IcedID: Ny malware opdaget af IBM på bankscenen

Indholdsfortegnelse

I en verden, hvor alt styres online, kan vi se, at alle vores data er i en konstant sikkerhedsvariabel, som altid har en tendens til at være sårbar på grund af de tusindvis af angreb, der udføres på nettet.

De fleste af os udfører ofte kommercielle transaktioner over internettet, hvor vores personlige data, bankkontonumre, kreditkortnumre og mere er på spil, hvilket gør dette til en delikat sikkerhedssituation, da hvis det er oplysninger, der falder i de forkerte hænder, kan vi være i alvorlige vanskeligheder.

Sikkerhedsanalytikere, især hvad angår malware, har opdaget en ny trussel, som er en trojansk bank kaldet IcedID, som i øjeblikket er i sine tidlige udviklingsstadier. Solvetic vil analysere, hvordan denne nye trussel fungerer for at træffe de nødvendige sikkerhedsforanstaltninger.

Hvordan denne malware blev opdaget

IBM X-Force-forskergruppen analyserer og overvåger konstant området finansiel cyberkriminalitet med henblik på at opdage begivenheder og tendenser, der former trusselslandskabet både på organisationsniveau og for finansielle forbrugere, der tilsammen udgør millioner.

Efter et år, der har været meget aktivt med hensyn til bankmalware, med angreb som f.eks. Point-of-Sale (POS) malware og ransomware-angreb som WannaCry, identificerede X-Force-teamet en ny, naturligt aktiv bank-trojan, kaldet IcedID .

Ifølge undersøgelser foretaget af X-Force-gruppen opstod den nye bank-trojan i september 2021-2022, da dens første testkampagner blev lanceret. Forskerne observerede, at IcedID besidder modulær ondsindet kode med moderne bank -trojanske funktioner, der kan sammenlignes med malware som Zeus Trojan. Lige nu er malware rettet mod banker, betalingskortudbydere, mobiludbydere, lønningslister, webmail og e-handelswebsteder i USA og to af de store britiske banker er også på listen over mål, som malware når.

IcedID ser ikke ud til at have lånt koden fra andre kendte trojanere, men det implementerer identiske funktioner, der gør det muligt at udføre avanceret browser -manipuleringstaktik. Selvom IcedIDs muligheder allerede er på niveau med andre bank -trojanere som Zeus, Gozi og Dridex, forventes der flere opdateringer til denne malware i de kommende uger.

Malware spredes

X-Force-gruppens analyse af leveringsmetoden for IcedID-malware indikerer, at operatørerne ikke er nye inden for cyberkriminalitet og vælger at inficere brugere via Emotet Trojan. X-Force-undersøgelsen forudsætter, at en trusselsaktør eller lille cybergenre har brugt Emotet som en distribution til bank Trojanere og anden malware-kode i år. Emotets mest fremtrædende angrebszone er USA. I mindre grad er det også målrettet mod brugere i Storbritannien og andre dele af verden.

Emotet er opført som en af ​​de bemærkelsesværdige distributionsmetoder til malware i 2021-2022 og betjener eliteøsteuropæiske cyberkriminalitetsgrupper, såsom dem, der drives af QakBot og Dridex. Emotet opstod i 2014 efter en lækage af den originale kildekode til Bugat Trojan. Oprindeligt var Emotet en bank trojan, der gik forud for Dridex. Som sådan er det designet til at akkumulere og vedligeholde botnets. Emotet fortsætter på maskinen og får derefter yderligere komponenter, f.eks. Et spam -modul, et netværksorm -modul og adgangskode og datatyveri til Microsoft Outlook -e -mail og brugerbrowseraktivitet.

Emotet selv kommer via malspam, normalt i manipulerede produktivitetsfiler, der indeholder ondsindede makroer. Når Emotet inficerer endepunktet, bliver det en tavs bosiddende og betjenes til at betjene malware fra andre cyberkriminelle uden blot at blive opdaget. IcedID kan udføre angreb, der stjæler økonomiske data fra brugeren gennem omdirigeringsangreb, som installerer lokal proxy for at omdirigere brugere til kloningssteder og webinjektionsangreb, med denne metode injiceres browserprocessen for at vise indhold falsk lagt oven på originalen side, der foregiver at være en pålidelig hjemmeside.

