IcedID: IBM Tarafından Bankacılık Alanında Bulunan Yeni Kötü Amaçlı Yazılım

İçindekiler

Her şeyin çevrimiçi yönetildiği bir dünyada, tüm verilerimizin, web üzerinde yürütülen binlerce saldırı nedeniyle her zaman savunmasız olma eğiliminde olan sabit bir güvenlik değişkeninde olduğunu görebiliriz.

Çoğumuz, kişisel verilerimizin, banka hesap numaralarımızın, kredi kartı numaralarımızın ve daha fazlasının tehlikede olduğu İnternet üzerinden sıklıkla ticari işlemler gerçekleştiririz, bu da bunu hassas bir güvenlik durumu haline getirir, çünkü eğer bilgi yanlış ellere geçerse, biz olabiliriz. ciddi zorluklar içinde.

Güvenlik analistleri, özellikle kötü amaçlı yazılım açısından, şu anda geliştirmenin ilk aşamalarında olan IcedID adlı bir bankacılık Truva atı olan yeni bir tehdit tespit ettiler. Solvetic, gerekli güvenlik önlemlerini almak için bu yeni tehdidin nasıl hareket ettiğini analiz edecek.

Bu kötü amaçlı yazılım nasıl keşfedildi?

IBM X-Force araştırma grubu, hem kuruluşlar düzeyinde hem de finansal tüketiciler için tehdit ortamını şekillendiren olayları ve eğilimleri tespit etmek için finansal siber suç alanını sürekli olarak analiz eder ve izler.

Satış noktası (POS) kötü amaçlı yazılımları ve WannaCry gibi fidye yazılımı saldırıları gibi saldırılarla bankacılık kötü amaçlı yazılımları açısından çok aktif geçen bir yılın ardından, X-Force ekibi IcedID adlı yeni, doğal olarak aktif bir bankacılık Truva atı belirledi. .

X-Force grubu tarafından yürütülen araştırmaya göre, yeni bankacılık Truva Atı, ilk test kampanyalarının başlatıldığı Eylül 2021-2022'de ortaya çıktı. Araştırmacılar, IcedID'nin Zeus Truva Atı gibi kötü amaçlı yazılımlarla karşılaştırılabilir modern bankacılık Truva Atı özelliklerine sahip modüler kötü amaçlı koda sahip olduğunu gözlemledi. Kötü amaçlı yazılım şu anda ABD'deki bankaları, ödeme kartı sağlayıcılarını, mobil hizmet sağlayıcılarını, bordro, web postası ve e-ticaret sitelerini hedef alıyor ve İngiltere'deki iki büyük banka da kötü amaçlı yazılımın ulaştığı hedefler listesinde yer alıyor.

IcedID, kodu bilinen diğer Truva atlarından ödünç almış gibi görünmüyor, ancak gelişmiş tarayıcı kurcalama taktiklerini gerçekleştirmesine izin veren aynı özellikleri uyguluyor. IcedID'nin yetenekleri zaten Zeus, Gozi ve Dridex gibi diğer bankacılık Truva Atları ile aynı seviyede olsa da, bu kötü amaçlı yazılım için önümüzdeki haftalarda daha fazla güncellemenin gelmesi bekleniyor.

Kötü amaçlı yazılım yayılması

X-Force grubunun IcedID kötü amaçlı yazılımının dağıtım yöntemine ilişkin analizi, operatörlerin siber suç alanında yeni olmadığını ve Emotet Truva Atı aracılığıyla kullanıcılara bulaştırmayı tercih ettiğini gösteriyor. X-Force soruşturması, bir tehdit aktörünün veya küçük siber türün, bu yıl bankacılık Truva atları ve diğer kötü amaçlı yazılım kodları için bir dağıtım işlemi olarak Emotet'i kullandığını varsayıyor. Emotet'in en belirgin saldırı bölgesi ABD'dir. Daha az ölçüde, Birleşik Krallık'taki ve dünyanın diğer bölgelerindeki kullanıcıları da hedef alır.

