Nworm TrickBot木马，用于静默恶意软件传播模块

Trickbot银行木马程序提供了一个新的恶意软件模块，该模块在没有任何检测的情况下秘密地攻击Windows域控制器。过去，我们发现Trickbot恶意软件中添加了许多新模块，并且不断获取新的附加模块，因此它可以秘密执行多种类型的恶意活动。 Trickbot木马可以窃取cookie，活动目录服务数据库，Open SSHKeys，PuTTY凭据等。网络犯罪分子与TrickBot合作，在目标网络上获得秘密访问以进行勒索软件攻击。

什么是Nworm

根据Palo Alto Unit 42的报告，该欺骗机器人发布了新版本的网络传播模块，即“ nworm”，并且可以避免由于攻击Windows域控制器而被检测到。成功安装后，此特技机器人会对运行环境进行快速分析，并秘密下载后门中的多个模块以执行预定义的恶意活动。它会感染PC以及网络。

过去，我们已经看到，特技机器人如何在“ Windows Active Directory”环境中成功下载“ mworm”和“ mshare”等模块，并成功感染易受攻击的域控制器。该模块利用SMB漏洞攻击域控制器。

Trickbot从2019年9月开始使用Mworm，它将Mrick可执行文件以未加密的形式传输到目标漏洞域控制器。

到2020年3月的攻击流

由于恶意软件可执行文件未加密，因此DC中存在的安全应用程序可以对其进行检测并在复制后将其删除。

因此，开发人员于2020年4月推出了一个新的更新模块，即“ Nworm”，这很难被发现。

自2020年4月以来的攻击流

新的“ nworm”会加密Trickbot可执行文件，因此安全应用程序很难检测到它。此外，感染会在内存中的域控制器上启动。这是在域控制器中入侵TrickBot而不被检测到的非常有效的方法。

为了提高隐身性，如果重新启动PC，则Trickbot不会再次启动。但是，很少重启域控制器。通常，恶意软件会获得足够的时间来执行和完成有害任务。