IcedID 银行木马样本 技术分析与防护方案 发布时间:2017 年 11 月 17 日 综述 m o c . 5 h t i g b u 近日,IBM X-Force 研究小组发现了一种全新的银行木马 IcedID。该木马最 早于 2017 年 9 月在互联网上传播,目标主要为美国金融行业的相关系统。据 XForce 研究,该木马包含一个恶意代码的模块,拥有如宙斯木马(Zeus Trojan) 等现今银行木马的大部分功能。 目前看来,该木马主要的目标为美国的银行,支付卡提供商,手机服务提供 商,邮件和电商网站等系统,还包括 2 所英国的主流银行。 相关链接: https://securityintelligence.com/new-banking-trojan-icediddiscovered-by-ibm-x-force-research/ 事件背景 2017 年 11 月 14 日,一个名为 IcedID 的银行木马被研究人员发现,该木马 主要攻击美国境内的银行和其他金融机构,通过 Emotet 木马来进行传播。受感 染者在访问特定的线上金融机构网站时,该木马会将用户重新定向到假的钓鱼网 页,来获取用户的银行密码等敏感信息。 传播与感染 据 X-Force 的研究人员表示,IcedID 没有利用漏洞而是利用 Emotet 木马进 行传播。Emotet 将 IcedID 作为新的 Payload 下载到受感染的用户主机上,从而 进行感染。Emotet 主要通过钓鱼邮件进行传播,一旦感染用户就会在主机上静 默安装,随后会用来下载更多的恶意软件。 除了常见的木马功能外,IcedID 还可以通过网络传播。 它通过设置一个本 地代理来监控受害者的在线活动, 它的攻击手段包括网站注入攻击和类似于 Dridex 和 TrickBot 的复杂的重定向攻击。 攻击流程 m o c . 5 b u h t i g 机器分析 绿盟科技威胁分析中心(TAC)对恶意样本的检测结果如下: h t i g b u m o c . 5 h t i g b u m o c . 5 h t i g b u m o c . 5 b u m o c . 5 h t i g 高阶分析 执行流程 样本信息 大小 365k 228k 365k 427k MD5 38921f28bb********b6e70039ee65f3 6899d3b514********635d78357c087e d982c6de62********89da5cfeb04d6f de4ef2e2********29891b45c1e3fbfd 技术分析 m o c . 5 样本运行后复制自身到 C:\Users\{UserName}\AppData\Local\cantimeam 目录 下,并通过创建注册表 run 键保证开机自启动: b u h t i g 设置代理,监听本地 49157 端口,监控所有主机流量,当访问目标网站时, 将用户访问重定向到恶意网站,窃取信息。例如,在用户访问银行网站时,将用 户请求重定向到伪造网站,窃取用户登录凭证。 m o c . 5 b u h t i g 新感染一台主机后,向服务器 POST 新 bot 信息,其中参数 b 表示唯一的 bot id,根据受害主机信息生成: /forum/viewtopic.php?a=0&b=29E5E0E72ADA89399B&d=0&e=42&f=2299390443 &g=1796157635&h=1710622345&r=2503557760&i=10495 m o c . 5 与 C&C 服务器之间的所有通信均采用 HTTPS 加密通信,根证书为自签名证 书,同时会根据访问的网站颁发子证书。 b u h t i g 在 系 统 临 时 目 录 C:\Users\{UserName}\AppData\Local\Temp 下 创 建 2ADA8939.tmp 文件,内容为网站证书,从而保证即使用户访问 https 网站,样本 依然能够通过代理端口获取到敏感信息,并不被用户所察觉: m o c . 5 b u h t i g 窃取敏感信息,经过与泄露的 pony 样本代码对比,确认该部分功能复用了 pony 代码: 窃取 Outlook 信息: b u m o c . 5 h t i g 窃取 Windows Live Mail 信息: m o c . 5 窃取 IncrediMail 信息: h t i g b u b u m o c . 5 h t i g 窃取 BatMail 信息: h t i g b u m o c . 5 窃取 Becky 信息: h t i g b u m o c . 5 b u m o c . 5 h t i g 窃取 PocoMail 信息: b u m o c . 5 h t i g 攻击定位 C&C 域名      nejokexulag.example.com nobleduty.com tradequel.net youaboard.com ztekbowrev.com IP 定位 解析到的 IP 地址:185.127.26.227 国家代码:RUS / RU 国家:Russian Federation 纬度:55.73860168457 经度:37.606800079346 处理建议 安全操作建议 m o c . 5 b u h t i g 1. 不要随意下载和安装软件,以防被木马感染; 2. 安装防病毒软件并保持更新至最新版本。 检查与清除 1. 检查注册表并删除 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersio n\Run\cantimeam 键值。 2. 删除 C:\Users\{UserName}\AppData\Local\cantimeam 目录及该目录 下的可执行文件。 持续安全监测与防护 在持续安全监测和防护方案中,以绿盟威胁分析系统(TAC)检测未知和 已知威胁,以威胁情报安全信誉为纽带,结合本地网络部署的 NIPS(绿盟入侵 防护系统),形成对已知威胁与未知威胁的动态安全防护体系,再结合绿盟科 技专业应急响应团队以及区域服务团队的现场响应及处置能力,可对全国范围 内的客户提供现场快速分析排查、处置及加固防护。 N TI 管理平台 ④ 威胁情报p u sh BSA ⑦ 可视化呈现 TA C ③ 未知恶意文件深度分析 ⑥ 安全事件上报 ② 威胁查询 ① 威胁进入 ③ 已知威胁, 阻断! In tern et N IPS m o c . 5 ⑧ 恶意软件清除服务 ⑤ C& C服务器回连阻断 注:TAC 的威胁分析能力请参考恶意软件行为章节内容 b u 家族关联对比 h t i g b u h t i g 绿盟科技检测与防护方案 m o c . 5 绿盟科技检测服务  绿盟科技工程师前往客户现场检测。  绿盟科技在线云检测,登陆绿盟科技云,申请极光远程扫描试用。 https://poma.nsfocus.com/ 绿盟科技木马专杀解决方案  短期服务:绿盟科技工程师现场木马后门清理服务(人工服务 +IPS+TAC)。确保第一时间消除网络内相关风险点,控制事件影 响范围,提供事件分析报告。

pdf文档 绿盟 IcedID银行木马样本技术分析与防护方案

文档预览
中文文档 22 页 50 下载 1000 浏览 0 评论 0 收藏 3.0分
温馨提示:本文档共22页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
绿盟 IcedID银行木马样本技术分析与防护方案 第 1 页 绿盟 IcedID银行木马样本技术分析与防护方案 第 2 页 绿盟 IcedID银行木马样本技术分析与防护方案 第 3 页
下载文档到电脑,方便使用
本文档由 路人甲 于 2022-07-17 01:19:32上传分享
站内资源均来自网友分享或网络收集整理,若无意中侵犯到您的权利,敬请联系我们微信(点击查看客服),我们将及时删除相关资源。