Emotet, 2021-2022'de QakBot ve Dridex tarafından işletilenler gibi seçkin Doğu Avrupa siber suç gruplarına hizmet eden dikkate değer kötü amaçlı yazılım dağıtım yöntemlerinden biri olarak listeleniyor. Emotet, Bugat Truva Atı'nın orijinal kaynak kodunun sızdırılmasından sonra 2014 yılında ortaya çıktı. Aslen Emotet, Dridex'ten önce gelen bir bankacılık Truva atıydı. Bu nedenle, botnet'leri biriktirmek ve sürdürmek için tasarlanmıştır. Emotet makinede kalır ve ardından istenmeyen e-posta modülü, ağ solucanı modülü ve Microsoft Outlook e-postası ve kullanıcı tarayıcı etkinliği için parola ve veri hırsızlığı gibi ek bileşenler alır.

Emotet'in kendisi, genellikle kötü amaçlı makrolar içeren manipüle edilmiş üretkenlik dosyalarındaki kötü amaçlı spam yoluyla gelir. Emotet uç noktaya bulaştığında, sessiz bir yerleşik olur ve diğer siber suçlulardan gelen kötü amaçlı yazılımları basitçe tespit edilmeden sunmak için çalıştırılır. IcedID, kullanıcıları klonlama sitelerine yönlendirmek için yerel proxy yükleyen yönlendirme saldırıları ve web enjeksiyon saldırıları yoluyla kullanıcıdan finansal verileri çalan saldırılar gerçekleştirebilir, bu yöntemle tarayıcı işlemi, orijinalin üzerine bindirilmiş sahte içeriği görüntülemek için tarayıcı işlemine enjekte edilir. güvenilir bir web sitesi gibi görünen sayfa.

IcedID TTP'leriIcedID'nin TTP'leri (Taktikler, Teknikler ve Prosedürler - Taktikler, Teknikler ve Prosedürler), bu kötü amaçlı yazılımdan bahsederken dikkate alınması ve dikkate alınması gereken bir dizi unsura sahiptir. En yaygın Truva Atı özelliklerine ek olarak, IcedID bir ağ üzerinden yayılma özelliğine sahiptir ve bir kez oradayken, GootKit Truva Atı'nı anımsatan bir kavram olan trafik tüneli için yerel bir proxy yapılandırarak kurbanın çevrimiçi etkinliğini izler. Saldırı taktikleri, Dridex ve TrickBot tarafından kullanılan şemaya benzer web enjeksiyon saldırıları ve karmaşık yönlendirme saldırılarını içerir.

Ağda yayılma

IcedID operatörleri, başlangıçtan itibaren kötü amaçlı yazılıma bir ağ yayma modülü ekledikleri için işe odaklanmayı planlıyorlar. IcedID, diğer uç noktalara geçme yeteneğine sahiptir ve X-Force araştırmacıları, terminal sunucularına bulaştığını da gözlemledi. Terminal sunucuları tipik olarak, adından da anlaşılacağı gibi, uç noktalar, yazıcılar ve paylaşılan ağ cihazları gibi terminalleri, bir yerel alan ağına (LAN) veya bir geniş alan ağına (WAN) ortak bir bağlantı noktası ile sağlar, bu da IcedID'nin zaten sahip olduğunu düşündürür. çalışan e-postalarını, saldırısını genişleten kurumsal uç noktalarda yere yönlendirdi.

Aşağıdaki grafikte, bir IDA-Pro'dan IcedID'nin ağ yayılım işlevlerini görebiliriz:

Bulaşacak diğer kullanıcıları bulmak için IcedID, Basit Dizin Erişim Protokolünü (LDAP) aşağıdaki yapı ile sorgular:

IcedID finansal dolandırıcılık TTP'leri iki saldırı modu içerir

  • Web enjeksiyon saldırıları
  • Yönlendirme saldırıları

Bunu yapmak için, kötü amaçlı yazılım, kullanıcı İnternet tarayıcısını açtığında Truva Atı'nın komut ve kontrol (C & C) sunucusundan bir yapılandırma dosyası indirir. Yapılandırma, başta bankalar ve ödeme kartları ve web posta siteleri gibi yönlendirme saldırıları ile donatılmış diğer hedefler olmak üzere bir web enjeksiyon saldırısının tetikleneceği hedefleri içerir.

