U svijetu u kojem se sve upravlja na mreži možemo vidjeti da su svi naši podaci u stalnoj sigurnosnoj varijabli koja uvijek ima tendenciju biti ranjiva zbog tisuća napada koji se izvode na webu.
Većina nas često obavlja komercijalne transakcije putem interneta gdje su u pitanju naši osobni podaci, brojevi bankovnih računa, brojevi kreditnih kartica i drugo, što ovu situaciju čini osjetljivom sigurnosnom situacijom, jer ako informacije dođu u pogrešne ruke, možemo biti u ozbiljnim teškoćama.
Sigurnosni analitičari, posebno u pogledu zlonamjernog softvera, otkrili su novu prijetnju, a to je bankovni trojanac pod nazivom IcedID, koji je trenutno u ranoj fazi razvoja. Solvetić će analizirati kako ta nova prijetnja djeluje kako bi poduzeo potrebne sigurnosne mjere.
Kako je otkriven ovaj zlonamjerni softver
Istraživačka skupina IBM-a X-Force neprestano analizira i prati područje financijskog kibernetičkog kriminala kako bi otkrila događaje i trendove koji oblikuju krajolik prijetnji kako na razini organizacija tako i za financijske potrošače, koji zbrajaju milijune.
Nakon godinu dana koja je bila vrlo aktivna u smislu bankovnog zlonamjernog softvera, s napadima poput zlonamjernog softvera na prodajnom mjestu (POS) i napadima ransomwarea poput WannaCryja, tim X-Force identificirao je novog, prirodno aktivnog bankovnog trojanca pod nazivom IcedID .
Prema istraživanju koje je provela grupa X-Force, novi bankovni trojanac pojavio se u rujnu 2021.-2022., Kada su pokrenute prve probne kampanje. Istraživači su primijetili da IcedID posjeduje modularni zlonamjerni kôd sa modernim bankovnim trojanskim mogućnostima usporedivim sa zlonamjernim softverom kao što je Zeus Trojanac. Zlonamjerni softver trenutno cilja na banke, pružatelje platnih kartica, pružatelje mobilnih usluga, platne liste, web poštu i web stranice za e-trgovinu u SAD-u, a dvije velike banke u Velikoj Britaniji također su na popisu ciljeva koje zlonamjerni softver postiže.
Čini se da IcedID nije posudio kôd od drugih poznatih trojanaca, ali implementira identične značajke koje mu omogućuju izvođenje naprednih taktika ometanja preglednika. Iako su mogućnosti IcedID -a već jednake sposobnostima drugih bankovnih trojanaca, poput Zeusa, Gozija i Dridexa, očekuje se da će nadogradnja ovog zlonamjernog softvera doći sljedećih tjedana.
Širenje zlonamjernog softvera
Analiza X-Force grupe o načinu isporuke zlonamjernog softvera IcedID ukazuje na to da operateri nisu novi u području kibernetičkog kriminala i da su odlučili zaraziti korisnike putem Emotet trojanca. Istraga X-Force pretpostavlja da je akter prijetnje ili mali cyberžanr ove godine koristio Emotet kao operaciju distribucije bankovnih trojanaca i drugog zlonamjernog koda. Najistaknutija zona napada Emoteta su SAD U manjoj mjeri ciljaju i korisnike u Velikoj Britaniji i drugim dijelovima svijeta.
Emotet je naveden kao jedna od značajnih metoda distribucije zlonamjernog softvera u razdoblju 2021.-2022., Koja služi elitnim istočnoeuropskim skupinama kibernetičkog kriminala, poput onih kojima upravljaju QakBot i Dridex. Emotet se pojavio 2014. godine nakon curenja izvornog izvornog koda za trojanac Bugat. U početku je Emotet bio bankovni trojanac koji je prethodio Dridexu. Kao takav, dizajniran je za akumuliranje i održavanje botneta. Emotet ostaje na stroju, a zatim dobiva dodatne komponente, kao što su modul za neželjenu poštu, modul mrežnog crva te krađa lozinke i podataka za e -poštu i aktivnosti preglednika korisnika Microsoft Outlook.
Sam Emotet dolazi putem malspam -a, obično unutar manipuliranih datoteka produktivnosti koje sadrže zlonamjerne makronaredbe. Nakon što Emotet inficira krajnju točku, postaje šutljivi stanovnik i služi za posluživanje zlonamjernog softvera drugih kibernetičkih kriminalaca, a da ga jednostavno ne otkrije. IcedID može izvesti napade koji kradu financijske podatke od korisnika putem napada preusmjeravanja, koji instaliraju lokalni proxy za preusmjeravanje korisnika na kloniranje web mjesta, te napade ubrizgavanja weba, s ovom metodom postupak preglednika se ubrizgava za prikaz lažnog sadržaja koji se postavlja na izvornik stranica koja se pretvara da je pouzdana web stranica.
