IcedID: Ny skadlig kod upptäckt av IBM på bankscenen

Innehållsförteckning

I en värld där allt hanteras online kan vi se att alla våra data finns i en konstant säkerhetsvariabel som alltid har en tendens att vara sårbar på grund av de tusentals attacker som utförs på webben.

De flesta av oss genomför ofta kommersiella transaktioner över Internet där våra personuppgif.webpter, bankkontonummer, kreditkortsnummer och mer står på spel, vilket gör detta till en känslig säkerhetssituation eftersom vi kan vara om det är information som hamnar i fel händer. i allvarliga svårigheter.

Säkerhetsanalytiker, särskilt när det gäller skadlig kod, har upptäckt ett nytt hot, som är en banktrojan som heter IcedID, som för närvarande är i sina tidiga utvecklingsstadier. Solvetic kommer att analysera hur detta nya hot fungerar för att vidta nödvändiga säkerhetsåtgärder.

Hur denna skadliga program upptäcktes

IBM X-Force-forskargruppen analyserar och övervakar ständigt det finansiella cyberbrottsligheten för att upptäcka händelser och trender som formar hotlandskapet både på organisationsnivå och för finansiella konsumenter, vilket ger miljoner.

Efter ett år som har varit mycket aktivt när det gäller banktjänster, med attacker som skadlig kod (POS) och ransomware-attacker som WannaCry, identifierade X-Force-teamet en ny, naturligt aktiv bank trojan som heter IcedID .

Enligt forskning som gjorts av X-Force-gruppen uppstod den nya banktrojanen i september 2021-2022, när de första testkampanjerna lanserades. Forskarna observerade att IcedID har modulär skadlig kod med moderna banktrojanska funktioner som är jämförbara med skadlig kod som Zeus Trojan. Just nu riktar sig skadlig programvara till banker, leverantörer av betalkort, leverantörer av mobila tjänster, löne-, webbmail- och e-handelssajter i USA och två av de stora brittiska bankerna finns också på listan över mål som skadlig programvara uppnår.

IcedID verkar inte ha lånat koden från andra kända trojaner, men den implementerar identiska funktioner som gör att den kan utföra avancerad manipuleringstaktik för webbläsare. Även om IcedIDs funktioner redan är i nivå med andra banktrojaner som Zeus, Gozi och Dridex, förväntas fler uppdateringar av denna skadliga program komma under de kommande veckorna.

Malware sprids

X-Force-gruppens analys av leveransmetoden för IcedID-skadlig programvara indikerar att operatörerna inte är nya inom cyberbrottslighet och väljer att infektera användare via Emotet Trojan. X-Force-utredningen utgår från att en hotaktör, eller en liten cybergenre, har använt Emotet som en distribution för banktrojaner och annan skadlig kod i år. Emotets mest framträdande attackzon är USA. I mindre utsträckning riktar den sig också till användare i Storbritannien och andra delar av världen.

Emotet är listat som en av de anmärkningsvärda distributionsmetoderna för skadlig kod 2021-2022, och betjänar elitösteuropeiska cyberbrottsgrupper som de som drivs av QakBot och Dridex. Emotet uppstod 2014 efter en läcka av den ursprungliga källkoden för Bugat Trojan. Ursprungligen var Emotet en banktrojan som föregick Dridex. Som sådan är det utformat för att ackumulera och underhålla botnät. Emotet fortsätter på maskinen och får sedan ytterligare komponenter, till exempel en skräppostmodul, en nätverksmaskmodul och lösenord och datastöld för Microsoft Outlook -e -post och användarens webbläsaraktivitet.

Emotet själv kommer via malspam, vanligtvis i manipulerade produktivitetsfiler som innehåller skadliga makron. När Emotet infekterar slutpunkten blir den en tyst invånare och drivs för att servera skadlig kod från andra cyberbrottslingar utan att helt enkelt upptäckas. IcedID kan utföra attacker som stjäl ekonomisk data från användaren genom omdirigeringsattacker, som installerar lokal proxy för att omdirigera användare till kloningssajter, och webbinjektionsattacker, med denna metod injiceras webbläsarprocessen för att visa innehåll falskt ovanpå originalet sida som låtsas vara en pålitlig webbplats.

