【样本分析】IcedID银行木马样本技术分析与防护方案

近日,IBM X-Force研究小组发现了一种全新的银行木马IcedID。该木马最早于2017年9月在互联网上传播,目标主要为美国金融行业的相关系统。据X-Force研究,该木马包含一个恶意代码的模块,拥有如宙斯木马(Zeus Trojan)等现今银行木马的大部分功能。

目前看来,该木马主要的目标为美国的银行,支付卡提供商,手机服务提供商,邮件和电商网站等系统,还包括2所英国的主流银行。

相关链接:

https://securityintelligence.com/new-banking-trojan-icedid-discovered-by-ibm-x-force-research/

事件背景

2017年11月14日,一个名为IcedID的银行木马被研究人员发现,该木马主要攻击美国境内的银行和其他金融机构,通过Emotet木马来进行传播。受感染者在访问特定的线上金融机构网站时,该木马会将用户重新定向到假的钓鱼网页,来获取用户的银行密码等敏感信息。

传播与感染

据X-Force的研究人员表示,IcedID没有利用漏洞而是利用Emotet 木马进行传播。Emotet将IcedID作为新的Payload下载到受感染的用户主机上,从而进行感染。Emotet主要通过钓鱼邮件进行传播,一旦感染用户就会在主机上静默安装,随后会用来下载更多的恶意软件。

除了常见的木马功能外,IcedID还可以通过网络传播。 它通过设置一个本地代理来监控受害者的在线活动, 它的攻击手段包括网站注入攻击和类似于Dridex和TrickBot的复杂的重定向攻击。

攻击流程

机器分析

绿盟科技威胁分析中心(TAC)对恶意样本的检测结果如下:

高阶分析

执行流程

样本信息

MD5
大小
38921f28bb********b6e70039ee65f3
365k
6899d3b514********635d78357c087e
228k
d982c6de62********89da5cfeb04d6f
365k
de4ef2e2********29891b45c1e3fbfd
427k

样本运行后复制自身到C:\Users\{UserName}\AppData\Local\cantimeam目录下,并通过创建注册表run键保证开机自启动:技术分析

设置代理,监听本地49157端口,监控所有主机流量,当访问目标网站时,将用户访问重定向到恶意网站,窃取信息。例如,在用户访问银行网站时,将用户请求重定向到伪造网站,窃取用户登录凭证。

新感染一台主机后,向服务器POST新bot信息,其中参数b表示唯一的bot id,根据受害主机信息生成:

与C&C服务器之间的所有通信均采用HTTPS加密通信,根证书为自签名证书,同时会根据访问的网站颁发子证书。

在系统临时目录C:\Users\{UserName}\AppData\Local\Temp下创建2ADA8939.tmp文件,内容为网站证书,从而保证即使用户访问https网站,样本依然能够通过代理端口获取到敏感信息,并不被用户所察觉:

窃取敏感信息,经过与泄露的pony样本代码对比,确认该部分功能复用了pony代码:

窃取Outlook信息:

窃取Windows Live Mail信息:

窃取IncrediMail信息:

窃取BatMail信息:

窃取Becky信息:

窃取PocoMail信息:

攻击定位

C&C域名

  • example.com
  • com
  • net
  • com
  • com

IP定位

解析到的IP地址:185.127.26.227

国家代码:RUS / RU

国家:Russian Federation

纬度:55.73860168457

经度:37.606800079346

处理建议

安全操作建议

  1. 不要随意下载和安装软件,以防被木马感染;
  2. 安装防病毒软件并保持更新至最新版本。

检查与清除

  1. 检查注册表并删除HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\cantimeam键值。
  2. 删除C:\Users\{UserName}\AppData\Local\cantimeam目录及该目录下的可执行文件。

持续安全监测与防护

在持续安全监测和防护方案中,以绿盟威胁分析系统(TAC)检测未知和已知威胁,以威胁情报安全信誉为纽带,结合本地网络部署的NIPS(绿盟入侵防护系统),形成对已知威胁与未知威胁的动态安全防护体系,再结合绿盟科技专业应急响应团队以及区域服务团队的现场响应及处置能力,可对全国范围内的客户提供现场快速分析排查、处置及加固防护。

注:TAC的威胁分析能力请参考恶意软件行为章节内容

家族关联对比

绿盟科技检测与防护方案

绿盟科技检测服务

  • 绿盟科技工程师前往客户现场检测。
  • 绿盟科技在线云检测,登陆绿盟科技云,申请极光远程扫描试用。

https://poma.nsfocus.com/

绿盟科技木马专杀解决方案

  • 短期服务:绿盟科技工程师现场木马后门清理服务(人工服务+IPS+TAC)。确保第一时间消除网络内相关风险点,控制事件影响范围,提供事件分析报告。
  • 中期服务:提供3-6个月的风险监控与巡检服务(IPS+TAC+人工服务)。根除风险,确保事件不复发。
  • 长期服务:基金行业业务风险解决方案(威胁情报+攻击溯源+专业安全服务)

总结

IcedID是金融网络犯罪领域新近发现的一个威胁。 虽然现在还不知道它将会如何发展,但其目前的能力,传播方式选择和攻击目标都表明了其背后是一个对这个领域并不陌生的团体。

附录:

IOC

KEY VALUE
DOMAIN nejokexulag.example.com

nobleduty.com

tradequel.net

youaboard.com

ztekbowrev.com

 

PORT 443
PROTOCOL SSL/TLS
IP 185.127.26.227

 

声 明

本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。

 

关于绿盟科技

北京神州绿盟信息安全科技股份有限公司(简称绿盟科技)成立于2000年4月,总部位于北京。在国内外设有30多个分支机构,为政府、运营商、金融、能源、互联网以及教育、医疗等行业用户,提供具有核心竞争力的安全产品及解决方案,帮助客户实现业务的安全顺畅运行。

基于多年的安全攻防研究,绿盟科技在网络及终端安全、互联网基础安全、合规及安全管理等领域,为客户提供入侵检测/防护、抗拒绝服务攻击、远程安全评估以及Web安全防护等产品以及专业安全服务。

北京神州绿盟信息安全科技股份有限公司于2014年1月29日起在深圳证券交易所创业板上市交易,股票简称:绿盟科技,股票代码:300369。

 

Spread the word. Share this post!

Meet The Author

Leave Comment