IcedID 银行木马样本 技术分析与防护方案 发布时间：2017 年 11 月 17 日 综述 m o c . 5 h t i g b u 近日，IBM X-Force 研究小组发现了一种全新的银行木马 IcedID。该木马最 早于 2017 年 9 月在互联网上传播，目标主要为美国金融行业的相关系统。据 XForce 研究，该木马包含一个恶意代码的模块，拥有如宙斯木马（Zeus Trojan） 等现今银行木马的大部分功能。 目前看来，该木马主要的目标为美国的银行，支付卡提供商，手机服务提供 商，邮件和电商网站等系统，还包括 2 所英国的主流银行。 相关链接： https://securityintelligence.com/new-banking-trojan-icediddiscovered-by-ibm-x-force-research/ 事件背景 2017 年 11 月 14 日，一个名为 IcedID 的银行木马被研究人员发现，该木马 主要攻击美国境内的银行和其他金融机构，通过 Emotet 木马来进行传播。受感 染者在访问特定的线上金融机构网站时，该木马会将用户重新定向到假的钓鱼网 页，来获取用户的银行密码等敏感信息。 传播与感染 据 X-Force 的研究人员表示，IcedID 没有利用漏洞而是利用 Emotet 木马进 行传播。Emotet 将 IcedID 作为新的 Payload 下载到受感染的用户主机上，从而 进行感染。Emotet 主要通过钓鱼邮件进行传播，一旦感染用户就会在主机上静 默安装，随后会用来下载更多的恶意软件。 除了常见的木马功能外，IcedID 还可以通过网络传播。 它通过设置一个本 地代理来监控受害者的在线活动， 它的攻击手段包括网站注入攻击和类似于 Dridex 和 TrickBot 的复杂的重定向攻击。 攻击流程 m o c . 5 b u h t i g 机器分析 绿盟科技威胁分析中心(TAC)对恶意样本的检测结果如下： h t i g b u m o c . 5 h t i g b u m o c . 5 h t i g b u m o c . 5 b u m o c . 5 h t i g 高阶分析 执行流程 样本信息 大小 365k 228k 365k 427k MD5 38921f28bb********b6e70039ee65f3 6899d3b514********635d78357c087e d982c6de62********89da5cfeb04d6f de4ef2e2********29891b45c1e3fbfd 技术分析 m o c . 5 样本运行后复制自身到 C:\Users\{UserName}\AppData\Local\cantimeam 目录 下，并通过创建注册表 run 键保证开机自启动： b u h t i g 设置代理，监听本地 49157 端口，监控所有主机流量，当访问目标网站时， 将用户访问重定向到恶意网站，窃取信息。例如，在用户访问银行网站时，将用 户请求重定向到伪造网站，窃取用户登录凭证。 m o c . 5 b u h t i g 新感染一台主机后，向服务器 POST 新 bot 信息，其中参数 b 表示唯一的 bot id，根据受害主机信息生成： /forum/viewtopic.php?a=0&b=29E5E0E72ADA89399B&d=0&e=42&f=2299390443 &g=1796157635&h=1710622345&r=2503557760&i=10495 m o c . 5 与 C&C 服务器之间的所有通信均采用 HTTPS 加密通信，根证书为自签名证 书，同时会根据访问的网站颁发子证书。 b u h t i g 在 系 统 临 时 目 录 C:\Users\{UserName}\AppData\Local\Temp 下 创 建 2ADA8939.tmp 文件，内容为网站证书，从而保证即使用户访问 https 网站，样本 依然能够通过代理端口获取到敏感信息，并不被用户所察觉： m o c . 5 b u h t i g 窃取敏感信息，经过与泄露的 pony 样本代码对比，确认该部分功能复用了 pony 代码： 窃取 Outlook 信息： b u m o c . 5 h t i g 窃取 Windows Live Mail 信息： m o c . 5 窃取 IncrediMail 信息: h t i g b u b u m o c . 5 h t i g 窃取 BatMail 信息: h t i g b u m o c . 5 窃取 Becky 信息: h t i g b u m o c . 5 b u m o c . 5 h t i g 窃取 PocoMail 信息: b u m o c . 5 h t i g 攻击定位 C&C 域名      nejokexulag.example.com nobleduty.com tradequel.net youaboard.com ztekbowrev.com IP 定位 解析到的 IP 地址：185.127.26.227 国家代码：RUS / RU 国家：Russian Federation 纬度：55.73860168457 经度：37.606800079346 处理建议 安全操作建议 m o c . 5 b u h t i g 1. 不要随意下载和安装软件，以防被木马感染； 2. 安装防病毒软件并保持更新至最新版本。 检查与清除 1. 检查注册表并删除 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersio n\Run\cantimeam 键值。 2. 删除 C:\Users\{UserName}\AppData\Local\cantimeam 目录及该目录 下的可执行文件。 持续安全监测与防护 在持续安全监测和防护方案中，以绿盟威胁分析系统（TAC）检测未知和 已知威胁，以威胁情报安全信誉为纽带，结合本地网络部署的 NIPS（绿盟入侵 防护系统），形成对已知威胁与未知威胁的动态安全防护体系，再结合绿盟科 技专业应急响应团队以及区域服务团队的现场响应及处置能力，可对全国范围 内的客户提供现场快速分析排查、处置及加固防护。 N TI 管理平台 ④ 威胁情报p u sh BSA ⑦ 可视化呈现 TA C ③ 未知恶意文件深度分析 ⑥ 安全事件上报 ② 威胁查询 ① 威胁进入 ③ 已知威胁， 阻断！ In tern et N IPS m o c . 5 ⑧ 恶意软件清除服务 ⑤ C& C服务器回连阻断 注：TAC 的威胁分析能力请参考恶意软件行为章节内容 b u 家族关联对比 h t i g b u h t i g 绿盟科技检测与防护方案 m o c . 5 绿盟科技检测服务  绿盟科技工程师前往客户现场检测。  绿盟科技在线云检测，登陆绿盟科技云，申请极光远程扫描试用。 https://poma.nsfocus.com/ 绿盟科技木马专杀解决方案  短期服务：绿盟科技工程师现场木马后门清理服务（人工服务 +IPS+TAC）。确保第一时间消除网络内相关风险点，控制事件影 响范围，提供事件分析报告。