Trickbot，2016年以來最具影響力的銀行木馬之一。

經過幾年的發(fā)展，Trickbot早已脫離了“銀行木馬”的范疇，其模塊化的結構將它提升到了一個更高的層次——不僅可以入侵銀行相關業(yè)務，還能為攻擊者提供滲透目標網絡的能力。

其實現(xiàn)在的Trickbot更多的是用來傳播其他惡意軟件來針對電腦，甚至可以說是近年來最高級的“病毒種子”之一。

最近，Morphisec實驗室捕獲了一個新的Trickbot木馬。這個新變種除了原有的功能外，還可以通過使用Windows10WSResetUAC繞過用戶賬號控制，然后將惡意有效載荷傳播到目標計算機。

分析表明，Trickbot這種新變種的WSResetUAC旁路是從檢測操作系統(tǒng)版本開始的。

簡單來說，如果運行在Windows7上，新的Trickbot變種會被使用CMSTPLUAUAC繞過；只有在Windows S10上運行時，才會被WSResetUAC繞過。

圖一。操作版本檢查

圖二。UAC旁路模式選擇

據(jù)說WSResetUAC繞過了2019年3月發(fā)現(xiàn)的東西，涉及利用過程。是Microsoft的簽名可執(zhí)行文件，用于重置Windows應用商店設置。

圖3。的配置

新的Trickbot變種可以使用WSResetUAC通過解密其字符串來繞過，如注冊表路徑和要執(zhí)行的命令。

圖4。Trickbot命令列表

Trickbot然后將使用“”添加相關的注冊表項，以便可以使用WSResetUAC繞過它。

圖6。執(zhí)行WSReset之前的注冊表

要繞過的最后一步是執(zhí)行，這將使Trickbot在沒有UAC彈出窗口的情況下以提升權限的權限運行。

圖7。執(zhí)行

UserAccountControl)是微軟在其WindowsVista及更高版本的操作系統(tǒng)中采用的一種控制機制。其原理是通過彈出窗口告知用戶是否授權應用程序使用硬盤和系統(tǒng)文件。

雖然彈窗通知確實會給大家?guī)硪恍┞闊?，但是微軟推出UAC的初衷是間接幫助用戶防止惡意軟件對系統(tǒng)的破壞。所以建議大家盡量不要禁用這個功能，尤其是那些習慣從非官方渠道下載文件或者軟件的人。