IcedID TTP: erTTP: erna (Tactics, Techniques and Procedures - Tactics, Techniques and Procedures) för IcedID har en rad element som måste beaktas och beaktas när man talar om denna skadliga programvara. Förutom de vanligaste trojanska funktionerna har IcedID möjligheten att sprida sig över ett nätverk, och väl där övervakar den offrets onlineaktivitet genom att konfigurera en lokal proxy för trafiktunneln, vilket är ett koncept som påminner om GootKit -trojanen. Deras attack taktik inkluderar webbinjektionsattacker och sofistikerade omdirigeringsattacker som liknar det schema som används av Dridex och TrickBot.

Förökning i nätverket

IcedID-operatörerna tänker fokusera på affärer eftersom de har lagt till en nätverksförökningsmodul till skadlig programvara från start. IcedID har förmågan att flytta till andra slutpunkter, och X-Force-forskare observerade också att det infekterade terminalservrar. Terminalservrar tillhandahåller vanligtvis, som namnet antyder, terminaler, såsom slutpunkter, skrivare och delade nätverksenheter, med en gemensam anslutningspunkt till ett lokalt nätverk (LAN) eller ett WAN (wide area network), vilket tyder på att IcedID redan har ledde medarbetares e -postmeddelanden till marken vid organisatoriska slutpunkter som förlängde dess attack.

I följande grafik kan vi se nätverksförökningsfunktionerna för IcedID, från en IDA-Pro:

För att hitta andra användare att infektera frågar IcedID Lightweight Directory Access Protocol (LDAP) med följande struktur:

IcedID finansiella bedrägeri TTP inkluderar två attacklägen

  • Webinjektionsattacker
  • Omdirigera attacker

För att göra detta hämtar skadlig programvara en konfigurationsfil från Trojanens kommando och kontroll (C & C) -server när användaren öppnar webbläsaren. Konfigurationen innehåller mål för vilka en webbinjektionsattack kommer att utlösas, främst banker och andra mål som var utrustade med omdirigeringsattacker, till exempel betalkort och webbmailwebbplatser.

IcedID -nyttolastdistribution och tekniska detaljer

X-Force-forskarna genomförde en dynamisk analys av prover av IcedID-skadlig programvara, och därifrån distribueras skadlig programvara till slutpunkter som kör olika versioner av Windows-operativsystemet. Det verkar inte ha någon avancerad antivirusmaskin (VM) eller anti-undersökningsteknik, annat än följande:

Kräver en omstart för att slutföra hela distributionen, eventuellt för att kringgå sandlådor som inte emulerar omstart. Den kommunicerar genom Secure Sockets Layer (SSL) för att lägga till ett lager av säkerhet i kommunikationen och undvika automatiska genomsökningar av intrångsdetekteringssystem.
Med denna operation hävdar X-Force-forskare att anti-kriminaltekniska funktioner kan tillämpas på denna trojaner över tid.

IcedID implementeras på måländpunkterna med hjälp av Emotet Trojan som en gateway. Efter omstart skrivs nyttolasten till mappen% Windows LocalAppData% med ett värde som genereras av vissa operativsystemparametrar. Det värdet används både i distributionssökvägen och i RunKey -värdet för filen.
Den fullständiga konventionen för värdet är:

 % LOCALAPPDATA% \ [a-z] {9} \ [a-z] {9} .exe C: \ Users \ User \ AppData \ Local \ ewonliarl \ ewonliarl.exe HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ ewonliarl
Skadlig programvara etablerar sin beständighetsmekanism genom att skapa en RunKey i det angivna registret för att säkerställa dess överlevnad efter systemstartarhändelser. Därefter skriver IcedID en RSA -krypteringsnyckel för systemet till mappen AppData. Skadlig programvara kan skriva till denna RSA -nyckel under distributionsrutinen, vilket kan relateras till det faktum att webbtrafik kanaliseras genom IcedID -processen även när SSL -trafik kanaliseras.
Den tillfälliga filen är skriven med följande konvention:% TEMP% \ [A-F0-9] {8} .tmp.
 C: \ Users \ User \ AppData \ Roaming \ Microsoft \ Crypto \ RSA \ S-1-5-21-2137145731-2486784493-1554833299-1000 \ fdbe618fb7eb861d65554863fc5da9a0_883f9a43-a12c-410f-b47d-bb7275 \ User \ Local Temp \ CACCEF19.tmp
IcedID -processen fortsätter att köras, vilket är sällsynt för skadlig kod. Detta kan innebära att vissa delar av koden fortfarande fixas och detta problem kommer att ändras i nästa uppdatering.

