В свят, където всичко се управлява онлайн, можем да видим, че всички наши данни са в постоянна променлива за сигурност, която винаги има тенденция да бъде уязвима поради хилядите атаки, които се изпълняват в мрежата.
Повечето от нас често извършват търговски транзакции през Интернет, където са заложени нашите лични данни, номера на банкови сметки, номера на кредитни карти и други, което прави това деликатна ситуация със сигурността, тъй като ако информацията попадне в неподходящи ръце, можем да бъдем в сериозни затруднения.
Анализаторите по сигурността, особено по отношение на зловреден софтуер, са открили нова заплаха, която е банков троянец, наречен IcedID, който в момента е в ранен стадий на развитие. Solvetic ще анализира как действа тази нова заплаха, за да предприеме необходимите мерки за сигурност.
Как е открит този зловреден софтуер
Изследователската група на IBM X-Force непрекъснато анализира и наблюдава областта на финансовата киберпрестъпност, за да открие събитията и тенденциите, които оформят пейзажа на заплахите както на ниво организации, така и за финансови потребители, които добавят милиони.
След една година, която беше много активна по отношение на банков зловреден софтуер, с атаки като злонамерен софтуер на място за продажба (POS) и атаки срещу ransomware като WannaCry, екипът на X-Force идентифицира нов, естествено активен банков троянец, наречен IcedID .
Според проучване, проведено от групата X-Force, новият банков троянец се появява през септември 2021-2022 г., когато стартират първите му тестови кампании. Изследователите отбелязват, че IcedID притежава модулен зловреден код със съвременни банкови троянски възможности, сравними със зловреден софтуер, като например троянец Zeus. В момента злонамереният софтуер е насочен към банки, доставчици на платежни карти, доставчици на мобилни услуги, заплати, уеб поща и сайтове за електронна търговия в САЩ, а две от големите банки във Великобритания също са в списъка с цели, които зловредният софтуер постига.
Изглежда, че IcedID не е заимствал кода от други известни троянски коне, но реализира идентични функции, които му позволяват да изпълнява разширени тактики за подправяне на браузъра. Въпреки че възможностите на IcedID вече са наравно с тези на други банкови троянски коне като Zeus, Gozi и Dridex, през следващите седмици се очакват още актуализации на този зловреден софтуер.
Зловреден софтуер се разпространява
Анализът на групата X-Force на метода за доставка на злонамерен софтуер IcedID показва, че операторите не са нови в областта на киберпрестъпността и избират да заразят потребителите чрез Emotet Trojan. Разследването на X-Force предполага, че тази заплаха или малък кибержанр е използвал Emotet като операция за разпространение на банкови троянски коне и друг код на зловреден софтуер тази година. Най -известната зона за атака на Emotet е САЩ В по -малка степен тя е насочена и към потребители във Великобритания и други части на света.
Emotet е посочен като един от забележителните методи за разпространение на зловреден софтуер през 2021-2022 г., обслужващ елитни източноевропейски групи за киберпрестъпления, като тези, управлявани от QakBot и Dridex. Emotet се появи през 2014 г. след изтичане на оригиналния изходен код за троянския софтуер Bugat. Първоначално Emotet е бил банков троянец, предшестващ Dridex. Като такъв, той е проектиран да натрупва и поддържа ботнети. Emotet продължава на машината и след това получава допълнителни компоненти, като модул за спам, модул за мрежов червей и кражба на пароли и данни за електронна поща на Microsoft Outlook и активност на потребителския браузър.
Самият Emotet идва чрез малспам, обикновено в манипулирани файлове за производителност, които съдържат злонамерени макроси. След като Emotet заразява крайната точка, той става мълчалив жител и се управлява за обслужване на зловреден софтуер от други киберпрестъпници, без просто да бъде открит. IcedID може да извършва атаки, които крадат финансови данни от потребителя чрез атаки за пренасочване, които инсталират локален прокси за пренасочване на потребителите към клониране на сайтове и атаки за уеб инжектиране, с този метод процесът на браузъра се инжектира за показване на фалшиво съдържание, наложено върху оригинала страница, представяща се за надежден уебсайт.
