„IcedID“: IBM atrado naują kenkėjišką programinę įrangą bankininkystės scenoje

Turinys

Pasaulyje, kuriame viskas tvarkoma internetu, matome, kad visi mūsų duomenys yra nuolatinio saugumo kintamojo, kuris visada yra linkęs būti pažeidžiamas dėl tūkstančių atakų, kurios vykdomos žiniatinklyje.

Dauguma iš mūsų dažnai vykdome komercines operacijas internetu, kai mūsų asmens duomenys, banko sąskaitų numeriai, kredito kortelių numeriai ir kt. Yra pavojuje, todėl tai yra subtili saugumo padėtis, nes jei informacija patenka į netinkamas rankas, galime būti rimtų sunkumų.

Saugumo analitikai, ypač kalbėdami apie kenkėjiškas programas, aptiko naują grėsmę, tai yra bankinė Trojos arklys, vadinama „IcedID“, kuri šiuo metu yra tik pradiniame vystymosi etape. „Solvetic“ analizuos, kaip veikia ši nauja grėsmė, kad imtųsi būtinų saugumo priemonių.

Kaip buvo atrasta ši kenkėjiška programa

„IBM X-Force“ tyrimų grupė nuolat analizuoja ir stebi finansinių elektroninių nusikaltimų sritį, siekdama aptikti įvykius ir tendencijas, kurios formuoja grėsmių kraštovaizdį tiek organizacijų, tiek finansinių vartotojų lygmeniu, o tai sudaro milijonus.

Po metų, kurie buvo labai aktyvūs bankų kenkėjiškų programų požiūriu, su atakomis, tokiomis kaip pardavimo vietos (POS) kenkėjiškos programos ir išpirkos programinės įrangos atakos, tokios kaip „WannaCry“, „X-Force“ komanda nustatė naują, natūraliai veikiančią bankinę trojanę, pavadintą „IcedID“ .

Remiantis „X-Force“ grupės atliktais tyrimais, naujasis Trojos arklys atsirado 2021–2022 m. Rugsėjo mėn., Kai buvo pradėtos pirmosios bandomosios kampanijos. Mokslininkai pastebėjo, kad „IcedID“ turi modulinį kenkėjišką kodą, turintį modernias bankines „Trojos“ galimybes, panašias į kenkėjiškas programas, tokias kaip „Zeus Trojan“. Šiuo metu kenkėjiška programa nukreipta į JAV bankus, mokėjimo kortelių tiekėjus, mobiliųjų paslaugų teikėjus, darbo užmokestį, žiniatinklio paštą ir elektroninės prekybos svetaines, o du didieji JK bankai taip pat yra kenkėjiškų programų pasiekiamų tikslų sąraše.

Panašu, kad „IcedID“ nesiskolino kodo iš kitų žinomų Trojos arklys, tačiau jis diegia tas pačias funkcijas, leidžiančias atlikti pažangias naršyklės klastojimo taktikas. Nors „IcedID“ galimybės jau prilygsta kitų bankinių Trojos arklys, pvz., „Zeus“, „Gozi“ ir „Dridex“, tikimasi, kad artimiausiomis savaitėmis bus atnaujinta ši kenkėjiška programa.

Kenkėjiška programa išplito

„X-Force“ grupės atlikta „IcedID“ kenkėjiškų programų pristatymo metodo analizė rodo, kad operatoriai nėra naujokas elektroninių nusikaltimų srityje ir renkasi užkrėsti vartotojus per „Emotet Trojan“. „X-Force“ tyrimas daro prielaidą, kad grėsmės veikėjas arba mažas kibernetinis žanras šiais metais naudojo „Emotet“ kaip bankų Trojos arklys ir kitas kenkėjiškų programų platinimo operacija. Ryškiausia „Emotet“ atakų zona yra JAV. Mažesniu mastu ji taip pat skirta vartotojams JK ir kitose pasaulio dalyse.

