Trickbot，自 2016 年以來影響範圍最廣的銀行木馬之一。

在經歷了幾年的發展之後，現在的Trickbot早已脫離“銀行木馬”的範疇，其模組化的結構將它提升到了更高的水平——不僅能入侵銀行相關業務，還能為攻擊者提供滲透目標網路的能力。

事實上，現在的Trickbot更多地被用於將其他惡意軟體傳播目標計算機上，甚至可以說是近年來最為先進的“病毒播種機”之一。

最近，Morphisec實驗室捕獲到了新的Trickbot木馬變種。除原始功能外，此新變種還能夠利用Windows 10 WSReset UAC繞過來規避使用者帳戶控制，進而將惡意有效載荷傳播到目標計算機上。

分析表明，此Trickbot新變種的WSReset UAC 繞過從檢測作業系統版本開始。

簡單來說，如果執行在Windows 7上，新的Trickbot變種則會使用CMSTPLUA UAC繞過；只有當執行在Windows 10上時，它才會使用WSReset UAC繞過。

圖1.操作版本檢查

據稱，WSReset UAC繞過在2019年3月被發現的，涉及到利用WSReset.exe程序。WSReset.exe是微軟的一個簽名的可執行檔案，被用於重置Windows應用商店設定。

圖3.WSReset.exe的配置

新的Trickbot變種能夠通過解密其字串來使用WSReset UAC繞過，比如登錄檔路徑以及要執行的命令。

圖4.Trickbot命令列表

然後，Trickbot會使用“reg.exe”來新增相關的登錄檔項，以使其能夠使用WSReset UAC繞過。

繞過的最後一步是執行WSReset.exe，這將使得Trickbot能夠在沒有UAC彈窗的情況下以提權的許可權執行。

圖7.WSReset.exe執行

使用者帳戶控制（User Account Control，UAC）是微軟公司在其Windows Vista及更高版本作業系統中採用的一種控制機制，其原理是通過彈窗通知使用者是否對應用程式使用硬碟驅動器和系統檔案授權。

儘管彈窗通知的確會給大家帶來一定的困擾，但微軟推出UAC的初衷是為了間接幫助使用者阻止惡意軟體損壞系統，因此建議大家儘可能不要禁用此功能，尤其是那些習慣於從非官方渠道下載檔案或軟體小夥伴。