国家计算机病毒应急处理中心通过对互联网的监测,发现TrickBot木马的运营者针对高价值目标开发了PowerShell后门PowerTrick。该恶意程序可以绕过安全控制措施,隐藏在高价值目标(如金融机构)内部,进行持久的侦查从而有针对性的横向移动,获取目标有价值的信息。
PowerTrick启动后会下载其它后门,该过程与Powershell Empire类似。PowerTrick用于执行命令并以Base64格式返回结果,系统使用基于当前计算机信息生成的UUID(通用唯一识别码)作为“唯一识别”。 PowerTrick在执行命令并返回结果,受害者数据被发送回命令控制服务器。PowerTrick还投送带有more_eggs后门的TerraLoader、TrickBot Anchor DNS等恶意软件, PowerTrick还被用于直接执行Shellcode。PowerTrick对系统和网络进行分析后,将删除所有未正确执行的现有文件,然后转到其他目标,或者在环境内横向移动到高价值系统,如财务主机等。PowerTrick执行dir命令以检查文件系统,执行PowerShell脚本以下载锚点DNS后再次发出dir命令以验证下载是否成功。确认下载后,将执行文件并检查计划的任务,再次检查目录以确认文件已成功自删除。然后more_eggs后门通过PowerTrick执行。PowerTrick还会执行PowerShell命令以检查是否存在防病毒产品。
TrickBot木马是一款专门针对各国银行进行攻击的恶意程序,被攻击者用于攻击全球多个国家的金融机构,主要是通过垃圾邮件的方式进行攻击。针对该恶意程序特点,建议用户采取以下措施予以防范,一是不轻易点击来源不明的邮件和附件;二是安装安全防护产品,并更新到最新版本;三是定期进行重要文件的非本地备份。