---
title: trickbot trojan
tags: EXPOSE
---
# contenu exposé selon bombal
Toujours prévoir dans votre plan d'aborder :
- Le passé, l'historique sur le dossier
- De mettre des faits et des chiffres en exergue
- Des parties techniques détaillées (quand c'est possible vous devriez tous rentrer dans du détail technique, avec des examples, etc.).
- d'exposer les éléments d'un point de vue offensif et défensif
- donner des bonnes pratiques
- illustrer avec des exemples concrets
- éventuellement faire une démo
# Plan
1. Contexte Historique (historique)
2. Qu'est ce qu'un Trojan
3. Comment trickbot fonctionne (détails offensifs)
4. Les impacts (chiffres)
5. Les bonnes pratiques (détails défensifs)
6. Demonstration ? (ca implique de creer des petites VM en mode environnement de travail + expliquer ce que fait le trojan en montrant des données coté administrateur réseau par exemple )
## Sous plan
1. Contexte Historique (historique)
- trouver les grosses attaques à la mode en 2016 (https://www.plixer.com/blog/the-10-biggest-cyberattacks-of-2016-infographic/)
- ou histoire de l'utilisation des bots dans les cyberattaques
3. Qu'est ce qu'un Trojan ?
- definition du coup
- les impactes que peuvent avoir les trojan
5. Caracteristiques de Trickbot - comment le reconnaitre
6. Les techniques d'attaques utilisés
7. Quelques Dates Clés (autres dates d'ajout de contenus)
9. Les impacts (chiffres)
10. Comment s'en prémunir - Les bonnes pratiques (détails défensifs)
# Information générale sur trickbot
- Trojan
- 2016
- codé en C++
- origin: Corée du Nord
- transmission: Trickbot is distrubited using spam emails, it might also be distributed using fake Adobe Flash Player updates
- infection: Once the user clicks on the Enable Content button, the malicious macros contained in the document will execute to download and install TrickBot. Once the file is downloaded, it will be saved in the %Temp% folder as sweezy.exe and executed. Once executed, it will copy itself to the %AppData% folder and inject a dll into Svchost.exe that will connect to command & control servers to download further plugins and receive commands to execute. (https://malware.wikia.org/wiki/Trickbot)
- purpose: Trickbot essentially hijacks web browsers and modifies websites displayed by them. The sites are modified such that entered logins and passwords are recorded and sent to a remote server controlled by cyber criminals. More recent versions of TrickBot are capable of locking victim's computer screen. (https://malware.wikia.org/wiki/Trickbot)
# Trickbot historique
>Identifié en 2016 (https://www.lemondeinformatique.fr/actualites/lire-250-millions-de-comptes-e-mail-infectes-par-le-malware-trickbot-75925.html)
>TrickBot is one of the more recent banking Trojans, with many of its original features inspired by Dyreza (another banking Trojan) (https://blog.malwarebytes.com/detections/trojan-trickbot/)
> TrickBot is trojan-type malware designed to steal users' private data (https://malware.wikia.org/wiki/Trickbot)
# Chiffre Trickbot
>250 millions de comptes e-mail infectés (https://www.lemondeinformatique.fr/actualites/lire-250-millions-de-comptes-e-mail-infectes-par-le-malware-trickbot-75925.html)
>Des infections principalement localisées en Amérique du Nord(https://www.lemondeinformatique.fr/actualites/lire-250-millions-de-comptes-e-mail-infectes-par-le-malware-trickbot-75925.html)
> En 2017, Trickbot avait été utilisé par des pirates pour une campagne massive ciblant des centaines de milliers d'utilisateurs en France. [https://www.lemondeinformatique.fr/actualites/lire-250-millions-de-comptes-e-mail-infectes-par-le-malware-trickbot-75925.html]
>Parmi les comptes e-mail infectés, on compte 25,9 millions de messagerie Gmail, 19,1 millions de comptes Yahoo.com et 11,1 millions d'adresses Hotmail.com. (https://www.lemondeinformatique.fr/actualites/lire-250-millions-de-comptes-e-mail-infectes-par-le-malware-trickbot-75925.html)
# Fonctionnement
Fonctionnement
>Trojan.TrickBot focuses on stealing banking information.
TrickBot typically spreads via malicious spam campaigns. It can also spread laterally using the EternalBlue exploit (MS17-010).(https://blog.malwarebytes.com/detections/trojan-trickbot/)
Symptomes
>The endpoint user will not notice any symptoms of a Trickbot infection. However, a network admin will likely see changes in traffic or attempts to reach out to blacklisted IPs and domains, as the malware will communicate with Trickbot’s command and control infrastructure to exfiltrate data and receive tasks.
Trojan.TrickBot gains persistence by creating a Scheduled Task. (https://blog.malwarebytes.com/detections/trojan-trickbot/)
>If you have unprotected endpoints/machines, you can run Farbar Recovery Scan Tool (FRST) to look for possible Indicators of Compromise (IOC). Besides verifying an infection, FRST can also be used to verify removal before bringing an endpoint/machine back into the network.(https://blog.malwarebytes.com/detections/trojan-trickbot/)
Traces:
>Trojan.Trickbot typically creates a folder under %APPDATA%\Roaming to park its modules:
Examples:
%APPDATA%\Roaming\winapp\Modules
%APPDATA%\Roaming\TeamViewer\Modules
# Parties technique détaillé
# point de vue défensif et offensif
# bonne pratiques face a trickbot
# Exemples concrets
# Demo ?
Sign in with Wallet
Connect another wallet