IcedID银行木马样本技术分析与防护方案.PDFVIP

  • 3
  • 0
  • 约4.51千字
  • 约 22页
  • 2020-05-01 发布于天津
  • 举报

IcedID银行木马样本技术分析与防护方案.PDF

IcedID 银行木马样本 技术分析与防护方案 发布时间:2017 年11 月17 日 综述 近日,IBM X-Force 研究小组发现了一种全新的银行木马IcedID。该木马最 早于2017 年9 月在互联网上传播,目标主要为美国金融行业的相关系统。据X- Force 研究,该木马包含一个恶意代码的模块,拥有如宙斯木马(Zeus Trojan) 等现今银行木马的大部分功能。 目前看来,该木马主要的目标为美国的银行,支付卡提供商,手机服务提供 商,邮件和电商网站等系统,还包括2 所英国的主流银行。 相关链接: /new-banking-trojan-icedid- discovered-by-ibm-x-force-research/ 事件背景 2017 年11 月14 日,一个名为IcedID 的银行木马被研究人员发现,该木马 主要攻击美国境内的银行和其他金融机构,通过Emotet 木马来进行传播。受感 染者在访问特定的线上金融机构网站时,该木马会将用户重新定向到假的钓鱼网 页,来获取用户的银行密码等敏感信息。 传播与感染 据X-Force 的研究人员表示,IcedID 没有利用漏洞而是利用Emotet 木马进 行传播。Emotet 将IcedID 作为新的Payload 下载到受感染的用户主机上,从而 进行感染。Emotet 主要通过钓鱼邮件进行传播,一旦感染用户就会在主机上静 默安装,随后会用来下载更多的恶意软件。 除了常见的木马功能外,IcedID 还可以通过网络传播。 它通过设置一个本 地代理来监控受害者的在线活动, 它的攻击手段包括网站注入攻击和类似于 Dridex 和TrickBot 的复杂的重定向攻击。 攻击流程 机器分析 绿盟科技威胁分析中心(TAC)对恶意样本的检测结果如下: 高阶分析 执行流程 样本信息 MD5 大小 38921f28bb********b6e70039ee65f3 365k 6899d3b514********635d78357c087e 228k d982c6de62********89da5cfeb04d6f 365k de4ef2e2********29891b45c1e3fbfd 427k 技术分析 样本运行后复制自身到C:\Users\ {UserName}\AppData\Local\cantimeam 目录 下,并通过创建注册表run 键保证开机自启动: 设置代理,监听本地 49157 端口,监控所有主机流量,当访问目标网站时, 将用户访问重定向到恶意网站,窃取信息。例如,在用户访问银行网站时,将用 户请求重定向到伪造网站,窃取用户登录凭证。 新感染一台主机后,向服务器POST 新bot 信息,其中参数b 表示唯一的bot id ,根据受害主机信息生成: /forum/viewtopic.php?a=0b=29E5E0E72ADA89399Bd=0e=42f=2299390443 g=1796157635h=1710622345r=2503557760i=10495 与CC 服务器之间的所有通信均采用HTTPS 加密通信,根证书为自签名证 书,同时会根据访问的网站颁发子证书。 在 系统临时目录 C:\Users\ {UserName}\AppData\Local\Temp 下创建 2ADA8939.tmp 文件,内容为网站证书,从而保证即使用户访问https 网站,样本 依然能够通过代理端口获取到敏感信息,并不被用户所察觉: 窃取敏感信息,经过与泄露的 pony 样本代码对比,确认该部分功能复用了 pony 代码: 窃取Outlook 信息: 窃取Windows Live Mail 信息: 窃取IncrediMail 信息: 窃取BatMail 信息: 窃取Becky 信息: 窃取PocoMail 信息: 攻击定位 CC 域名   

文档评论(0)

1亿VIP精品文档

相关文档