IcedID: Neue Malware von IBM in der Bankenszene entdeckt

Inhaltsverzeichnis

In einer Welt, in der alles online verwaltet wird, können wir feststellen, dass sich alle unsere Daten in einer konstanten Sicherheitsvariablen befinden, die aufgrund der Tausenden von Angriffen, die im Web ausgeführt werden, immer dazu neigt, angreifbar zu sein.

Die meisten von uns führen häufig Handelstransaktionen über das Internet durch, bei denen unsere persönlichen Daten, Bankkontonummern, Kreditkartennummern und mehr auf dem Spiel stehen in ernsthaften Schwierigkeiten.

Sicherheitsanalysten, insbesondere in Bezug auf Malware, haben eine neue Bedrohung entdeckt, einen Banking-Trojaner namens IcedID, der sich derzeit in einer frühen Entwicklungsphase befindet. Solvetic wird analysieren, wie sich diese neue Bedrohung verhält, um die erforderlichen Sicherheitsmaßnahmen zu ergreifen.

Wie diese Malware entdeckt wurde

Die IBM X-Force-Forschungsgruppe analysiert und überwacht ständig den Bereich der Cyberkriminalität im Finanzbereich, um die Ereignisse und Trends zu erkennen, die die Bedrohungslandschaft sowohl auf der Ebene von Organisationen als auch für Finanzkonsumenten prägen, die sich in Millionenhöhe summieren.

Nach einem Jahr, das in Bezug auf Banking-Malware sehr aktiv war, mit Angriffen wie Point-of-Sale (POS)-Malware und Ransomware-Angriffen wie WannaCry, identifizierte das X-Force-Team einen neuen, natürlich aktiven Banking-Trojaner namens IcedID .

Nach Recherchen der X-Force-Gruppe tauchte der neue Banking-Trojaner im September 2021-2022 auf, als seine ersten Testkampagnen gestartet wurden. Die Forscher stellten fest, dass IcedID über einen modularen Schadcode mit modernen Banking-Trojanern verfügt, die mit Malware wie dem Zeus-Trojaner vergleichbar sind. Derzeit zielt die Malware auf Banken, Zahlungskartenanbieter, Mobilfunkanbieter, Gehaltsabrechnungs-, Webmail- und E-Commerce-Sites in den USA ab, und zwei der großen britischen Banken stehen ebenfalls auf der Liste der Ziele, die die Malware erreicht.

IcedID scheint den Code nicht von anderen bekannten Trojanern ausgeliehen zu haben, implementiert jedoch identische Funktionen, die es ihm ermöglichen, fortschrittliche Taktiken zur Manipulation des Browsers durchzuführen. Obwohl die Fähigkeiten von IcedID bereits mit denen anderer Banking-Trojaner wie Zeus, Gozi und Dridex vergleichbar sind, werden in den kommenden Wochen weitere Updates für diese Malware erwartet.

Malware-Verbreitung

Die Analyse der Versandmethode der IcedID-Malware durch die X-Force-Gruppe zeigt, dass die Betreiber im Bereich der Cyberkriminalität nicht neu sind und sich dafür entscheiden, Benutzer über den Emotet-Trojaner zu infizieren. Die X-Force-Untersuchung geht davon aus, dass ein Bedrohungsakteur oder ein kleines Cybergenre in diesem Jahr Emotet als Verbreitungsoperation für Banktrojaner und anderen Malware-Code verwendet hat. Die bekannteste Angriffszone von Emotet sind die USA. In geringerem Maße zielt es auch auf Benutzer in Großbritannien und anderen Teilen der Welt ab.

Emotet wird in den Jahren 2021-2022 als eine der bemerkenswertesten Methoden zur Verbreitung von Malware aufgeführt und dient osteuropäischen Elitegruppen der Cyberkriminalität, wie sie von QakBot und Dridex betrieben werden. Emotet entstand 2014 nach einem Leck des ursprünglichen Quellcodes für den Bugat-Trojaner. Ursprünglich war Emotet ein Banking-Trojaner, der Dridex vorausging. Als solches ist es darauf ausgelegt, Botnets zu akkumulieren und zu pflegen. Emotet bleibt auf dem Computer bestehen und erhält dann zusätzliche Komponenten wie ein Spam-Modul, ein Netzwerk-Wurm-Modul sowie Passwort- und Datendiebstahl für Microsoft Outlook-E-Mail- und Benutzerbrowser-Aktivitäten.