IcedID TTP -oviTTP -ovi (Taktike, Tehnike i Postupci - Taktike, Tehnike i Postupci) IcedID -a imaju niz elemenata koje se moraju uzeti u obzir i uzeti u obzir kada se govori o ovom zlonamjernom softveru. Osim najčešćih trojanskih značajki, IcedID ima mogućnost širenja po mreži, a jednom tamo nadzire mrežne aktivnosti žrtve konfiguriranjem lokalnog proxyja za prometni tunel, što je koncept koji podsjeća na trojanac GootKit. Njihova taktika napada uključuje webinjekcijske napade i sofisticirane napade preusmjeravanja slične shemi koju koriste Dridex i TrickBot.
Širenje u mreži
Operatori IcedID-a namjeravaju se usredotočiti na poslovanje jer su malwareu od početka dodali mrežni modul za širenje. IcedID posjeduje sposobnost prelaska na druge krajnje točke, a istraživači X-Force-a također su primijetili da inficira terminalne poslužitelje. Poslužitelji terminala obično pružaju, kako naziv govori, terminale, poput krajnjih točaka, pisača i dijeljenih mrežnih uređaja, sa zajedničkom točkom povezivanja na lokalnu mrežu (LAN) ili mrežu šireg područja (WAN), što sugerira da je IcedID već preusmjerio e -poštu zaposlenika na tlo na organizacijskim krajnjim točkama proširujući svoj napad.
Na sljedećoj slici možemo vidjeti mrežne funkcije širenja IcedID-a, iz IDA-Pro:
Kako bi pronašao druge korisnike koje treba zaraziti, IcedID traži Lagani protokol pristupa direktoriju (LDAP) sa sljedećom strukturom:
IcedID TTP -ovi za financijske prijevare uključuju dva načina napada
- Webinjekcijski napadi
- Preusmjeravanje napada
Da bi to učinio, zlonamjerni softver preuzima konfiguracijsku datoteku s poslužitelja za upravljanje i kontrolu (C & C) Trojanaca kada korisnik otvori internetski preglednik. Konfiguracija uključuje ciljeve za koje će se pokrenuti napad ubrizgavanjem weba, uglavnom banke i druge mete koje su opremljene napadima preusmjeravanja, poput platnih kartica i web -mjesta za poštu.
IcedID korisni teret i tehnički detalji
Istraživači X-Force-a proveli su dinamičku analizu uzoraka zlonamjernog softvera IcedID, a odatle se zlonamjerni softver raspoređuje na krajnje točke s različitim verzijama operacijskog sustava Windows. Čini se da ne posjeduje napredne anti-virtualne strojeve (VM) ili tehnike protiv istrage, osim sljedećeg:
Zahtijeva ponovno podizanje sustava da bi se dovršila potpuna implementacija, po mogućnosti za zaobilaženje pješčanika koji ne oponašaju ponovno pokretanje. Komunicira putem sloja sigurnih utičnica (SSL) radi dodavanja sloja sigurnosti komunikacijama i izbjegavanja automatiziranog skeniranja od strane sustava za otkrivanje upada.
Ovom operacijom istraživači X-Force-a tvrde da se anti-forenzičke značajke mogu primijeniti na ovog trojanca s vremenom.
IcedID se implementira na ciljne krajnje točke koristeći Emotet Trojan kao pristupnik. Nakon ponovnog pokretanja, korisni teret se zapisuje u mapu% Windows LocalAppData% s vrijednošću generiranom nekim parametrima operacijskog sustava. Ta se vrijednost koristi i u putanji implementacije i u vrijednosti RunKey za datoteku.
Potpuna konvencija za vrijednost je:
% LOCALAPPDATA% \ [a-z] {9} \ [a-z] {9} .exe C: \ Users \ User \ AppData \ Local \ ewonliarl \ ewonliarl.exe HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ ewonliarlZlonamjerni softver uspostavlja svoj mehanizam postojanosti stvaranjem RunKeya u navedenom registru kako bi osigurao opstanak nakon događaja ponovnog pokretanja sustava. Nakon toga, IcedID upisuje RSA ključ za šifriranje za sustav u mapu AppData. Zlonamjerni softver može pisati na ovaj RSA ključ tijekom rutine implementacije, što bi moglo biti povezano s činjenicom da se web promet usmjerava putem IcedID procesa čak i kada se protok SSL usmjerava.
Privremena datoteka zapisana je prema sljedećoj konvenciji:% TEMP% \ [A-F0-9] {8} .tmp.
C: \ Korisnici \ Korisnik \ AppData \ Roaming \ Microsoft \ Crypto \ RSA \ S-1-5-21-2137145731-2486784493-1554833299-1000 \ fdbe618fb7eb861d65554863fc5da9a0_883f9a43-a12c-410f-b47da-Korisnik \ bddbb Temp \ CACCEF19.tmpProces IcedID nastavlja se izvoditi, što je rijetko za zlonamjerni softver. To bi moglo značiti da se neki dijelovi koda još uvijek ispravljaju, a ovaj će se problem promijeniti u sljedećem ažuriranju.