IcedID TTPTTP (тактики, техники и процедури - тактики, техники и процедури) на IcedID имат поредица от елементи, които трябва да бъдат взети предвид и взети предвид, когато се говори за този злонамерен софтуер. В допълнение към най -често срещаните троянски функции, IcedID има способността да се разпространява в мрежа и след като е там, той следи онлайн активността на жертвата, като конфигурира локален прокси за тунела за трафик, който е концепция, напомняща за троянския GootKit. Техните тактики за атака включват атаки чрез уебинжектиране и сложни пренасочващи атаки, подобни на схемата, използвана от Dridex и TrickBot.
Разпространение в мрежата
Операторите на IcedID възнамеряват да се съсредоточат върху бизнеса, защото са добавили модул за разпространение на мрежа към злонамерения софтуер от самото начало. IcedID притежава способността да се придвижва към други крайни точки, а изследователите на X-Force също наблюдават, че заразява терминални сървъри. Терминалните сървъри обикновено предоставят, както подсказва името, терминали, като крайни точки, принтери и споделени мрежови устройства, с обща точка за свързване към локална мрежа (LAN) или глобална мрежа (WAN), което предполага, че IcedID вече е насочва имейли на служители към земята в крайни точки на организацията, разширявайки атаката им.
В следната графика можем да видим мрежовите функции за разпространение на IcedID от IDA-Pro:
За да намери други потребители, които да заразят, IcedID отправя заявка към протокола за лек достъп до директорията (LDAP) със следната структура:
TTP за финансови измами на IcedID включват два режима на атака
- Webinjection атаки
- Пренасочване на атаки
За да направите това, зловредният софтуер изтегля конфигурационен файл от сървъра за управление и контрол (C & C) на троянския кон, когато потребителят отвори интернет браузъра. Конфигурацията включва цели, за които ще се задейства атака за уеб инжекция, главно банки и други цели, оборудвани с атаки за пренасочване, като например платежни карти и сайтове за уеб поща.
Разполагане на полезен товар IcedID и технически подробности
Изследователите на X-Force проведоха динамичен анализ на проби от злонамерен софтуер IcedID и оттам злонамереният софтуер се разгръща до крайни точки, работещи с различни версии на операционната система Windows. Изглежда не притежава никакви усъвършенствани антивиртуални машини (VM) или техники за разследване, различни от следните:
Изисква рестартиране, за да завърши пълното разполагане, евентуално за заобикаляне на пясъчниците, които не емулират рестартирането. Той комуникира чрез Secure Sockets Layer (SSL), за да добави слой за сигурност към комуникациите и да избегне автоматизирано сканиране чрез системи за откриване на проникване.
С тази операция изследователите на X-Force твърдят, че анти-съдебни функции могат да бъдат приложени към този троянец с течение на времето.
IcedID се реализира на целевите крайни точки, използвайки Emotet Trojan като шлюз. След рестартиране полезният товар се записва в папката% Windows LocalAppData% със стойност, генерирана от някои параметри на операционната система. Тази стойност се използва както в пътя на разгръщане, така и в стойността RunKey за файла.
Пълната конвенция за стойността е:
% LOCALAPPDATA% \ [a-z] {9} \ [a-z] {9} .exe C: \ Users \ User \ AppData \ Local \ ewonliarl \ ewonliarl.exe HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ ewonliarlЗловредният софтуер установява своя механизъм за устойчивост, като създава RunKey в посочения регистър, за да осигури оцеляването му след събития при рестартиране на системата. Впоследствие IcedID записва RSA ключ за шифроване за системата в папката AppData. Зловредният софтуер може да пише в този RSA ключ по време на рутината за разгръщане, което може да бъде свързано с факта, че уеб трафикът се осъществява чрез процеса IcedID, дори когато трафикът на SSL е насочен.Временният файл е написан със следната конвенция:% TEMP% \ [A-F0-9] {8} .tmp.
C: \ Потребители \ Потребител \ AppData \ Роуминг \ Microsoft \ Crypto \ RSA \ S-1-5-21-2137145731-2486784493-1554833299-1000 \ fdbe618fb7eb861d65554863fc5da9a0_883f9a43-a12c-410f-b47dabbda \ bda \ bda \ bd Temp \ CACCEF19.tmpПроцесът IcedID продължава да работи, което е рядкост за зловреден софтуер. Това може да означава, че някои части от кода все още се коригират и този проблем ще се промени при следващата актуализация.
