前几天研究人员发现TrickBot新增加了窃取用户凭证的pwgrab32模块，近日研究人员又发现TrickBot加入了新的POS模块，使这款银行木马变得更加危险。POS模块会扫描受感染的计算机以确定是否连接支持POS服务或设备的网络。下面分析恶意软件作者如何利用这些信息，来入侵安装了POS相关服务的网络。根据攻击者的行为，研究人员认为这是为未来进一步入侵做信息收集的准备。psfin32模块图1. TrickBot新模块psfin32psfin32是TrickBot新加入的POS提取模块，与之前加入的网络域名获取模块类似，只是简单修改来识别域名中与POS相关的项目。从域名控制器和基本账户中识别出POS服务，该模块可以使用LDAP查询来访问负责存储网络中对象信息的Active Directory Services (ADS)。LDAP查询会在Global Catalog中搜索含有以下字符串的dnsHostName：图2. LDAP查询字符串搜索图3. LDAP查询机器搜索如果查询不能解析请求的信息，就执行其他账户或者对象的查询：sAMAccountName:用于支持Windows操作系统版本，如Windows NT 4.0, Windows 95, Windows 98, LAN Manager。图4. sAMAccountName用户查询图5. sAMAccountName组查询Site Name：图6. Site name查询Organizational Unit (OU)：图7. OU查询除了域名控制器，恶意软件还会使用UserAccountControl (UAC) 8192查询网络中计算机的基本账户或用户。图8.非域控制器查询TrickBot提取信息后，会保存到之前配置的log文件中，并通过POST连接发送到C2服务器Dpost。如果C2服务器不能访问，就弹出“Dpost服务器不可达”，否则弹出“报告成功发送”。图9. C2通信总结考虑到该模块应用的时间，研究人员认为攻击者还处于信息收集的阶段。分析的样本中的文档和URL都不能访问了，用户应该注意可疑的邮件、文件和附件。