正正好好五年前，在2016年的10月份，我们的网络安全解决方案首次遇到了一个名为Trickbot（又称TrickLoader或Trickster）的木马。当时主要是出现在家庭电脑上，其主要任务是窃取网上银行服务的登录凭证。然而近期，木马的创造者正积极地将这个银行木马转变为一个多功能的模块化工具。

另外，Trickbot如今在网络犯罪集团中很火，它成为了一个向企业基础设施注入第三方恶意软件的载体。新闻机构最近报道说，Trickbot的作者已经与各种新的合作伙伴勾结，利用该恶意软件使企业基础设施感染各种附加威胁，如Conti赎金软件

这种病毒再利用可能对企业安全运营中心的员工和其他网络安全专家造成额外的麻烦。一些安全解决方案仍然将Trickbot识别为银行特洛伊木马，也就是它的原型。因此，检测到它的信息安全人员可能会把它视作一个意外溜进企业网络的随机家庭用户威胁。事实上，它的存在可能预示着更严重的问题--赎金软件注入企图，甚至可能是有针对性的网络间谍行动的一部分。

我们的专家从该木马的一个C&C服务器上下载了模块，并对它们进行了彻底的分析。

█ 目前Trickbot能做什么

现今的Trickbot的主要目标是在本地网络中渗透和传播。它的操作者可以利用它完成各种任务--从向第三方攻击者转售企业基础设施的访问权，到窃取敏感数据。以下是该恶意软件现在能做的事情：

拦截受感染计算机上的网络流量； 

通过VNC协议提供远程设备控制； 

从浏览器中窃取cookies； 

从注册表、各种应用程序的数据库和配置文件中提取登录凭证，以及窃取私钥、SSL证书和加密数字钱包的数据文件； 

拦截浏览器的自动填充数据和用户在网站上输入的表格信息； 

扫描FTP和SFTP服务器上的文件； 

在网页中嵌入恶意脚本； 

通过本地代理重定向浏览器流量； 

劫持负责证书链验证的API，以欺骗验证结果； 

收集Outlook配置文件凭证，拦截Outlook中的电子邮件并通过其发送垃圾邮件； 

搜索OWA服务并对其进行暴力破解 

获得对硬件的低级别访问； 

在硬件层面上提供对计算机的访问； 

扫描域的漏洞； 

查找SQL服务器的地址并对其执行搜索查询；

通过EternalRomance和EternalBlue漏洞传播；

关于这些模块和入侵指标的详细描述，可以在我们的Securelist帖子上找到。

█ 如何防范Trickbot木马

统计数据显示，今年检测到的大部分Trickbot都是在美国、澳大利亚、中国、墨西哥和法国出现的。然而，这并不意味着其他地区是安全的，特别是考虑到其创造者准备与其他网络罪犯合作的情况。

为了防止你的公司成为这种木马的受害者，我们建议你为所有面向互联网的设备配备一个高质量的安全解决方案。此外，使用网络威胁监测服务来检测公司基础设施中的可疑活动也是个不错的选择。