Процесът на внедряване приключва тук и зловредният софтуер ще продължи да работи под процеса на Explorer до следващото рестартиране на тази крайна точка. След събитието за рестартиране полезният товар се изпълнява и троянецът IcedID става резидентен в крайната точка. В този момент компонентите на зловредния софтуер са на място, за да започнат да пренасочват интернет трафика на жертвата чрез локален прокси, който тя контролира.
Как IcedID пренасочва уеб трафика на жертвата
IcedID конфигурира локален прокси сървър за изслушване и прихващане на комуникации от крайната точка на жертвата и пренасочва целия интернет трафик през нея в два хопа. Първо, трафикът се прехвърля към локалния сървър, localhost, (127.0.0.1) през порт 49157, който е част от динамичните и / или частни TCP / IP портове. Второ, зловредният процес на зловредния софтуер слуша на този порт и ексфилтрира съответните комуникации към вашия C&C сървър.
Въпреки че е разработен наскоро, IcedID използва атаки за пренасочване. Схемата за пренасочване, която IcedID използва, не е просто предаване на друг уебсайт с различен URL адрес, напротив, тя е проектирана да изглежда възможно най -прозрачна за жертвата.
Тези тактики включват показване на законния URL адрес на банката в адресната лента и правилния SSL сертификат на банката, което е възможно чрез поддържане на жива връзка с реалния сайт на банката, така че да нямаме начин да открием заплахата. Схемата за пренасочване IcedID се реализира чрез нейния конфигурационен файл. Зловредният софтуер изслушва целевия URL в списъка и след като намери задействане, изпълнява определена уеб инжекция. Тази уебинжекция изпраща жертвата до фалшив банков сайт, конфигуриран предварително, за да съответства на първоначално поискания сайт, като симулира тяхната среда.
Жертвата е подведена да представи своите идентификационни данни в репликата на фалшивата страница, която несъзнателно я изпраща на сървъра на нападателя. От този момент нататък нападателят контролира сесията, през която жертвата преминава, което обикновено включва социално инженерство, за да подмами жертвата да разкрие елементи за разрешаване на транзакции.
Комуникация със зловреден софтуер
Комуникациите IcedID се осъществяват чрез криптиран SSL протокол. По време на кампания, анализирана в края на октомври, зловредният софтуер комуникира с четири различни C&C сървъра. Следващата графика показва схематичен изглед на комуникационната и инфекциозна инфраструктура на IcedID:
Увеличете
За да съобщи за нови инфекции в ботнета, IcedID изпраща криптирано съобщение с идентификацията на бота и основната системна информация, както следва:
Декодираните части на съобщението показват следните подробности, които се изпращат до C&C
- B = ИД на бот
- K = Име на отбора
- L = Работна група
- M = версия на операционната система
Панел за дистанционно инжектиране
За да организират атаки за уебинжекция за всеки уебсайт на целевата банка, операторите на IcedID имат специален уеб базиран отдалечен панел, достъпен с комбинация от потребителско име и парола, идентична с оригиналната банка.
Панелите за уеб инжектиране често са търговски оферти, които престъпниците купуват на подземни пазари. Възможно е IcedID да използва търговски панел или IcedID да е търговски зловреден софтуер. Понастоящем обаче няма индикации, че IcedID се продава на подземните или Dark Web пазарите.
Панелът за дистанционно инжектиране ще изглежда така:
Както можем да видим там, от потребителя се изисква да въведе своите идентификационни данни, както прави по нормалния начин, на уебсайта на своята банка. Панелът комуникира отново със сървър, базиран на уеб платформата OpenResty. Според официалния си уебсайт, OpenResty е предназначен да помогне на разработчиците лесно да създават мащабируеми уеб приложения, уеб услуги и динамични уеб портали, като улесняват тяхното разпространение.
Как да се предпазим от IcedID
Изследователската група X-Force съветва да се прилагат кръпки за сигурност към браузърите и те сами са извършили следния процес:
Internet Explorer
Свържете CreateProcessInternalW CertGetCertificateChain CertVerifyCertificateChainPolicy
Firefox
nss3.dll! SSL_AuthCertificateHook
Други браузъри
CreateProcessInternalW CreateSemaphoreA
Въпреки че IcedID все още е в процес на разпространение, не е известно със сигурност какво влияние ще има в световен мащаб, но е идеално да бъдете една крачка напред и да вземете необходимите мерки за сигурност.