„Emotet“ yra vienas iš žymiausių kenkėjiškų programų platinimo būdų 2021–2022 m., Aptarnaujantis elitines Rytų Europos elektroninių nusikaltimų grupes, tokias kaip „QakBot“ ir „Dridex“. „Emotet“ atsirado 2014 m., Nutekinus pradinį „Bugat Trojan“ šaltinio kodą. Iš pradžių „Emotet“ buvo banko Trojos arklys, buvęs prieš „Dridex“. Taigi jis skirtas kaupti ir prižiūrėti robotų tinklus. „Emotet“ išlieka įrenginyje ir gauna papildomų komponentų, tokių kaip šlamšto modulis, tinklo kirminų modulis ir slaptažodis bei duomenų vagystė, skirta „Microsoft Outlook“ el. Pašto ir vartotojo naršyklės veiklai.

Pati „Emotet“ gaunama naudojant „malspam“, paprastai manipuliuojamuose produktyvumo failuose, kuriuose yra kenkėjiškų makrokomandų. Kai „Emotet“ užkrės galutinį tašką, jis taps tyliu gyventoju ir bus naudojamas aptarnauti kitų kibernetinių nusikaltėlių kenkėjiškas programas, o ne tiesiog aptiktas. „IcedID“ gali vykdyti atakas, kurios vagia finansinius duomenis iš vartotojo per peradresavimo išpuolius, kurie įdiegia vietinį įgaliotąjį serverį, kad nukreiptų vartotojus į klonavimo svetaines, ir žiniatinklio įpurškimo atakas, taikant šį metodą, kai naršyklės procesas įvedamas taip, kad būtų rodomas suklastotas turinys ant originalo puslapis, apsimetantis patikima svetaine.

„IcedID“ TTP„IcedID“ TTP (taktika, metodai ir procedūros - taktika, metodai ir procedūros) turi keletą elementų, į kuriuos reikia atsižvelgti ir į kuriuos reikia atsižvelgti kalbant apie šią kenkėjišką programą. Be labiausiai paplitusių Trojos arklys funkcijų, „IcedID“ turi galimybę plisti tinkle, o ten atsidūręs stebi aukos veiklą internete, sukonfigūruodamas eismo tunelio vietinį tarpinį serverį, o tai yra „GootKit“ Trojos arklys. Jų atakos taktika apima žiniatinklio injekcijas ir sudėtingas peradresavimo atakas, panašias į „Dridex“ ir „TrickBot“ naudojamą schemą.

Dauginimas tinkle

„IcedID“ operatoriai ketina sutelkti dėmesį į verslą, nes nuo pat pradžių prie kenkėjiškų programų pridėjo tinklo sklaidos modulį. „IcedID“ turi galimybę pereiti prie kitų galinių taškų, o „X-Force“ tyrėjai taip pat pastebėjo, kad jis užkrečia terminalo serverius. Terminalų serveriai, kaip rodo pavadinimas, paprastai teikia terminalus, tokius kaip galiniai taškai, spausdintuvai ir bendro tinklo įrenginiai, su bendru prisijungimo tašku prie vietinio tinklo (LAN) arba plataus tinklo (WAN), o tai rodo, kad „IcedID“ jau turi nukreipė darbuotojų el. laiškus į žemę organizaciniuose galutiniuose taškuose, pratęsdamas ataką.

Šioje grafikoje matome „IcedID“ tinklo sklaidos funkcijas iš „IDA-Pro“:

Norėdami rasti kitus vartotojus, kuriuos galima užkrėsti, „IcedID“ pateikia užklausą dėl lengvojo katalogo prieigos protokolo (LDAP), kurio struktūra yra tokia:

„IcedID“ finansinio sukčiavimo TTP apima du atakos režimus

  • Webinjection išpuoliai
  • Peradresuoti atakas

Norėdami tai padaryti, kenkėjiška programa atsisiunčia konfigūracijos failą iš Trojos komandų ir valdymo (C & C) serverio, kai vartotojas atidaro interneto naršyklę. Į konfigūraciją įeina taikiniai, kuriems bus suaktyvinta žiniatinklio įpurškimo ataka, daugiausia bankai ir kiti taikiniai, kuriems buvo taikomos peradresavimo atakos, pvz., Mokėjimo kortelės ir interneto pašto svetainės.

