Trickbot 年度版本变化情况

SmokeLoader

同样，老牌邮件木马 SmokeLoader 也在第一时间将疫情话题包装到自己的邮件中。
SmokeLoader 属于后门程序，主要功能为连接 C&C并下载各种模块，其后续恶意行为取决于下载 到的模块实现。该家族通过黑市流通，并非商业级木马，通常由个人黑客或小型组织购买使用，并在软
39
件基础上封装，构造攻击链并进行传播。
如今，SmokeLoader 已经成为很多黑客的常用攻击工具，很多黑客借助 SmokeLoader 的隐蔽执行 能力植入功能更全面的其他木马。因此，SmokeLoader 已成为全球恶意邮件网络中重要的一环。而疫 情期间，这些团体或个人也开始注意到新冠信息在木马传播方面的便利性，开始利用疫情诱饵展开攻击。
在本年度发现的案例中，SmokeLoader 使用公共卫生
常识等诱饵图片对某西班牙目标进行了攻击， 其流程如下图：图 33　SmokeLoader 典型攻击流程
该事件展现了 SmokeLoader 的常用攻击手法，包括构建带有 CVE-2018-11882 漏洞的 rtf 文档、使 用 AutoIT 脚本作为中间载荷、使用 Hackitup 注入工具实现进程注入等。最终， SmokeLoader 使用独 有的 PROPagate 注入方式入侵 explorer.exe 并运行。
SmokeLoader 在网络通信上的一大特征在于，C&C的回复消息会伪装成 HTTP 404 信息。如果 C&C主机在线，将响应木马的信息发送大量组件。目前已知的 SmokeLoader 组件包括窃密工具、文件 遍历工具、DDoS 工具等，此外 SmokeLoader 还可以投放其他知名木马或挖矿木马。
由于 SmokeLoader 的使用者多为小团体与个人，占到攻击者群体的大多数，其高活度导致疫情 诱饵邮件数量进一步
泛滥，对一般用户和安全厂商都是一场考验。#### Trickbot
Trickbot 依然是当今最具威胁的银行木马之一，用于盗取用户各类凭据，且在新冠疫情期间极度活跃， 是仅次于 Emotet 的第二大银行木马。

由于高度模块化
，Trickbot 可以轻易地实现功能的集成与扩张。例如，systeminfo 原本是 Trickbot 用来收集系统信息的模块，但伏影实验室
注意到今年上半年某些 变种已经将对应功能添加到主程序中，不再单独下载该模块。今年年初，Bitdefender 团队发现专用于 RDP 定向暴破的新模块 rdpScan[2]，以攻击那些将 RDP 服 务暴露在网络上的目标，包括美国及中国香港的电信、教育和金融服务业机构。而类似功能之前位 于其他模块中，并未独立出来。此外，一些变种在内网传播上也作了改进，将 mworm 模块更新为了 nworm 模块，在成功入侵其他 Windows 域管理器后可实现非驻留的无文件攻击，以减少被发现的几率。
随着恶意活动的增加，Trickbot 甚至开始插手其他平台。今年中旬，有安全厂商发现 Trickbot 将其 Anchor 框架移植到了 Linux上，利用 Linux作为攻击跳板，可感染存在漏洞的 Windows 主机 [3]。
下图显示了本年度 Trickbot 变种版本情况：

图 34　Trickbot 年度版本变化情况
Trickbot 主要通过恶意邮件中的文档进行传播，利用手段主要为恶意 VBA宏和 Office 漏洞。此外，攻击者还使用了恶意 Excel 4.0 宏，并对 Excel 文档进行加密。与人们熟知的 VBA宏不同，Excel 4.0 宏 将 VBA操作分散到 Excel 的各个表格中，以达到隐藏和混淆恶意代码的目的。这种攻击方式在近几年 逐渐增多，主要用于对抗邮件网关和杀软。
图 35　Trickbot 使用过的恶意邮件和 Excel 4.0 宏表格
Trickbot 的另一个重要传播途径来自其恶意家族，如 Emotet、IcedID 以及其他恶意 Loader。此外， Trickbot 也会下发勒索软件和远控，双方狼狈为奸，形成极具威胁的恶意传播链。下图显示 Trickbot 的 传播途径：
图 36　Trickbot 在互联网上的入侵方式

2019 年开始，Trickbot 使用代号 mor 来表明自身通过 Emotet 下发。从 2020 年 1 月时至 10 月， 该代号所附加的数字从 80+ 增加到 130+，显示双方持续合作，并有着形式化的记录方式。因此，mor 版 Trickbot 的活跃度在某种程度上能够反映 Emotet 的活跃度。
当 Emotet 不够活时，其下发的 mor 版 Trickbot 自然就会减少。这种情况发生在 2020 年年初， 当时 Emotet 偃旗息鼓，导致 Trickbot 通过 Emotet 传播的途径暂时中断。对于 mor 版 Trickbot，下图 显示了从 2019 年 11 月起的每月 mor 编号更新个数最低情况：

