IcedID: Ny skadelig programvare oppdaget av IBM på bankscenen

Innholdsfortegnelse

I en verden der alt administreres online kan vi se at alle dataene våre er i en konstant sikkerhetsvariabel som alltid har en tendens til å være sårbar på grunn av de tusenvis av angrep som utføres på nettet.

De fleste av oss utfører ofte kommersielle transaksjoner over Internett der våre personlige data, bankkontonumre, kredittkortnumre og mer står på spill, noe som gjør dette til en delikat sikkerhetssituasjon siden hvis det er informasjon som faller i feil hender kan vi være i alvorlige vanskeligheter.

Sikkerhetsanalytikere, spesielt når det gjelder skadelig programvare, har oppdaget en ny trussel, som er en banktrojaner kalt IcedID, som for tiden er i sine tidlige utviklingsstadier. Solvetic vil analysere hvordan denne nye trusselen virker for å treffe de nødvendige sikkerhetstiltakene.

Hvordan denne skadelige programvaren ble oppdaget

IBM X-Force-forskergruppen analyserer og overvåker kontinuerlig feltet finansiell nettkriminalitet for å oppdage hendelser og trender som former trussellandskapet både på organisasjonsnivå og for finansielle forbrukere, som summerer millioner.

Etter et år som har vært veldig aktivt når det gjelder banktjenester, med angrep som salgssted (POS) og ransomware-angrep som WannaCry, identifiserte X-Force-teamet en ny, naturlig aktiv bank trojan som heter IcedID .

Ifølge forskning utført av X-Force-gruppen, dukket den nye trojaneren opp i september 2021-2022, da de første testkampanjene ble lansert. Forskerne observerte at IcedID besitter modulær ondsinnet kode med moderne banktrojanske muligheter som kan sammenlignes med skadelig programvare som Zeus Trojan. Akkurat nå er skadelig programvare rettet mot banker, betalingskortleverandører, mobiltjenesteleverandører, lønn, webmail og e-handelsnettsteder i USA, og to av de store britiske bankene er også på listen over mål som skadelig programvare oppnår.

IcedID ser ikke ut til å ha lånt koden fra andre kjente trojanere, men den implementerer identiske funksjoner som gjør at den kan utføre avansert manipuleringstaktikk for nettlesere. Selv om IcedIDs muligheter allerede er på nivå med andre bank -trojanere som Zeus, Gozi og Dridex, forventes det flere oppdateringer av denne skadelige programvaren i løpet av de neste ukene.

Malware sprer seg

X-Force-gruppens analyse av leveringsmetoden for IcedID-malware indikerer at operatørene ikke er nye innen cyberkriminalitet og velger å infisere brukere via Emotet Trojan. X-Force-undersøkelsen antar at en trusselaktør, eller en liten cybergenre, har brukt Emotet som distribusjonsoperasjon for banktrojanere og annen skadelig kode i år. Emotets mest fremtredende angrepssone er USA. I mindre grad retter den seg også mot brukere i Storbritannia og andre deler av verden.

Emotet er oppført som en av de bemerkelsesverdige distribusjonsmetodene for skadelig programvare i 2021-2022, og betjener elite østeuropeiske cyberkriminalitetsgrupper som de som drives av QakBot og Dridex. Emotet dukket opp i 2014 etter en lekkasje av den opprinnelige kildekoden for Bugat Trojan. Opprinnelig var Emotet en banktrojaner som gikk foran Dridex. Som sådan er den designet for å samle og vedlikeholde botnett. Emotet vedvarer på maskinen og får deretter flere komponenter, for eksempel en spam -modul, en nettverksorm -modul og passord og datatyveri for Microsoft Outlook -e -post og brukerleseraktivitet.

Emotet i seg selv kommer via malspam, vanligvis i manipulerte produktivitetsfiler som inneholder ondsinnede makroer. Når Emotet infiserer endepunktet, blir det en taus bosatt og opereres for å betjene skadelig programvare fra andre nettkriminelle uten å bli oppdaget. IcedID kan utføre angrep som stjeler økonomiske data fra brukeren gjennom omdirigeringsangrep, som installerer lokal proxy for å omdirigere brukere til kloningsnettsteder, og webinjeksjonsangrep, med denne metoden injiseres nettleserprosessen for å vise innhold falsk lagt over originalen side som utgir seg for å være et pålitelig nettsted.

