证，或者向用户发送诱骗其他凭证的请求（非银行发送的请求），例如pin码等。因此，Web injects（也称为发生在浏览器中的攻击）是一种"高明"的技术手段，网络攻击者可以利用该技术实施社会工程攻击或者或自动改变受害者进行的货币交易。

与Dyre木马软件使用的Web injects类型一样，TrickBot使用两种类型的Web injects："web伪造"和"服务器端注入"。TrickBot将其Web injects定义并存储在类似XML的树结构中，配置列表中的每一项定义了目标（银行）网站，web inject类型和托管web inject服务器的IP地址。图1所示的是一个配置列表，该配置列表是在TrickBot进程的内存中找到的。在本文的其余部分中，我将对TrickBot使用的这两种Web injects类型进行阐述。对于每个Web injects类型，我还将阐述银行可以在服务器端用来检测TrickBot的防御措施。

图1：TrickBot配置列表

Web伪造

TrickBot的web伪造是一种网络注入技术，该技术在受害者浏览银行网站时，会将受害者重定向到恶意的服务器。通过伪造银行网站的登录页面，恶意网站服务器有效地将受感染的用户从银行的正版网站诱骗到伪造的恶意网站中来。在TrickBot的Web injects配置列表（如图1所示）中，Web伪造使用sinj标签定义。当受害者登录到伪造的银行网站时，他通常会看到一个"please wait"消息，一旦用户在登录框中输入登录凭证，那么凭证数据便会被发送给攻击者（如图2所示）。

图2：伪造银行登录网页

伪造的服务器在发送登录凭据的时候会在攻击者端触发警报，允许网络攻击者利用窃取到的登录凭证在真实银行的登录页面上登入受害者的银行账户。当受害者还在伪造的服务器上耐心等待时，攻击者已经开始在查看受害者的银行帐户和交易限制信息。在这一点上，异常漫长的等待时间可能是受害者用来判断是否被攻击的指标。由于浏览器的URL地址栏仍包含合法银行网站的域名，因此重定向到伪造的银行网站不会给用户留下任何其他视觉痕迹，即使受害者会检查URL地址栏中的SSL证书，他也只会看到真?div style="border-bottom:1px solid #aaa;margin-bottom:25px">【知识】9月25日 - 每日安全知识热点 阅读原文»