Post

TrickShot Bot Analysis

Posted Updated
By Akshit Singh 1 min read

TrickShot Bot

  • We have an application with an icon similar to normal looking pdf file. image

Static Analysis

CFF Explorer

image

Task Manager

image

Dynamic Analysis

Loading the Font:

1

S Sans Serif

using GetFont function.

Online Requests

  • Online Requests I analysed the requests the exe file is trying to make online by using Fakenet. image
1
2
3
4

Host: bdns.io
Get-Request: /r/safetrust.bazar
Port Used: 443
Medium Used: Curl

  • The exe is loading a lot of other exe files with random names and executing them with a hidden window feature.

  • The other exe files are majorly doing the same thing altogether:

image

1
2
3

Host : wpad.localdomain
Get-Request: /wpad.dat
Port Used: 80
  • The Trick Bot is executing the shellcode :
    1

    b'MZ\x90\x00\x03\x00\x00\x00\x04\x00\x00\x00\xff\xff\x00\x00\xb8\x00\x00\x00\x00\x00\x00\x00@\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xe8\x00\x00\x00\x0e\x1f\xba\x0e\x00\xb4\t\xcd!\xb8\x01L\xcd!This program cannot be run in DOS mode.\r\r\n$\x00\x00\x00\x00\x00\x00\x00\xcb\xcc+7\x8f\xadEd\x8f\xadEd\x8f\xadEd\xd9\xb2Vd\xab\xadEd\x8f\xadEd\x82\xadEd\xed\xb2Vd\x9e\xadEd\x8f\xadDd\x18\xacEd\x0c\xb1Kd\x94\xadEdg\xb2Od\x18\xadEdg\xb2Nd\xc0\xadEd7\xabCd\x8e\xadEdRich\x8f\xadEd\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00PE\x00\x00L\x01\x04\x00A\xb2!_\x00\x00\x00\x00\x00\x00\x00\x00\xe0\x00\x0f\x01\x0b\x01\x06\x00\x00\xa0\x01\x00\x00P\x05\x00\x00\x00\x00\x00"b\x00\x00\x00\x10\x00\x00\x00\xb0\x01\x00\x00\x00@\x00\x00\x10\x00\x00\x00\x10\x00\x00\x04\x00\x00\x00\x00\x00\x00\x00\x04\x00\x00\x00\x00\x00\x00\x00\x00\x00\x07\x00\x00\x10\x00\x00\x00\x00\x00\x00\x02\x00\x00\x00\x00\x00\x10\x00\x00\x10\x00\x00\x00\x00\x10\x00\x00\x10\x00\x00\x00\x00\x00\x00\x10\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x008\xfd\x01\x00\xb4\x00\x00\x00\x00\x80\x02\x00\xb0t\x04\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xb0\x01\x00\xd0\x03\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00.text\x00\x00\x00}\x90\x01\x00\x00\x10\x00\x00\x00\xa0\x01\x00\x00\x10\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 \x00\x00`.rdata\x00\x004a\x00\x00\x00\xb0\x01\x00\x00p\x00\x00\x00\xb0\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\x00\x00@.data\x00\x00\x00\xccY\x00\x00\x00 \x02\x00\x00 \x00\x00\x00 \x02\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\x00\x00\xc0.rsrc\x00\x00\x00\xb0t\x04\x00\x00\x80\x02\x00\x00\x80\x04\x00\x00@\x02\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\x00\x00@\x0

    inside the exe files it is creating.

  • These files are Portable Executable Files of 32-bit that access the server and port as mentioned above.

Conclusion

The TrickShot Bot acts as a Spyware that tries to connect to some host at some port and sends the personal data of the victim to the attacker.

YARA RULES:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17

rule trickshot_bot{
    meta: 
        filetype:"Win32 EXE"
        MD5: "7773C8164949A42936C4D1374CF16284"
        SHA-1: "9E92535DC7BCDD7BF677A643F90EE730784EDFC6"
    
    strings:
        $host0 = "wpad.localdomain"
        $file1 = "/wpad.dat"
        $host1 = "/r/safetrust.bazar"
        $host2 = "bdns.io"
        $font = "S Sans Serif"
        $shell_byte_string = b"\xcb\xcc+7\x8f\xadEd\x8f\xadEd\x8f\xadEd\xd9\xb2Vd\xab\xadEd\x8f\xadEd\x82\xadEd\xed\xb2Vd\x9e\xadEd\x8f\xadDd\x18\xacEd\x0c\xb1Kd\x94\xadEdg\xb2Od\x18\xadEdg\xb2Nd\xc0\xadEd7\xabCd\x8e\xadEdRich\x8f\xadEd"
        
    condition:
        unint16(0) == 0x5A4D
}
Malware_Analysis
Malware_Analysis TrickBot
This post is licensed under CC BY 4.0 by the author.