IcedID TTP'erTTP'erne (taktik, teknikker og procedurer - taktik, teknikker og procedurer) i IcedID har en række elementer, der skal overvejes og tages i betragtning, når man taler om denne malware. Ud over de mest almindelige trojanske funktioner har IcedID muligheden for at sprede sig på tværs af et netværk, og når den er der, overvåger den offerets onlineaktivitet ved at konfigurere en lokal proxy for trafiktunnelen, som er et koncept, der minder om GootKit -trojaneren. Deres angrebstaktik omfatter webinjektionsangreb og sofistikerede omdirigeringsangreb, der ligner den ordning, der bruges af Dridex og TrickBot.

Formering i netværket

IcedID-operatørerne har til hensigt at fokusere på forretninger, fordi de tilføjede et netværksformationsmodul til malware fra starten. IcedID besidder evnen til at flytte til andre endepunkter, og X-Force-forskere observerede også, at det inficerede terminalservere. Terminalservere forsyner typisk, som navnet antyder, terminaler, såsom slutpunkter, printere og delte netværksenheder, med et fælles forbindelsespunkt til et lokalnetværk (LAN) eller et wide area network (WAN), hvilket tyder på, at IcedID allerede har dirigerede medarbejder -e -mails til jorden på organisatoriske endepunkter, der forlænger sit angreb.

I den følgende grafik kan vi se netværksudbredelsesfunktionerne i IcedID, fra en IDA-Pro:

For at finde andre brugere, der skal inficeres, forespørger IcedID Lightweight Directory Access Protocol (LDAP) med følgende struktur:

IcedID økonomisk svindel TTP'er omfatter to angrebstilstande

  • Webinjektionsangreb
  • Omdiriger angreb

For at gøre dette downloader malware en konfigurationsfil fra Trojans kommando og kontrol (C & C) -server, når brugeren åbner internetbrowseren. Konfigurationen inkluderer mål, for hvilke et webinjektionsangreb vil blive udløst, hovedsageligt banker og andre mål, der var udstyret med omdirigeringsangreb, såsom betalingskort og webmailwebsteder.

Distribution af IcedID nyttelast og tekniske detaljer

X-Force-forskerne gennemførte en dynamisk analyse af prøver af IcedID-malware, og derfra implementeres malware til slutpunkter, der kører forskellige versioner af Windows-operativsystemet. Det ser ikke ud til at besidde nogen avanceret anti-virtuel maskine (VM) eller anti-undersøgelsesteknik, bortset fra følgende:

Kræver en genstart for at fuldføre den fulde implementering, muligvis for at omgå sandkasser, der ikke efterligner genstart. Det kommunikerer gennem Secure Sockets Layer (SSL) for at tilføje et lag af sikkerhed til kommunikation og undgå automatiske scanninger af indtrængningsdetekteringssystemer.
Med denne operation hævder X-Force-forskere, at anti-retsmedicinske funktioner kan anvendes på denne trojaner over tid.

IcedID er implementeret på målets endepunkter ved hjælp af Emotet Trojan som en gateway. Efter genstart skrives nyttelasten til mappen% Windows LocalAppData% med en værdi genereret af nogle operativsystemparametre. Denne værdi bruges både i installationsstien og i RunKey -værdien for filen.
Den fulde konvention for værdien er:

 % LOCALAPPDATA% \ [a-z] {9} \ [a-z] {9} .exe C: \ Users \ User \ AppData \ Local \ ewonliarl \ ewonliarl.exe HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ ewonliarl
Malwaren etablerer sin persistensmekanisme ved at oprette en RunKey i den angivne registreringsdatabase for at sikre dens overlevelse efter systemgenstartshændelser. Efterfølgende skriver IcedID en RSA -krypteringsnøgle til systemet til AppData -mappen. Malware kan skrive til denne RSA -nøgle under implementeringsrutinen, hvilket kan være relateret til det faktum, at webtrafik ledes gennem IcedID -processen, selv når SSL -trafik kanaliseres.
Den midlertidige fil er skrevet med følgende konvention:% TEMP% \ [A-F0-9] {8} .tmp.
 C: \ Users \ User \ AppData \ Roaming \ Microsoft \ Crypto \ RSA \ S-1-5-21-2137145731-2486784493-1554833299-1000 \ fdbe618fb7eb861d65554863fc5da9a0_883f9a43-a12c-410f-b47d-bb7275 \ Users \ Temp \ CACCEF19.tmp
IcedID -processen kører fortsat, hvilket er sjældent for malware. Dette kan betyde, at nogle dele af koden stadig bliver rettet, og dette problem vil ændre sig i den næste opdatering.