„IcedID“ naudingos apkrovos diegimas ir techninė informacija

„X-Force“ tyrėjai atliko dinaminę „IcedID“ kenkėjiškų programų pavyzdžių analizę, o iš ten kenkėjiška programa dislokuojama galiniuose taškuose, kuriuose veikia įvairios „Windows“ operacinės sistemos versijos. Panašu, kad jis neturi jokių pažangių antivirusinių mašinų (VM) ar kovos su tyrimais metodų, išskyrus šiuos:

Norint užbaigti diegimą, reikia iš naujo paleisti, galbūt apeiti smėlio dėžes, kurios nesimuliuos iš naujo. Jis palaiko ryšį per „Secure Sockets Layer“ (SSL), kad ryšiams būtų suteiktas saugumo sluoksnis ir išvengta automatinio nuskaitymo naudojant įsilaužimo aptikimo sistemas.
Atlikdami šią operaciją, „X-Force“ tyrėjai teigia, kad laikui bėgant šiai Trojos arklys gali būti pritaikytos anti-teismo funkcijos.

„IcedID“ įgyvendinamas tiksliniuose galiniuose taškuose, naudojant „Emotet Trojan“ kaip šliuzą. Paleidus iš naujo, naudingoji apkrova įrašoma į aplanką% Windows LocalAppData%, kurio vertė sukuriama pagal kai kuriuos operacinės sistemos parametrus. Ši vertė naudojama tiek diegimo kelyje, tiek failo „RunKey“ vertėje.
Visas vertės susitarimas yra toks:

 % LOCALAPPDATA% \ [a-z] {9} \ [a-z] {9} .exe C: \ Users \ User \ AppData \ Local \ ewonliarl \ ewonliarl.exe HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ ewonliarl
Kenkėjiška programa nustato savo patvarumo mechanizmą, nurodytame registre sukurdama „RunKey“, kad užtikrintų jos išlikimą po sistemos perkrovimo. Vėliau „IcedID“ į „AppData“ aplanką įrašo sistemos RSA šifravimo raktą. Diegimo metu kenkėjiška programa gali rašyti į šį RSA raktą, o tai gali būti susiję su tuo, kad žiniatinklio srautas nukreipiamas naudojant „IcedID“ procesą, net kai nukreipiamas SSL srautas.
Laikinas failas parašytas tokia tvarka:% TEMP% \ [A-F0-9] {8} .tmp.
 C: \ Users \ User \ AppData \ Roaming \ Microsoft \ Crypto \ RSA \ S-1-5-21-2137145731-2486784493-1554833299-1000 \ fdbe618fb7eb861d65554863fc5da9a0_883f9a43-a12c-410f-b47830Db Users Temp \ CACCEF19.tmp
„IcedID“ procesas ir toliau vyksta, o tai retai pasitaiko kenkėjiškoms programoms. Tai gali reikšti, kad kai kurios kodo dalys vis dar taisomos ir ši problema pasikeis kito atnaujinimo metu.

Diegimo procesas čia baigiasi, o kenkėjiška programa ir toliau bus vykdoma naudojant „Explorer“ procesą iki kito to parametro perkrovimo. Po perkrovimo įvykio naudingoji apkrova vykdoma ir „IcedID“ Trojos arklys tampa rezidentu galiniame taške. Šiuo metu kenkėjiškų programų komponentai yra pradėti nukreipti aukos interneto srautą per vietinį tarpinį serverį, kurį ji valdo.

Kaip „IcedID“ peradresuoja aukos žiniatinklio srautą

„IcedID“ sukonfigūruoja vietinį tarpinį serverį, kad jis galėtų klausytis ir perimti ryšius iš aukos galinio taško, ir per jį du kartus nukreipia visą interneto srautą. Pirma, srautas perkeliamas į vietinį serverį localhost (127.0.0.1) per 49157 prievadą, kuris yra dinaminių ir (arba) privačių TCP / IP prievadų dalis. Antra, kenkėjiškas kenkėjiškos programos procesas klauso to prievado ir išfiltruoja atitinkamą komunikaciją į jūsų C&C serverį.