IcedID yük dağıtımı ve teknik ayrıntılar

X-Force araştırmacıları, IcedID kötü amaçlı yazılımının örneklerinin dinamik bir analizini gerçekleştirdi ve oradan kötü amaçlı yazılım, Windows işletim sisteminin çeşitli sürümlerini çalıştıran uç noktalara dağıtıldı. Aşağıdakiler dışında herhangi bir gelişmiş anti-sanal makine (VM) veya anti-soruşturma tekniğine sahip görünmüyor:

Tam dağıtımı tamamlamak, muhtemelen yeniden başlatmayı taklit etmeyen sanal alanları atlamak için yeniden başlatma gerektirir. İletişime bir güvenlik katmanı eklemek ve izinsiz giriş tespit sistemleri tarafından otomatik taramalardan kaçınmak için Güvenli Yuva Katmanı (SSL) aracılığıyla iletişim kurar.
Bu operasyon ile X-Force araştırmacıları, zaman içinde bu Truva Atı'na anti-adli özelliklerin uygulanabileceğini iddia ediyor.

IcedID, ağ geçidi olarak Emotet Truva Atı kullanılarak hedef uç noktalarda uygulanır. Yeniden başlattıktan sonra, yük, bazı işletim sistemi parametreleri tarafından oluşturulan bir değerle % Windows LocalAppData% klasörüne yazılır. Bu değer, dosyanın hem dağıtım yolunda hem de RunKey değerinde kullanılır.
Değer için tam sözleşme:

 % LOCALAPPDATA% \ [a-z] {9} \ [a-z] {9} .exe C: \ Kullanıcılar \ Kullanıcı \ AppData \ Yerel \ ewonliarl \ ewonliarl.exe HKCU \ Yazılım \ Microsoft \ Windows \ CurrentVersion \ Run \ ewonliarl
Kötü amaçlı yazılım, sistem yeniden başlatma olaylarından sonra hayatta kalmasını sağlamak için belirtilen kayıt defterinde bir RunKey oluşturarak kalıcılık mekanizmasını oluşturur. Ardından IcedID, sistem için AppData klasörüne bir RSA şifreleme anahtarı yazar. Kötü amaçlı yazılım, dağıtım yordamı sırasında bu RSA anahtarına yazabilir; bu, web trafiğinin SSL trafiği aktarıldığında bile IcedID işlemi aracılığıyla yönlendirildiği gerçeğiyle ilgili olabilir.
Geçici dosya şu kuralla yazılır: % TEMP% \ [A-F0-9] {8} .tmp.
 C: \ Kullanıcılar \ Kullanıcı \ AppData \ Roaming \ Microsoft \ Crypto \ RSA \ S-1-5-21-2137145731-2486784493-1554833299-1000 \ fdbe618fb7eb861d65554863fc5da9a0_883f9a43-a12c-410f-b47d-bb7275830b Kullanıcılar \ Yerel Kullanıcı Verileri \ Sıcaklık \ CACCEF19.tmp
Kötü amaçlı yazılımlar için nadir görülen IcedID işlemi çalışmaya devam eder. Bu, kodun bazı bölümlerinin hala düzeltilmekte olduğu ve bu sorunun bir sonraki güncellemede değişeceği anlamına gelebilir.

Dağıtım işlemi burada sona erer ve kötü amaçlı yazılım, bu uç noktanın bir sonraki yeniden başlatılmasına kadar Explorer işlemi altında çalışmaya devam eder. Yeniden başlatma olayından sonra, yük yürütülür ve IcedID Truva Atı uç noktada yerleşik hale gelir. Bu noktada, kötü amaçlı yazılım bileşenleri, kurbanın İnternet trafiğini kontrol ettiği yerel bir proxy aracılığıyla yeniden yönlendirmeye başlamak için yerindedir.

IcedID, kurbanın web trafiğini nasıl yönlendirir?

IcedID, kurbanın uç noktasından gelen iletişimi dinlemek ve kesmek için yerel bir proxy yapılandırır ve tüm İnternet trafiğini iki atlamada bunun üzerinden yeniden yönlendirir. İlk olarak trafik, dinamik ve/veya özel TCP/IP portlarının bir parçası olan 49157 portu üzerinden yerel sunucuya, localhost'a (127.0.0.1) aktarılır. İkinci olarak, kötü amaçlı yazılımın kötü niyetli işlemi bu bağlantı noktasını dinler ve ilgili iletişimleri C&C sunucunuza sızdırır.