Distributionsprocessen slutter her, og malware vil fortsætte med at køre under Explorer -processen, indtil den næste genstart af dette endepunkt. Efter genstartshændelsen udføres nyttelasten, og IcedID Trojan bliver hjemmehørende på slutpunktet. På dette tidspunkt er malware -komponenterne på plads for at begynde at omdirigere offerets internettrafik gennem en lokal proxy, som den kontrollerer.

Hvordan IcedID omdirigerer offerets webtrafik

IcedID konfigurerer en lokal proxy til at lytte til og opfange kommunikation fra offerets endepunkt og omdirigerer al internettrafik gennem den i to humle. Først overføres trafikken til den lokale server, localhost, (127.0.0.1) via port 49157, som er en del af de dynamiske og / eller private TCP / IP -porte. For det andet lytter den ondsindede proces med malware på den port og eksfiltrerer relevant kommunikation til din C & C -server.

Selvom det blev udviklet for nylig, bruger IcedID omdirigeringsangreb. Omdirigeringsordningen, som IcedID bruger, er ikke en simpel overdragelse til et andet websted med en anden URL, tværtimod er den designet til at fremstå så gennemsigtig som muligt for offeret.

Disse taktikker omfatter visning af den legitime banks URL i adresselinjen og bankens korrekte SSL -certifikat, hvilket er muligt ved at opretholde en live -forbindelse til bankens rigtige websted, så vi ikke har mulighed for at opdage truslen. IcedID -omdirigeringsskemaet implementeres gennem konfigurationsfilen. Malwaren lytter efter målwebadressen på listen, og når den finder en trigger, kører den en bestemt webinjektion. Denne webinjektion sender offeret til et falsk banksite, der på forhånd er konfigureret til at matche det oprindeligt anmodede websted ved at simulere deres miljø.

Offeret bliver narret til at fremvise deres legitimationsoplysninger på kopien af ​​den falske side, som ubevidst sender den til angriberens server. Fra det tidspunkt kontrollerer angriberen den session, offeret gennemgår, hvilket typisk inkluderer social engineering for at narre offeret til at afsløre transaktionstilladelseselementer.

Malware kommunikation

IcedID -kommunikation foretages via den krypterede SSL -protokol. Under en kampagne, der blev analyseret i slutningen af ​​oktober, kommunicerede malware med fire forskellige C & C -servere. Følgende grafik viser en skematisk oversigt over IcedID -kommunikations- og infektionsinfrastrukturen:

FORSTØRRE

For at rapportere nye infektioner til botnet sender IcedID en krypteret besked med botens identifikation og grundlæggende systemoplysninger som følger:

De afkodede meddelelsesdele viser følgende detaljer, der sendes til C&C

  • B = Bot -id
  • K = Teamnavn
  • L = Arbejdsgruppe
  • M = operativsystemversion

Fjernindsprøjtningspanel

For at organisere webinjektionsangreb for hvert målbankwebsted har IcedID-operatører et dedikeret webbaseret fjernpanel, der er tilgængeligt med et brugernavn og en adgangskodekombination identisk med den oprindelige bank.
Webinjektionspaneler er ofte kommercielle tilbud, som kriminelle køber på underjordiske markeder. Det er muligt, at IcedID bruger et kommercielt panel, eller at IcedID er kommerciel malware. På nuværende tidspunkt er der dog ingen indikation af, at IcedID sælges på de underjordiske eller Dark Web -markeder.

Et fjerninjektionspanel vil se sådan ud:

Som vi kan se der, bliver brugeren bedt om at indtaste sine legitimationsoplysninger, som han gør på normal måde på sin banks websted. Panelet kommunikerer igen til en server baseret på OpenResty -webplatformen. Ifølge det officielle websted er OpenResty designet til at hjælpe udviklere med nemt at oprette skalerbare webapplikationer, webtjenester og dynamiske webportaler ved at lette deres spredning.

Sådan beskytter vi os mod IcedID

X-Force-forskergruppen rådgiver om anvendelse af sikkerhedsrettelser på browsere, og de har selv udført følgende proces:

Internet explorer

 Tilslut CreateProcessInternalW CertGetCertificateChain CertVerifyCertificateChainPolicy

Firefox

 nss3.dll! SSL_AuthCertificateHook

Andre browsere

 CreateProcessInternalW CreateSemaphoreA

Selvom IcedID stadig er i færd med at sprede sig, vides det ikke med sikkerhed, hvilken indflydelse det vil få på verdensplan, men det er ideelt at være et skridt foran og tage de nødvendige sikkerhedsforanstaltninger.

wave wave wave wave wave