Emotet selbst kommt über Malspam, normalerweise in manipulierten Produktivitätsdateien, die bösartige Makros enthalten. Sobald Emotet den Endpunkt infiziert, wird es zu einem Silent-Resident und wird betrieben, um Malware von anderen Cyberkriminellen bereitzustellen, ohne einfach entdeckt zu werden. IcedID kann Angriffe durchführen, die dem Benutzer Finanzdaten durch Umleitungsangriffe stehlen, die einen lokalen Proxy installieren, um Benutzer auf Klon-Sites umzuleiten, und Web-Injection-Angriffe. Bei dieser Methode wird der Browserprozess injiziert, um gefälschte Inhalte über dem Original anzuzeigen Seite, die vorgibt, eine vertrauenswürdige Website zu sein.

IcedID-TTPsDie TTPs (Tactics, Techniques and Procedures - Tactics, Techniques and Procedures) von IcedID enthalten eine Reihe von Elementen, die berücksichtigt und berücksichtigt werden müssen, wenn über diese Malware gesprochen wird. Zusätzlich zu den gängigsten Trojaner-Funktionen kann sich IcedID über ein Netzwerk ausbreiten und dort die Online-Aktivitäten des Opfers überwachen, indem es einen lokalen Proxy für den Verkehrstunnel konfiguriert, ein Konzept, das an den GootKit-Trojaner erinnert. Ihre Angriffstaktiken umfassen Webinjection-Angriffe und ausgeklügelte Redirect-Angriffe, die dem von Dridex und TrickBot verwendeten Schema ähneln.

Ausbreitung im Netzwerk

Die IcedID-Betreiber wollen sich auf das Geschäft konzentrieren, da sie der Malware von Anfang an ein Netzwerkausbreitungsmodul hinzugefügt haben. IcedID besitzt die Fähigkeit, zu anderen Endpunkten zu wechseln, und X-Force-Forscher beobachteten auch, dass es Terminalserver infizierte. Terminalserver stellen, wie der Name schon sagt, Terminals wie Endpunkte, Drucker und gemeinsam genutzte Netzwerkgeräte normalerweise mit einem gemeinsamen Verbindungspunkt zu einem lokalen Netzwerk (LAN) oder einem Weitverkehrsnetzwerk (WAN) zur Verfügung, was darauf hindeutet, dass IcedID bereits leitete Mitarbeiter-E-Mails an die Endpunkte der Organisation weiter, um den Angriff zu verlängern.

In der folgenden Grafik sehen wir die Netzwerkausbreitungsfunktionen von IcedID, von einem IDA-Pro:

Um andere zu infizierende Benutzer zu finden, fragt IcedID das Lightweight Directory Access Protocol (LDAP) mit der folgenden Struktur ab:

IcedID-TTPs für Finanzbetrug umfassen zwei Angriffsmodi

  • Webinjection-Angriffe
  • Angriffe umleiten

Dazu lädt die Malware beim Öffnen des Internetbrowsers eine Konfigurationsdatei vom Command and Control (C & C)-Server des Trojaners herunter. Die Konfiguration umfasst Ziele, für die ein Web-Injection-Angriff ausgelöst wird, hauptsächlich Banken und andere Ziele, die mit Redirect-Angriffen ausgestattet wurden, wie Zahlungskarten und Webmail-Sites.