IcedID yakın zamanda geliştirilmiş olmasına rağmen, yeniden yönlendirme saldırıları kullanır. IcedID'nin kullandığı yönlendirme şeması, farklı bir URL'ye sahip başka bir web sitesine basit bir geçiş değildir, aksine kurban için mümkün olduğunca şeffaf görünecek şekilde tasarlanmıştır.

Bu taktikler, adres çubuğunda yasal bankanın URL'sini ve bankanın gerçek sitesiyle canlı bir bağlantı sağlayarak mümkün olan bankanın doğru SSL sertifikasını görüntülemeyi içerir, böylece tehdidi tespit etmemizin hiçbir yolu kalmaz. IcedID yeniden yönlendirme şeması, yapılandırma dosyası aracılığıyla uygulanır. Kötü amaçlı yazılım, listedeki hedef URL'yi dinler ve bir tetikleyici bulduğunda belirlenmiş bir web enjeksiyonu çalıştırır. Bu web enjeksiyonu, kurbanı, ortamını simüle ederek, başlangıçta istenen siteyle eşleşecek şekilde önceden yapılandırılmış sahte bir bankacılık sitesine gönderir.

Kurban, sahte sayfanın kopyasında kimlik bilgilerini sunması için kandırılır ve bu kopya, bilmeden onu saldırganın sunucusuna gönderir. Bu noktadan sonra, saldırgan, kurbanın geçtiği oturumu kontrol eder; bu, genellikle kurbanı işlem yetkilendirme öğelerini ifşa etmesi için kandırmak için sosyal mühendislik içerir.

Kötü amaçlı yazılım iletişimi

IcedID iletişimleri, şifreli SSL protokolü aracılığıyla yapılır. Ekim ayı sonlarında analiz edilen bir kampanya sırasında, kötü amaçlı yazılım dört farklı C&C sunucusuyla iletişim kurdu.Aşağıdaki grafik, IcedID iletişim ve enfeksiyon altyapısının şematik bir görünümünü göstermektedir:

BÜYÜT

Botnet'e yeni bulaşmaları bildirmek için IcedID, botun kimliğini ve temel sistem bilgilerini aşağıdaki gibi şifreli bir mesaj gönderir:

Kodu çözülmüş mesaj bölümleri, C&C'ye gönderilen aşağıdaki ayrıntıları gösterir.

  • B = Bot Kimliği
  • K = Takım adı
  • L = Çalışma grubu
  • M = işletim sistemi sürümü

Uzaktan enjeksiyon paneli

Her hedef banka web sitesi için web enjeksiyon saldırılarını organize etmek için IcedID operatörleri, orijinal banka ile aynı kullanıcı adı ve şifre kombinasyonu ile erişilebilen web tabanlı özel bir uzak panele sahiptir.
Web enjeksiyon panelleri genellikle suçluların yeraltı pazarlarında satın aldığı ticari tekliflerdir. IcedID'nin ticari bir panel kullanması veya IcedID'nin ticari kötü amaçlı yazılım olması mümkündür. Ancak şu anda IcedID'nin yer altı veya Dark Web pazarlarında satıldığına dair bir belirti yok.

Uzak bir enjeksiyon paneli şöyle görünecektir:

Görüldüğü gibi kullanıcıdan bankanın web sitesinde normal şekilde yaptığı gibi kimlik bilgilerini girmesi istenmektedir. Panel, OpenResty web platformuna dayalı bir sunucuyla tekrar iletişim kurar. Resmi web sitesine göre OpenResty, geliştiricilerin yayılmalarını kolaylaştırarak ölçeklenebilir web uygulamaları, web hizmetleri ve dinamik web portalları oluşturmalarına yardımcı olmak için tasarlanmıştır.

Kendimizi IcedID'den nasıl koruruz

X-Force araştırma grubu, tarayıcılara güvenlik yamalarının uygulanmasını tavsiye ediyor ve aşağıdaki süreci kendileri gerçekleştirdi:

internet gezgini

 Connect CreateProcessInternalW CertGetCertificateChain CertVerifyCertificateChainPolicy

Firefox

 nss3.dll!SSL_AuthCertificateHook

Diğer tarayıcılar

 CreateProcessInternalW CreateSemaphoreA

IcedID henüz yayılma sürecinde olsa da dünya çapında ne gibi etkiler yaratacağı kesin olarak bilinmemekle birlikte bir adım önde olmak ve gerekli güvenlik önlemlerini almak ideal.

wave wave wave wave wave