Nors „IcedID“ buvo sukurtas neseniai, jis naudoja peradresavimo išpuolius. „IcedID“ naudojama peradresavimo schema nėra paprastas perdavimas į kitą svetainę su kitu URL, priešingai, ji sukurta taip, kad nukentėjusiajam ji būtų kuo skaidresnė.

Tokia taktika apima teisėto banko URL rodymą adreso juostoje ir teisingą banko SSL sertifikatą, kuris yra įmanomas palaikant tiesioginį ryšį su tikra banko svetaine, kad negalėtume nustatyti grėsmės. „IcedID“ peradresavimo schema įgyvendinama per jos konfigūracijos failą. Kenkėjiška programa įsiklauso į tikslinį URL sąrašą ir, radusi trigerį, atlieka nurodytą žiniatinklio injekciją. Ši žiniatinklio injekcija siunčia auką į suklastotą bankininkystės svetainę, iš anksto sukonfigūruotą taip, kad atitiktų iš pradžių prašytą svetainę, imituodama aplinką.

Auka apgaulingai pateikia savo įgaliojimus netikro puslapio kopijoje, kuri nesąmoningai siunčia jį į užpuoliko serverį. Nuo to momento užpuolikas kontroliuoja aukos seansą, kuris paprastai apima socialinę inžineriją, siekiant apgauti auką atskleisti sandorio įgaliojimo elementus.

Bendravimas su kenkėjiškomis programomis

„IcedID“ ryšys vyksta naudojant užšifruotą SSL protokolą. Spalio pabaigoje analizuotos kampanijos metu kenkėjiška programa susisiekė su keturiais skirtingais C&C serveriais. Toliau pateiktoje grafikoje pavaizduotas scheminis „IcedID“ ryšio ir infekcijų infrastruktūros vaizdas:

DIDELIS

Norėdami pranešti apie naujas infekcijas robotų tinklui, „IcedID“ siunčia užšifruotą pranešimą su roboto identifikacija ir pagrindine sistemos informacija, kaip nurodyta toliau.

Iššifruotose pranešimų dalyse rodoma ši informacija, siunčiama C&C

  • B = roboto ID
  • K = komandos pavadinimas
  • L = darbo grupė
  • M = operacinės sistemos versija

Nuotolinio įpurškimo skydelis

Norėdami organizuoti kiekvienos tikslinės banko svetainės žiniatinklio injekcijų atakas, „IcedID“ operatoriai turi specialų žiniatinklio nuotolinį skydelį, prieinamą naudojant vartotojo vardo ir slaptažodžio derinį, identišką pradiniam bankui.
Interneto įpurškimo plokštės dažnai yra komerciniai pasiūlymai, kuriuos nusikaltėliai perka požeminėse rinkose. Gali būti, kad „IcedID“ naudoja komercinį skydelį arba kad „IcedID“ yra komercinė kenkėjiška programa. Tačiau šiuo metu nėra jokių požymių, kad „IcedID“ būtų parduodamas „underground“ ar „Dark Web“ rinkose.

Nuotolinio įpurškimo skydelis atrodys taip:

Kaip matome ten, vartotojo prašoma įvesti savo kredencialus, kaip įprasta savo banko svetainėje. Skydelis vėl susisiekia su serveriu, pagrįstu „OpenResty“ žiniatinklio platforma. Remiantis oficialia svetaine, „OpenResty“ skirta padėti kūrėjams lengvai kurti keičiamo dydžio žiniatinklio programas, žiniatinklio paslaugas ir dinaminius interneto portalus, palengvinant jų plitimą.

Kaip apsisaugoti nuo „IcedID“

„X-Force“ tyrimų grupė pataria naršyklėms taikyti saugos pataisas ir jos pačios atliko šį procesą:

Internet Explorer

 Prijunkite CreateProcessInternalW CertGetCertificateChain CertVerifyCertificateChainPolicy

„Firefox“

 nss3.dll! SSL_AuthCertificateHook

Kitos naršyklės

 CreateProcessInternalW CreateSemaphoreA

Nors „IcedID“ vis dar plinta, nėra tiksliai žinoma, kokį poveikį jis turės visame pasaulyje, tačiau idealu būti vienu žingsniu į priekį ir imtis būtinų saugumo priemonių.

wave wave wave wave wave