IcedID-Nutzlastbereitstellung und technische Details

Die X-Force-Forscher führten eine dynamische Analyse von Beispielen der IcedID-Malware durch, und von dort wird die Malware auf Endpunkten bereitgestellt, auf denen verschiedene Versionen des Windows-Betriebssystems ausgeführt werden. Es scheint keine fortschrittlichen antivirtuellen Maschinen (VM) oder Anti-Ermittlungstechniken zu besitzen, außer den folgenden:

Erfordert einen Neustart, um die vollständige Bereitstellung abzuschließen, möglicherweise um Sandboxen zu umgehen, die keinen Neustart emulieren. Es kommuniziert über Secure Sockets Layer (SSL), um der Kommunikation eine Sicherheitsebene hinzuzufügen und automatisierte Scans durch Intrusion Detection-Systeme zu vermeiden.
Mit dieser Operation behaupten X-Force-Forscher, dass dieser Trojaner im Laufe der Zeit mit anti-forensischen Funktionen ausgestattet werden kann.

IcedID wird auf den Zielendpunkten mit dem Emotet-Trojaner als Gateway implementiert. Nach dem Neustart wird die Nutzlast mit einem von einigen Betriebssystemparametern generierten Wert in den Ordner % Windows LocalAppData% geschrieben. Dieser Wert wird sowohl im Bereitstellungspfad als auch im RunKey-Wert für die Datei verwendet.
Die vollständige Konvention für den Wert lautet:

 % LOCALAPPDATA% \ [a-z] {9} \ [a-z] {9} .exe C: \ Users \ User \ AppData \ Local \ ewonliarl \ ewonliarl.exe HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ ewonliarl
Die Malware richtet ihren Persistenzmechanismus ein, indem sie einen RunKey in der angegebenen Registrierung erstellt, um ihr Überleben nach Systemneustartereignissen sicherzustellen. Anschließend schreibt IcedID einen RSA-Verschlüsselungsschlüssel für das System in den AppData-Ordner. Malware kann während der Bereitstellungsroutine in diesen RSA-Schlüssel schreiben, was damit zusammenhängen könnte, dass der Web-Traffic durch den IcedID-Prozess geleitet wird, selbst wenn SSL-Traffic geleitet wird.
Die temporäre Datei wird mit der folgenden Konvention geschrieben: % TEMP% \ [A-F0-9] {8} .tmp.
 C: \ Benutzer \ Benutzer \ AppData \ Roaming \ Microsoft \ Crypto \ RSA \ S-1-5-21-2137145731-2486784493-1554833299-1000 \ fdbe618fb7eb861d65554863fc5da9a0_883f9a43-a12c-410f-b47d-bb7275830b Benutzer \ Benutzerdaten Temp \ CACCEF19.tmp
Der IcedID-Prozess läuft weiter, was bei Malware selten vorkommt. Dies könnte bedeuten, dass einige Teile des Codes noch behoben werden und sich dieses Problem im nächsten Update ändern wird.

Der Bereitstellungsprozess endet hier und die Malware wird bis zum nächsten Neustart dieses Endpunkts unter dem Explorer-Prozess ausgeführt. Nach dem Neustartereignis wird die Nutzlast ausgeführt und der IcedID-Trojaner wird auf dem Endpunkt resident. An diesem Punkt sind die Malware-Komponenten vorhanden, um den Internetverkehr des Opfers über einen von ihm kontrollierten lokalen Proxy umzuleiten.

Wie IcedID den Webverkehr des Opfers umleitet

IcedID konfiguriert einen lokalen Proxy zum Abhören und Abfangen der Kommunikation vom Endpunkt des Opfers und leitet den gesamten Internetverkehr in zwei Hops durch ihn um. Zuerst wird der Datenverkehr über Port 49157, der Teil der dynamischen und / oder privaten TCP / IP-Ports ist, an den lokalen Server localhost (127.0.0.1) übertragen. Zweitens lauscht der bösartige Prozess der Malware an diesem Port und exfiltriert relevante Kommunikation an Ihren C&C-Server.

Obwohl es erst kürzlich entwickelt wurde, verwendet IcedID Umleitungsangriffe. Das von IcedID verwendete Umleitungsschema ist keine einfache Übergabe an eine andere Website mit einer anderen URL, im Gegenteil, es soll dem Opfer so transparent wie möglich erscheinen.

