IcedID 是银行木马家族的新成员。它具有模块化体系结构,并能够通过执行中间人攻击(MITM)来窃取用户的银行凭证。 IcedID 设置本地代理,并通过它重定向所有Internet通信。此外,它可以下载并执行隐身所需的组件。
感染载体
通常,IcedID通过垃圾邮件传播或被其他恶意软件家族丢弃。在我们的分析中,我们发现这个家庭是Emotet。在2017年初,Emotet被广泛用于传播其他银行木马,例如Qkabot和Dridex。
IcedID 包含一个网络传播模块,在其他银行木马中很少见到。查看IcedID中的API序列,它采用了类似的技术,这些技术已成功被BadRabit,Petya / Not-Petya等恶意软件使用。
样品分析
在执行时,该示例将其自身的副本放到该文件夹中 %LOCAL_APPDATA% 在随机命名的文件夹中使用随机名称。删除的文件和文件夹的名称相同,包含9个字符。使用当前用户的安全标识符(SID)生成删除的文件的名称。以下是为当前登录用户生成SID的代码。
在随机命名的文件夹中具有随机名称的已删除文件的名称。
“%LOCALAPPDATA%\ [a-z] {9} \ [a-z] {9} .exe”
例: –
“ C:\ Documents and Settings \ Administrator \ Local Settings \ Application 数据 \ 高铁 \ 完整文件 ”
它通过在“运行”中创建注册表项来保持其持久性。
“ HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ 高铁 ”
接下来,IcedID将RSA加密密钥写入系统到AppData文件夹中。然后,它将证书文件写入%TEMP%文件夹中。
例–“ C:\ Documents and Settings \ Administrator \ Local Settings \ Temp \ 0137194B.tmp ”
网络活动
它创建两个套接字连接。一个用于本地代理,另一个用作CnC通信的后门。在我们的分析中,具有本地代理绑定的端口是 49158 在端口号上创建后门 49161.
它创建一个本地代理。使用不同银行的证书和自定义模块,它实现了自己的SSL层。使用它执行MITM。 IcedID 可以拦截所有流量并从中提取用户凭据。
一旦恶意软件进入系统,它就会通过POST请求将bot ID和基本系统信息发送给CnC服务器,如图1和图2所示。
以下是要发送的解码后的请求详细信息:
K – System 名称
B – BOT ID
L – Work Group
M – OS Version
IcedID 与CnC的通信是通过加密的SSL进行的,其证书由恶意软件本身从证书存储中决定。恶意软件删除的临时文件用于存储证书。以下代码用于证书枚举。
在网络中传播
IcedID 与其他银行木马不同,因为它可以在网络中传播。它首先在本地网络上找到实时系统,然后将其复制到新系统上。
妥协指标
csuwbru [。] net
comeontrk [。] com
medicalciferol [。] com
38921f28bb74fea2cab6e70039ee65f3
d982c6de627441765c89da5cfeb04d6f
82d6e69df2277073d4aaacd6994ee033
快速治愈 successfully detects IcedID as Trojan.IcedID.
该恶意软件的传播行为使其比以前看到的银行木马更具攻击性。
预防技巧
- 安装防病毒软件并保持更新。
- 保持操作系统和软件为最新。
- 请勿单击链接或从未知,意外或不需要的来源下载附件。
主题专家
Piyush Bansal | Ghanshyam More,快速修复安全实验室
没意见