IcedID银行木马样本技术分析与防护方案.PDFVIP

IcedID 银行木马样本 技术分析与防护方案 发布时间：2017 年11 月17 日 综述 近日，IBM X-Force 研究小组发现了一种全新的银行木马IcedID。该木马最 早于2017 年9 月在互联网上传播，目标主要为美国金融行业的相关系统。据X- Force 研究，该木马包含一个恶意代码的模块，拥有如宙斯木马（Zeus Trojan） 等现今银行木马的大部分功能。 目前看来，该木马主要的目标为美国的银行，支付卡提供商，手机服务提供 商，邮件和电商网站等系统，还包括2 所英国的主流银行。 相关链接： /new-banking-trojan-icedid- discovered-by-ibm-x-force-research/ 事件背景 2017 年11 月14 日，一个名为IcedID 的银行木马被研究人员发现，该木马 主要攻击美国境内的银行和其他金融机构，通过Emotet 木马来进行传播。受感 染者在访问特定的线上金融机构网站时，该木马会将用户重新定向到假的钓鱼网 页，来获取用户的银行密码等敏感信息。 传播与感染 据X-Force 的研究人员表示，IcedID 没有利用漏洞而是利用Emotet 木马进 行传播。Emotet 将IcedID 作为新的Payload 下载到受感染的用户主机上，从而 进行感染。Emotet 主要通过钓鱼邮件进行传播，一旦感染用户就会在主机上静 默安装，随后会用来下载更多的恶意软件。 除了常见的木马功能外，IcedID 还可以通过网络传播。 它通过设置一个本 地代理来监控受害者的在线活动， 它的攻击手段包括网站注入攻击和类似于 Dridex 和TrickBot 的复杂的重定向攻击。 攻击流程 机器分析 绿盟科技威胁分析中心(TAC)对恶意样本的检测结果如下： 高阶分析 执行流程 样本信息 MD5 大小 38921f28bb********b6e70039ee65f3 365k 6899d3b514********635d78357c087e 228k d982c6de62********89da5cfeb04d6f 365k de4ef2e2********29891b45c1e3fbfd 427k 技术分析 样本运行后复制自身到C:\Users\ {UserName}\AppData\Local\cantimeam 目录 下，并通过创建注册表run 键保证开机自启动： 设置代理，监听本地 49157 端口，监控所有主机流量，当访问目标网站时， 将用户访问重定向到恶意网站，窃取信息。例如，在用户访问银行网站时，将用 户请求重定向到伪造网站，窃取用户登录凭证。 新感染一台主机后，向服务器POST 新bot 信息，其中参数b 表示唯一的bot id ，根据受害主机信息生成： /forum/viewtopic.php?a=0b=29E5E0E72ADA89399Bd=0e=42f=2299390443 g=1796157635h=1710622345r=2503557760i=10495 与CC 服务器之间的所有通信均采用HTTPS 加密通信，根证书为自签名证 书，同时会根据访问的网站颁发子证书。 在 系统临时目录 C:\Users\ {UserName}\AppData\Local\Temp 下创建 2ADA8939.tmp 文件，内容为网站证书，从而保证即使用户访问https 网站，样本 依然能够通过代理端口获取到敏感信息，并不被用户所察觉： 窃取敏感信息，经过与泄露的 pony 样本代码对比，确认该部分功能复用了 pony 代码： 窃取Outlook 信息： 窃取Windows Live Mail 信息： 窃取IncrediMail 信息: 窃取BatMail 信息: 窃取Becky 信息: 窃取PocoMail 信息: 攻击定位 CC 域名   