Zu diesen Taktiken gehört die Anzeige der legitimen Bank-URL in der Adressleiste und des korrekten SSL-Zertifikats der Bank, was möglich ist, indem eine Live-Verbindung zur realen Website der Bank aufrechterhalten wird, sodass wir die Bedrohung nicht erkennen können. Das IcedID-Umleitungsschema wird durch seine Konfigurationsdatei implementiert. Die Malware lauscht auf die Ziel-URL in der Liste und führt, sobald sie einen Auslöser findet, eine bestimmte Webinjektion aus. Diese Webinjection schickt das Opfer zu einer gefälschten Banking-Site, die im Voraus konfiguriert wurde, um der ursprünglich angeforderten Site zu entsprechen, indem ihre Umgebung simuliert wird.

Das Opfer wird dazu verleitet, seine Zugangsdaten auf der Replik der gefälschten Seite zu präsentieren, die es unwissentlich an den Server des Angreifers sendet. Von diesem Zeitpunkt an kontrolliert der Angreifer die Sitzung, die das Opfer durchläuft, was normalerweise Social Engineering beinhaltet, um das Opfer dazu zu bringen, Transaktionsautorisierungselemente preiszugeben.

Malware-Kommunikation

Die IcedID-Kommunikation erfolgt über das verschlüsselte SSL-Protokoll. Während einer Ende Oktober analysierten Kampagne kommunizierte die Malware mit vier verschiedenen C&C-Servern.Die folgende Grafik zeigt eine schematische Ansicht der Kommunikations- und Infektionsinfrastruktur von IcedID:

VERGRÖSSERN

Um neue Infektionen an das Botnet zu melden, sendet IcedID eine verschlüsselte Nachricht mit der Identifizierung des Bots und grundlegenden Systeminformationen wie folgt:

Die entschlüsselten Nachrichtenteile zeigen die folgenden Details, die an das C&C gesendet werden

  • B = Bot-ID
  • K = Teamname
  • L = Arbeitsgruppe
  • M = Betriebssystemversion

Ferninjektionspanel

Um Webinjection-Angriffe für jede Zielbank-Website zu organisieren, verfügen die IcedID-Betreiber über ein dediziertes webbasiertes Remote-Panel, auf das mit einer Benutzernamen- und Passwortkombination, die mit der ursprünglichen Bank identisch ist, zugegriffen werden kann.
Web-Injection-Panels sind oft kommerzielle Angebote, die Kriminelle in Untergrundmärkten kaufen. Es ist möglich, dass IcedID ein kommerzielles Panel verwendet oder dass es sich bei IcedID um kommerzielle Malware handelt. Derzeit gibt es jedoch keine Anzeichen dafür, dass IcedID auf den Underground- oder Dark Web-Märkten verkauft wird.

Ein Remote-Injection-Panel sieht wie folgt aus:

Wie wir dort sehen, wird der Benutzer aufgefordert, seine Zugangsdaten wie gewohnt auf der Website seiner Bank einzugeben. Das Panel kommuniziert wieder mit einem Server basierend auf der OpenResty Webplattform. Laut seiner offiziellen Website soll OpenResty Entwicklern dabei helfen, leicht skalierbare Webanwendungen, Webdienste und dynamische Webportale zu erstellen, indem deren Verbreitung erleichtert wird.

So schützen Sie sich vor IcedID

Die Forschungsgruppe X-Force rät dazu, Sicherheitspatches auf Browser anzuwenden und hat folgenden Prozess selbst durchgeführt:

Internet Explorer

 Connect CreateProcessInternalW CertGetCertificateChain CertVerifyCertificateChainPolicy

Feuerfuchs

 nss3.dll!SSL_AuthCertificateHook

Andere Browser

 CreateProcessInternalW CreateSemaphoreA

Obwohl sich IcedID noch in der Verbreitung befindet, ist nicht mit Sicherheit bekannt, welche Auswirkungen es weltweit haben wird, aber es ist ideal, einen Schritt voraus zu sein und die notwendigen Sicherheitsmaßnahmen zu ergreifen.

wave wave wave wave wave