Postupak implementacije ovdje završava, a zlonamjerni softver nastavit će se izvoditi pod procesom Explorer do sljedećeg ponovnog pokretanja te krajnje točke. Nakon događaja ponovnog pokretanja, korisni teret se izvršava, a trojanac IcedID postaje rezident na krajnjoj točki. U ovom su trenutku komponente zlonamjernog softvera postavljene za početak preusmjeravanja internetskog prometa žrtve putem lokalnog proxyja koji kontrolira.
Kako IcedID preusmjerava žrtvin web promet
IcedID konfigurira lokalni proxy za osluškivanje i presretanje komunikacije s krajnje točke žrtve i preusmjerava sav internetski promet kroz nju u dva skoka. Prvo, promet se prenosi na lokalni poslužitelj, localhost, (127.0.0.1) putem porta 49157, koji je dio dinamičkih i / ili privatnih TCP / IP portova. Drugo, zlonamjerni proces zlonamjernog softvera osluškuje taj port i eksfiltrira relevantnu komunikaciju na vaš C&C poslužitelj.
Iako je nedavno razvijen, IcedID koristi napade preusmjeravanja. Shema preusmjeravanja koju koristi IcedID nije jednostavna primopredaja drugoj web stranici s drugačijim URL -om, naprotiv, osmišljena je tako da žrtvi izgleda što je moguće transparentnije.
Ove taktike uključuju prikazivanje legitimnog URL -a banke u adresnoj traci i ispravnog SSL certifikata banke, što je moguće održavanjem aktivne veze sa stvarnom web lokacijom banke tako da nemamo načina otkrivanja prijetnje. Shema preusmjeravanja IcedID implementirana je kroz njegovu konfiguracijsku datoteku. Zlonamjerni softver osluškuje ciljni URL na popisu i, nakon što pronađe okidač, pokreće određenu web -injekciju. Ova webinjekcija šalje žrtvu na lažnu bankovnu stranicu koja je unaprijed konfigurirana tako da se podudara s izvorno zatraženom web lokacijom simulirajući njezino okruženje.
Žrtva je prevarena da predstavi svoje vjerodajnice na replici lažne stranice, koja ih nesvjesno šalje na poslužitelj napadača. Od tog trenutka napadač kontrolira sesiju koju žrtva prolazi, što obično uključuje društveni inženjering kako bi žrtvu prevario u otkrivanju stavki autorizacije transakcija.
Komunikacija zlonamjernog softvera
IcedID komunikacija ostvaruje se putem šifriranog SSL protokola. Tijekom kampanje analizirane krajem listopada, zlonamjerni softver komunicirao je s četiri različita C&C poslužitelja. Sljedeća slika prikazuje shematski prikaz komunikacijske i infekcijske infrastrukture IcedID:
POVEĆAJTE
Kako bi prijavio nove infekcije botnetu, IcedID šalje šifriranu poruku s identifikacijom bota i osnovnim informacijama o sustavu na sljedeći način:
Dekodirani dijelovi poruke prikazuju sljedeće detalje koji se šalju u C&C
- B = ID bota
- K = naziv tima
- L = Radna grupa
- M = verzija operacijskog sustava
Ploča za daljinsko ubrizgavanje
Za organiziranje napada webinjekcijama za svaku web stranicu ciljne banke, IcedID operatori imaju namjensku udaljenu ploču zasnovanu na webu kojoj je dostupna kombinacija korisničkog imena i lozinke identična izvornoj banci.
Ploče za ubrizgavanje na web često su komercijalne ponude koje kriminalci kupuju na podzemnim tržištima. Moguće je da IcedID koristi komercijalnu ploču ili da je IcedID komercijalni zlonamjerni softver. Međutim, u ovom trenutku nema naznaka da se IcedID prodaje na podzemnim ili Dark Web tržištima.
Daljinska ploča za ubrizgavanje izgledat će ovako:
Kao što možemo vidjeti, od korisnika se traži da unese svoje vjerodajnice kao što to čini na uobičajen način na web stranici svoje banke. Ploča ponovno komunicira s poslužiteljem temeljenim na web platformi OpenResty. Prema službenoj web stranici, OpenResty je osmišljen kako bi programerima pomogao u stvaranju skalabilnih web aplikacija, web usluga i dinamičkih web portala olakšavajući njihovo širenje.
Kako se zaštititi od IcedID -a
Istraživačka skupina X-Force savjetuje primjenu sigurnosnih zakrpa na preglednike, a oni su sami proveli sljedeći postupak:
Internet Explorer
Povežite CreateProcessInternalW CertGetCertificateChain CertVerifyCertificateChainPolicy
Firefox
nss3.dll! SSL_AuthCertificateHook
Drugi preglednici
CreateProcessInternalW CreateSemaphoreA
Iako je IcedID još uvijek u procesu širenja, nije pouzdano poznato kakav će utjecaj imati u cijelom svijetu, ali idealno je biti korak ispred i poduzeti potrebne sigurnosne mjere.