TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 に関する「個人」の調査・研究のログ

TrickBot (まとめ)

【要点】

◆ 主に英国の銀行サイトをターゲットにするバンキングマルウェア


【辞書】

◆TrickBot (ATT&CK)
https://attack.mitre.org/software/S0266/


【別名】

別名 備考
TrickBot 一般
Totbrick Microsoft
TSPY_TRICKLOAD Trendmicro

【属性】

項目 内容
発見時期 2016/09
種別 トロイの木馬, スパイウェア
前のマルウェア Dyre
通信に使用するポート 443, 447, 8082
C2通信の暗号化 あり(カスタム暗号化)
プロセスインジェクション svchost.exe
開発言語 C++


【マルウェアのコンフィグ】

◆malware_configs/TrickBot/mcconf_files/ (JR0driguezB)
https://github.com/JR0driguezB/malware_configs/tree/master/TrickBot/mcconf_files




【ニュース】

◆銀行狙う高度なマルウェア「TrickBot」、標的を拡大 (ZDNet, 2017/05/02 17:57)
https://japan.zdnet.com/article/35100671/
http://malware-log.hatenablog.com/entry/2017/05/02/000000

◆「Trickbot」マルウェアが「WannaCry」の手法を模倣、悪質化 (ZDNet, 2017/07/31)
https://japan.zdnet.com/article/35105017/
http://malware-log.hatenablog.com/entry/2017/07/31/000000

◆新たな「Trickbot」マルウェアキャンペーン、本物のような銀行の偽サイトにユーザー誘導 (ZDNet, 2017/08/15 11:13)
https://japan.zdnet.com/article/35105759/
http://malware-log.hatenablog.com/entry/2017/08/15/000000

◆ボットネット「Necurs」、攻撃者にエラーレポート返送--攻撃を「品質向上」か (ZDNet, 2017/10/19)
https://japan.zdnet.com/article/35109036/
http://malware-log.hatenablog.com/entry/2017/10/19/000000_1

◆マカフィー脅威レポート、ランサムウェアに続きモバイルマルウェアも急増 (ASCII.jp, 2018/01/17 17:00)
http://ascii.jp/elem/000/001/618/1618763/
http://malware-log.hatenablog.com/entry/2018/01/17/000000_9

◆「Lukitus」「Trickbot」「Emotet」「DragonFly」新たな脅威を生むランサムウエア (@DIME, 2018/01/22)
https://dime.jp/genre/501813/
http://malware-log.hatenablog.com/entry/2018/01/22/000000_1

◆TrickBot Banking Trojan Now Steals RDP, VNC, and PuTTY Credentials (BleepingComputer, 2019/02/12 13:28)
https://www.bleepingcomputer.com/news/security/trickbot-banking-trojan-now-steals-rdp-vnc-and-putty-credentials/
http://malware-log.hatenablog.com/entry/2019/02/12/000000_4

◆「TrickBot」マルウェア利用の攻撃、タックスシーズンに企業など狙う--IBM X-Force報告 (ZDNet, 2019/04/09 11:36)
https://japan.zdnet.com/article/35135456/
http://malware-log.hatenablog.com/entry/2019/04/09/000000

◆「Trickbot」の新しい挙動を確認、リダイレクトURLにより検出を回避 (Trendmicro, 2019/05/30)
https://blog.trendmicro.co.jp/archives/21410
https://malware-log.hatenablog.com/entry/2019/05/30/000000_3

◆マルウエア進化。認証情報、金銭的窃取・身代金型マルウエアが急増 (EconomicNews, 2019/06/03 07:35)
http://economic.jp/?p=85395
https://malware-log.hatenablog.com/entry/2019/06/03/000000_4

◆ランサムウェアに屈した地方自治体がIT担当職員を解雇--フロリダ州レイク・シティ (ZDNet, 2019/07/02 11:20)
https://japan.zdnet.com/article/35139315/
https://malware-log.hatenablog.com/entry/2019/07/02/000000_1

◆大規模ボットネットが息を潜めてアップグレード、6月マルウェアランキング (マイナビニュース, 2019/07/11 10:55)
https://news.mynavi.jp/article/20190711-857435/
https://malware-log.hatenablog.com/entry/2019/07/11/000000_1

◆ステルス能力を獲得したTrickBotがメアド2.5億件を搾取してスパムを撒き散らす (TechCrunch, 2019/07/14)
https://jp.techcrunch.com/2019/07/14/%E3%82%B9%E3%83%86%E3%83%AB%E3%82%B9%E8%83%BD%E5%8A%9B%E3%82%92%E7%8D%B2%E5%BE%97%E3%81%97%E3%81%9Ftrickbot%E3%81%8C%E3%83%A1%E3%82%A2%E3%83%892-5%E5%84%84%E4%BB%B6%E3%82%92%E6%90%BE%E5%8F%96%E3%81%97/
https://malware-log.hatenablog.com/entry/2019/07/14/000000_2

◆世界で最も危険なマルウェアTrickBot、2.5億件のメアドに感染 (Forbes, 2019/07/19 07:30)
https://forbesjapan.com/articles/detail/28489
https://malware-log.hatenablog.com/entry/2019/07/19/000000_4