IcedID TTP -erTTP -ene (Tactics, Techniques and Procedures - Tactics, Techniques and Procedures) til IcedID har en rekke elementer som må vurderes og tas i betraktning når man snakker om denne skadelige programvaren. I tillegg til de vanligste trojanske funksjonene, har IcedID muligheten til å spre seg over et nettverk, og når den er der, overvåker den offerets online aktivitet ved å konfigurere en lokal proxy for trafiktunnelen, som er et konsept som minner om GootKit Trojan. Angrepstaktikken deres inkluderer webinjeksjonsangrep og sofistikerte omdirigeringsangrep som ligner på opplegget som brukes av Dridex og TrickBot.

Formering i nettverket

IcedID-operatørene har til hensikt å fokusere på virksomhet fordi de har lagt til en nettverksformidlingsmodul i skadelig programvare fra start. IcedID har muligheten til å flytte til andre endepunkter, og X-Force-forskere observerte også at den infiserte terminalservere. Terminalservere gir vanligvis, som navnet tilsier, terminaler, for eksempel endepunkter, skrivere og delte nettverksenheter, et felles tilkoblingspunkt til et lokalt nettverk (LAN) eller et bredt nettverk (WAN), noe som tyder på at IcedID allerede har ledet e -post fra ansatte til bakken ved organisatoriske endepunkter som forlenger angrepet.

I den følgende grafikken kan vi se nettverksspredningsfunksjonene til IcedID, fra en IDA-Pro:

For å finne andre brukere å infisere, spør IcedID Lightweight Directory Access Protocol (LDAP) med følgende struktur:

IcedID økonomisk svindel TTP inkluderer to angrepsmoduser

  • Webinjeksjonsangrep
  • Omdiriger angrep

For å gjøre dette, laster skadelig programvare ned en konfigurasjonsfil fra Trojans kommando og kontroll (C & C) -server når brukeren åpner nettleseren. Konfigurasjonen inkluderer mål som et webinjeksjonsangrep vil bli utløst for, hovedsakelig banker og andre mål som var utstyrt med omdirigeringsangrep, for eksempel betalingskort og webmail -nettsteder.

Distribusjon av IcedID nyttelast og tekniske detaljer

X-Force-forskerne gjennomførte en dynamisk analyse av prøver av IcedID-skadelig programvare, og derfra distribueres skadelig programvare til endepunkter som kjører forskjellige versjoner av Windows-operativsystemet. Det ser ikke ut til å ha noen avanserte anti-virtuelle maskiner (VM) eller anti-etterforskningsteknikker, annet enn følgende:

Krever en omstart for å fullføre hele distribusjonen, muligens for å omgå sandkasser som ikke etterligner omstart. Den kommuniserer gjennom Secure Sockets Layer (SSL) for å legge til et lag med sikkerhet i kommunikasjon og unngå automatiske skanninger av system for inntrengingsdeteksjon.
Med denne operasjonen hevder X-Force-forskere at anti-rettsmedisinske funksjoner kan brukes på denne trojaneren over tid.

IcedID er implementert på målendpunktene ved hjelp av Emotet Trojan som en gateway. Etter omstart skrives nyttelasten til% Windows LocalAppData% -mappen med en verdi generert av noen operativsystemparametere. Denne verdien brukes både i distribusjonsbanen og i RunKey -verdien for filen.
Hele konvensjonen for verdien er:

 % LOCALAPPDATA% \ [a-z] {9} \ [a-z] {9} .exe C: \ Users \ User \ AppData \ Local \ ewonliarl \ ewonliarl.exe HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ ewonliarl
Skadelig programvare etablerer sin utholdenhetsmekanisme ved å opprette en RunKey i det angitte registret for å sikre overlevelse etter systemstart på nytt. Deretter skriver IcedID en RSA -krypteringsnøkkel for systemet til AppData -mappen. Malware kan skrive til denne RSA -nøkkelen under distribusjonsrutinen, noe som kan være relatert til det faktum at webtrafikk ledes gjennom IcedID -prosessen, selv når SSL -trafikk blir kanalisert.
Den midlertidige filen er skrevet med følgende konvensjon:% TEMP% \ [A-F0-9] {8} .tmp.
 C: \ Users \ User \ AppData \ Roaming \ Microsoft \ Crypto \ RSA \ S-1-5-21-2137145731-2486784493-1554833299-1000 \ fdbe618fb7eb861d65554863fc5da9a0_883f9a43-a12c-410f-b47d-bb7275 \ Users \ Users Temp \ CACCEF19.tmp
IcedID -prosessen fortsetter å kjøre, noe som er sjelden for skadelig programvare. Dette kan bety at noen deler av koden fortsatt blir løst, og dette problemet vil endre seg i neste oppdatering.