图 37　Trickbot mor 代号月度更新数量
结合版本变化情况，可见自 2 月的 mor90+ 之后，3 月至 6 月成为了一段双方形式化关联的真空期， 此间几乎没有出现过 mor 版 Trickbot，而后者再度现身时已经是 7 月，且版本已升至 mor110+，中间 缺少了 20+ 的版本数。而这正好对应了 Emotet 在第二季度逐渐减少活动甚至进入休眠的情况。当然，
Trickbot 有着多种传播途径，并未因此受到太大影响。
此外，Trickbot 会下发勒索软件。近几年勒索软件高发，造成各行各业损失惨重。尽管 Trickbot 并 非是所有事件的始作俑者，但其下发勒索的行为已经引发人们的种种担忧。
考虑到银行木马 + 勒索软件的组合攻击链会对美国大选构成巨大威胁，相关机构便决定制裁

Trickbot。2020 年 10 月，微软以法律名义接管并关闭了 Trickbot 组织的大量服务器 [4]。与此同时，美 国军方也开始攻击 Trickbot 服务器 [5]。
目前 Trickbot 仍在继续活动，但已暴露其依附于云服务及托管中心的弱点。而目前大部分活僵尸 网络家族的 C&C部署逐渐依赖云平台，因此微软的做法为恶意家族整治提供了一种思路。

高级威胁攻击⸺ APT 事件

在威胁追踪和检测的过程中，僵尸网络攻击往往针对家用网络、社会活动中部署的路由器、网关、 摄像头和 PC 主机等设备。某些训练有素的攻击者对具有政治及高精技术等背景的政府单位和企业表现 出强烈的兴趣，因此在网络威胁对抗活动中，带有政治目的网络攻击不在少数，大多以窃取机密信息为 主。本年度伏影实验室持续发布 APT事件分析信息，捕获了海莲花、曼玲花、Turla 等多个 APT组织的 活动痕迹。这些组织的目标涵盖了政府、能源、金融、医疗等关键行业，通过邮件、钓鱼网站、物理投 送、欺诈等社会工程学手段持续的威胁关键行业的网络安全。
同时，在追踪 APT组织活动的过程中，我们也逐渐感觉到僵尸网络在攻击活动中的痕迹。大多数 攻击事件往往由僵尸网络引起告警，这些僵尸网络通常会潜伏半年以上。通常出现在网络边界的老旧计 算机或者私人携带的笔记本电脑中，抑或是个人 U盘等便携式存储介质内。虽然这些僵尸网络木马能 被杀毒软件轻易捕获，但仍是传播最为广泛的病毒。由此推断，对于针对性的攻击目标，攻击者不一定 会直接使用强力的攻击手段，而是利用已知且易于忽视的普通病毒进行试探攻击，在一无所获的情况下， 才会采用更高级的战术活动。本章节将介绍 2020 年度伏影实验室捕获的 APT事件详情，以及 2020 年 度 APT活动情况。

年 APT 组织活跃情况及其技术更新

2020 年度，伏影实验室关注了 45 个 APT组织及其活情况。从活程度上来看， Lazarus 组织活 动披露数量最多，其次是 Kimsuky、海莲花等。在一年的观察过程中 APT组织更新了攻击技术及其工具集， 同时也出现了跨平台的攻击框架。本节将列举 2020 年度 APT活动中较为高价值的攻击技术。

MpSvc 侧载攻击 ：海莲花入侵新攻击方法

MsMpEng.exe 是 Windows 反病毒程序 WindowsDefender 的组件之一，会在启动时加载同目录下 名为 MpSvc.dll 的库文件。黑客利用这一特性，让合法的 MsMpEng.exe 加载恶意 MpSvc.dll 文件，实 现绕过 Windows 执行检测的侧载攻击。
本次发现的恶意 Payload：MpSvc.dll 程序使用了一些混淆和字符串隐藏技术来对抗分析。 MpSvc.dll 中包含以下几种典型的代码混淆方法：
test 指令比较全局数据与立即数，根据条件跳过不定长垃圾字节
cmp 指令比较全局数据与立即数，根据条件跳过不定长垃圾字节
jmp 指令直接跳过不定长垃圾字节
这种混淆手法会导致 ida 无法定义这些 junkbytes 的类型，进而阻碍 ida 生成 CFG和 Pseudocode。 这一手段也成为海莲花在 2020 年度最重要的技术更新之一。

参考资料

绿盟 2020 DDoS攻击态势报告

友情链接

绿盟 2019工业控制系统信息安全保障框架