◆「Trickbot」の新しい亜種を確認、難読化されたJavaScriptを利用 (Trendmicro, 2019/08/09)
https://blog.trendmicro.co.jp/archives/22113
https://malware-log.hatenablog.com/entry/2019/08/09/000000_9


【ブログ】

◆Tricks of the Trade: A Deeper Look Into TrickBot’s Machinations (IBM, 2016/11/09)
https://securityintelligence.com/tricks-of-the-trade-a-deeper-look-into-trickbots-machinations/
http://malware-log.hatenablog.com/entry/2017/05/02/000000

◆New Version of “Trickbot” Adds Worm Propagation Module (Flashpoint, 2017/07/27)
https://www.flashpoint-intel.com/blog/new-version-trickbot-adds-worm-propagation-module/
http://malware-log.hatenablog.com/entry/2017/07/27/000000_12

◆Banking Trojan TrickBot uses self-spreading like WannaCry (Cognore, 2017/08/03)
https://cognore.wordpress.com/2017/08/03/banking-trojan-trickbot-uses-self-spreading-like-wannacry/
http://malware-log.hatenablog.com/entry/2017/08/03/000000_6

◆バンキングトロージャンTrickbot 予想以上に米銀行をターゲットに (Cyxtera, 2017/08/18)
https://www.easysol.net/jp/post/android-banking-trojan-trickbot
http://malware-log.hatenablog.com/entry/2017/08/18/000000_11

◆Smoking Guns - Smoke Loader learned new tricks (Talos, 2018/07/03)
https://blog.talosintelligence.com/2018/07/smoking-guns-smoke-loader-learned-new.html
http://malware-log.hatenablog.com/entry/2018/07/03/000000_4

◆Smoking Gun – Smoke Loader に新たな手口が追加 (Talos(CISCO), 2018/07/11)
https://gblogs.cisco.com/jp/2018/07/talos-smoking-guns-smoke-loader-learned-new/
http://malware-log.hatenablog.com/entry/2018/07/11/000000_6

◆Malware Team Up: Malspam Pushing Emotet + Trickbot (Paloalto, 2018/07/18 05:00)
https://researchcenter.paloaltonetworks.com/2018/07/unit42-malware-team-malspam-pushing-emotet-trickbot/
http://malware-log.hatenablog.com/entry/2018/07/18/000000

◆マルウェアの共闘: EmotetとTrickbotをプッシュするマルスパム (Paloalto, 2018/07/18 05:00)
https://www.paloaltonetworks.jp/company/in-the-news/2018/unit42-malware-team-malspam-pushing-emotet-trickbot
http://malware-log.hatenablog.com/entry/2018/07/18/000000_4

◆機能追加を続ける「TrickBot」、POSシステムを狙う新しいモジュールについて解説 (Trendmicro, 2018/12/26)
https://blog.trendmicro.co.jp/archives/20024
http://malware-log.hatenablog.com/entry/2018/12/26/000000_2

◆「Trickbot」がリモートデスクトップアプリの認証情報を窃取する機能を追加 (Tendmicro, 2019/02/18)
https://blog.trendmicro.co.jp/archives/20375
http://malware-log.hatenablog.com/entry/2019/02/18/000000_2

◆3つの脅威:EmotetによるTrickBotの展開とTrickBotによるデータの窃取およびRyukの拡散 (CyberReason, 2019/06/25)
https://www.cybereason.co.jp/blog/cyberattack/3613/
https://malware-log.hatenablog.com/entry/2019/06/25/000000_7

◆Wireshark Tutorial: Examining Trickbot Infections (Paloalto, 2019/11/08 06:00)
https://unit42.paloaltonetworks.com/wireshark-tutorial-examining-trickbot-infections/
https://malware-log.hatenablog.com/entry/2019/11/08/000000_2


【公開情報】

◆TrickBotバンカーインサイト (Arbor, 2017/05/02)
http://jp.arbornetworks.com/trickbot%E3%83%90%E3%83%B3%E3%82%AB%E3%83%BC%E3%82%A4%E3%83%B3%E3%82%B5%E3%82%A4%E3%83%88/
http://malware-log.hatenablog.com/entry/2017/05/02/000000_3


【関連情報】

f:id:tanigawa:20170506095458p:plain
出典: https://japan.zdnet.com/article/35100671/

f:id:tanigawa:20180808045646p:plain
AD環境で成功したEmotet + Trickbot感染チェーン
https://researchcenter.paloaltonetworks.com/2018/07/unit42-malware-team-malspam-pushing-emotet-trickbot/


【関連まとめ記事】

全体まとめ
 ◆マルウェア / Malware (まとめ)

◆バンキングマルウェア (まとめ)
https://malware-log.hatenablog.com/entry/Banking_Malware


【インディケータ情報】

■ハッシュ情報(Sha256) - TrickBot -

a9b00d12f7fa52209a8ead91bb595522effc0ab5e4dcfa02e0d145ae7ea1cb19

(以上は Trendmicro の情報。 引用元は https://blog.trendmicro.co.jp/archives/20024)

■ハッシュ情報(Sha256) - TrickBot -

5e363a42d019fc6535850a2867548f5b968d68952e1cddd49240d1f426debb73

(以上は IBM の情報。 引用元は https://securityintelligence.com/tricks-of-the-trade-a-deeper-look-into-trickbots-machinations/)


Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2019