Distribusjonsprosessen ender her, og skadelig programvare vil fortsette å kjøre under Utforsker -prosessen til neste omstart av det endepunktet. Etter omstartshendelsen utføres nyttelasten og IcedID Trojan blir bosatt på endepunktet. På dette tidspunktet er malware -komponentene på plass for å begynne å omdirigere offerets internettrafikk gjennom en lokal proxy som det kontrollerer.

Hvordan IcedID omdirigerer offerets webtrafikk

IcedID konfigurerer en lokal proxy for å lytte etter og avskjære kommunikasjon fra offerets endepunkt og omdirigerer all internettrafikk gjennom den i to hopp. Først overføres trafikken til den lokale serveren, localhost, (127.0.0.1) gjennom port 49157, som er en del av de dynamiske og / eller private TCP / IP -portene. For det andre lytter den ondsinnede prosessen med skadelig programvare til den porten og eksfiltrerer relevant kommunikasjon til C & C -serveren din.

Selv om det ble utviklet nylig, bruker IcedID omdirigeringsangrep. Omdirigeringsordningen som IcedID bruker, er ikke en enkel overlevering til et annet nettsted med en annen URL, tvert imot er den designet for å fremstå så gjennomsiktig som mulig for offeret.

Disse taktikkene inkluderer visning av den legitime bankens URL i adressefeltet og bankens riktige SSL -sertifikat, noe som er mulig ved å opprettholde en direkte forbindelse til bankens virkelige nettsted, slik at vi ikke har mulighet til å oppdage trusselen. IcedID -omdirigeringsskjemaet implementeres gjennom konfigurasjonsfilen. Skadelig programvare lytter etter måladressen i listen, og når den finner en utløser, kjører den en bestemt webinjeksjon. Denne webinjeksjonen sender offeret til et falskt bankside som er konfigurert på forhånd for å matche det opprinnelig forespurte nettstedet ved å simulere miljøet deres.

Offeret blir lurt til å presentere legitimasjonen sin på kopien av den falske siden, som ubevisst sender den til angriperens server. Fra det tidspunktet kontrollerer angriperen økten offeret går gjennom, som vanligvis inkluderer sosial ingeniørkunst for å lure offeret til å avsløre transaksjonsautorisasjonselementer.

Malware -kommunikasjon

IcedID -kommunikasjon utføres gjennom den krypterte SSL -protokollen. Under en kampanje som ble analysert i slutten av oktober, kommuniserte skadelig programvare med fire forskjellige C & C -servere. Følgende grafikk viser en skjematisk oversikt over IcedID -kommunikasjons- og infeksjonsinfrastrukturen:

FORSTØRRE

For å rapportere nye infeksjoner til botnettet sender IcedID en kryptert melding med botens identifikasjon og grunnleggende systeminformasjon som følger:

De dekodede meldingsdelene viser følgende detaljer som sendes til C&C

  • B = Bot -ID
  • K = Lagnavn
  • L = Arbeidsgruppe
  • M = operativsystemversjon

Eksternt injeksjonspanel

For å organisere webinjeksjonsangrep for hvert målbanknettsted, har IcedID-operatører et dedikert nettbasert eksternt panel tilgjengelig med et brukernavn og passord som er identisk med den opprinnelige banken.
Nettinjeksjonspaneler er ofte kommersielle tilbud som kriminelle kjøper i underjordiske markeder. Det er mulig at IcedID bruker et kommersielt panel eller at IcedID er kommersiell skadelig programvare. På dette tidspunktet er det imidlertid ingen indikasjon på at IcedID selges på underjordiske eller Dark Web -markeder.

Et eksternt injeksjonspanel vil se slik ut:

Som vi kan se der, blir brukeren bedt om å angi legitimasjonen sin som han gjør på vanlig måte på nettstedet til banken sin. Panelet kommuniserer igjen til en server basert på OpenResty -nettplattformen. I følge det offisielle nettstedet er OpenResty designet for å hjelpe utviklere med å enkelt lage skalerbare webapplikasjoner, webtjenester og dynamiske webportaler ved å lette spredningen.

Hvordan beskytte oss mot IcedID

X-Force-forskergruppen anbefaler å bruke sikkerhetsoppdateringer på nettlesere, og de utførte følgende prosess selv:

Internet Explorer

 Koble til CreateProcessInternalW CertGetCertificateChain CertVerifyCertificateChainPolicy

Firefox

 nss3.dll! SSL_AuthCertificateHook

Andre nettlesere

 CreateProcessInternalW CreateSemaphoreA

Selv om IcedID fortsatt er i ferd med å spre seg, er det ikke kjent med sikkerhet hvilken innvirkning det vil ha på verdensbasis, men det er ideelt å være et skritt foran og ta nødvendige sikkerhetstiltak.

wave wave wave wave wave