Distributionsprocessen slutar här och skadlig programvara kommer att fortsätta att köras under Explorer -processen tills nästa omstart av den slutpunkten. Efter omstartshändelsen körs nyttolasten och IcedID Trojan blir bosatt på slutpunkten. Vid denna tidpunkt är skadliga komponenter på plats för att börja omdirigera offrets internettrafik genom en lokal proxy som den kontrollerar.

Hur IcedID omdirigerar offrets webbtrafik

IcedID konfigurerar en lokal proxy för att lyssna på och avlyssna kommunikation från offrets slutpunkt och omdirigerar all internettrafik genom den i två hopp. Först överförs trafiken till den lokala servern, localhost, (127.0.0.1) via port 49157, som är en del av de dynamiska och / eller privata TCP / IP -portarna. För det andra, den skadliga processen med skadlig programvara lyssnar på den porten och exfiltrerar relevant kommunikation till din C & C -server.

Även om det utvecklades nyligen använder IcedID omdirigeringsattacker. Omdirigeringsschemat som IcedID använder är inte en enkel överlämning till en annan webbplats med en annan URL, tvärtom är den utformad för att framstå så transparent som möjligt för offret.

Dessa taktiker inkluderar visning av den legitima bankens URL i adressfältet och bankens korrekta SSL -certifikat, vilket är möjligt genom att upprätthålla en direktanslutning till bankens riktiga webbplats så att vi inte kan upptäcka hotet. IcedID -omdirigeringsschemat implementeras via konfigurationsfilen. Skadlig programvara lyssnar efter måladressen i listan och, när den hittar en utlösare, körs en särskild webbinjektion. Denna webbinjektion skickar offret till en falsk banksajt som konfigurerats i förväg för att matcha den ursprungligen begärda webbplatsen genom att simulera deras miljö.

Offret luras att presentera sina referenser på kopian av den falska sidan, som omedvetet skickar den till angriparens server. Från och med den tiden kontrollerar angriparen sessionen som offret går igenom, vilket vanligtvis inkluderar social teknik för att lura offret att avslöja transaktionstillstånd.

Malware -kommunikation

IcedID -kommunikation sker via det krypterade SSL -protokollet. Under en kampanj som analyserades i slutet av oktober kommunicerade skadlig programvara med fyra olika C & C -servrar. Följande grafik visar en schematisk vy över IcedID -kommunikations- och infektionsinfrastrukturen:

FÖRSTORA

För att rapportera nya infektioner till botnätet skickar IcedID ett krypterat meddelande med botens identifiering och grundläggande systeminformation enligt följande:

De avkodade meddelandedelarna visar följande detaljer som skickas till C&C

  • B = Bot -ID
  • K = Lagnamn
  • L = Arbetsgrupp
  • M = operativsystemversion

Fjärrstyrd injektionspanel

För att organisera webbinjektionsattacker för varje målbankwebbplats har IcedID-operatörer en dedikerad webbaserad fjärrpanel tillgänglig med ett användarnamn och lösenordskombination som är identisk med den ursprungliga banken.
Webbinjektionspaneler är ofta kommersiella erbjudanden som kriminella köper på underjordiska marknader. Det är möjligt att IcedID använder en kommersiell panel eller att IcedID är kommersiell skadlig kod. För närvarande finns det dock ingen indikation på att IcedID säljs på den underjordiska marknaden eller Dark Web.

En fjärrkontrollpanel kommer att se ut så här:

Som vi kan se där ombeds användaren att ange sina uppgif.webpter som han gör på vanligt sätt på sin banks webbplats. Panelen kommunicerar igen till en server baserad på OpenResty -webbplattformen. Enligt sin officiella webbplats är OpenResty utformat för att hjälpa utvecklare att enkelt skapa skalbara webbapplikationer, webbtjänster och dynamiska webbportaler genom att underlätta deras spridning.

Hur skyddar vi oss från IcedID

X-Force-forskargruppen rekommenderar att du använder säkerhetsuppdateringar på webbläsare och de utförde följande processer själva:

Internet explorer

 Anslut CreateProcessInternalW CertGetCertificateChain CertVerifyCertificateChainPolicy

Firefox

 nss3.dll! SSL_AuthCertificateHook

Andra webbläsare

 CreateProcessInternalW CreateSemaphoreA

Även om IcedID fortfarande håller på att spridas är det inte säkert med säkerhet vilken påverkan det kommer att få världen över, men det är idealiskt att vara ett steg före och vidta nödvändiga säkerhetsåtgärder.

wave wave wave wave wave