近日,IBM X-Force研究團(tuán)隊(duì)在一項(xiàng)針對(duì)最近一系列攻擊美國(guó)金融機(jī)構(gòu)的案例中發(fā)現(xiàn)了一款新型銀行木馬,并將其命名為“IcedID”,該銀行木馬目前似乎還正處于開發(fā)的初始階段。
關(guān)于IBM X-Force
IBM X-Force安全團(tuán)隊(duì)是世界上最知名的商業(yè)安全研究團(tuán)隊(duì)之一。這些安全專家可監(jiān)視并分析各種來源的安全問題,提供威脅情報(bào)內(nèi)容并將其作為 IBM Security 產(chǎn)品服務(wù)組合的基礎(chǔ)。此外,IBM X-Force還可以生成多項(xiàng)思想領(lǐng)先的安全研究資產(chǎn),幫助客戶、研究人員和公眾更深入地了解最新的安全風(fēng)險(xiǎn),提前預(yù)知新興威脅。
新型銀行木馬IcedID
據(jù)悉,IcedID銀行木馬最早是由IBM的X-Force研究小組的研究人員在今年9月份發(fā)現(xiàn)的。研究人員表示,雖然這款木馬目前看起來還處于開發(fā)的初級(jí)階段,但它已經(jīng)展示了很多先進(jìn)的功能,完全可以與一些較老的和更復(fù)雜的銀行木馬相媲美,例如其在網(wǎng)絡(luò)上傳播,通過建立交通隧道的本地代理監(jiān)控瀏覽器的活動(dòng)能力等。
IcedID同時(shí)具備重定向攻擊和Web注入攻擊能力
研究人員表示,像TrickBoty銀行木馬 和 Dridex銀行木馬類似,IcedID也可以使用Web注入(注入瀏覽器進(jìn)程顯示重疊在原頁(yè)面上的虛假內(nèi)容)和重定向攻擊(安裝本地代理將用戶重定向到惡意網(wǎng)站)技術(shù)來執(zhí)行竊取受害者的財(cái)務(wù)數(shù)據(jù)。
而IcedID的重定向方案并不是簡(jiǎn)單地將受害用戶切換到另一個(gè)不同的URL網(wǎng)站上,而是精心設(shè)計(jì)了一個(gè)虛假的銀行站點(diǎn)展現(xiàn)給受害者,使用到的策略包括:URL地址欄中顯示合法銀行的URL,以及銀行正確的SSL證書,這是通過與真實(shí)的銀行站點(diǎn)保持實(shí)時(shí)連接來實(shí)現(xiàn)的。
分析發(fā)現(xiàn)IcedID的重定向方案是通過配置文件來實(shí)現(xiàn)的。惡意軟件監(jiān)聽著一組受害者可能會(huì)訪問的目標(biāo)URL的列表,一旦被命中,就會(huì)執(zhí)行一個(gè)指定的Web注入,這樣做能夠?qū)⑹芎φ咧囟ㄏ虻揭粋€(gè)預(yù)先設(shè)置好的與他最初想要訪問的站點(diǎn)很相似的一個(gè)虛假的銀行網(wǎng)站。
受害者在這個(gè)虛假的頁(yè)面上提交自己的賬戶憑據(jù),不知不覺中將自己的敏感信息發(fā)送到攻擊者控制的服務(wù)器上。從這一點(diǎn)上可以看出,攻擊者很好的利用了社會(huì)工程學(xué)的手段,有效的提高了受害者被騙的概率。
而在過去,只有Dridex(最先進(jìn)的銀行木馬之一)被認(rèn)為能夠同時(shí)使用這兩種攻擊方式。當(dāng)然,這主要是因?yàn)榫W(wǎng)絡(luò)犯罪分子通常只會(huì)選擇其中之一,并專注于完善他們的技術(shù)。
此外,研究人員還表示,IcedID具備從一個(gè)端點(diǎn)移動(dòng)到另一個(gè)端點(diǎn)的能力,且具備感染終端服務(wù)器的能力,被感染的終端服務(wù)器通常為設(shè)備終端、打印機(jī)和共享的網(wǎng)絡(luò)設(shè)備提供終端服務(wù),只要這些端點(diǎn)只有連接到了一個(gè)共同的局域網(wǎng)(LAN)或廣域網(wǎng)(WAN),這表明IcedID有能力從目標(biāo)員工的電子郵件最終跨越到組織的終端設(shè)備。
IcedID銀行木馬借由Emotet銀行木馬進(jìn)行傳播
此外,根據(jù)IBM X-Force的調(diào)查結(jié)果顯示,IcedID背后的犯罪組織正在通過Emotet(銀行木馬之一)使用的僵尸網(wǎng)絡(luò)基礎(chǔ)設(shè)施在已經(jīng)被感染的計(jì)算機(jī)上傳播IcedID。Emotet本身主要通過垃圾文件(包含惡意的宏函數(shù))進(jìn)行傳播,一旦Emotet成功感染了終端,它會(huì)保持沉默,并為其他犯罪集團(tuán)的操控的惡意軟件服務(wù)。
【IcedID活動(dòng)中感染和通信基礎(chǔ)設(shè)施示意圖】
據(jù)本周惡意軟件行業(yè)的一位消息人士透露稱,在過去的一年里,Emotet銀行木馬已經(jīng)將業(yè)務(wù)重點(diǎn)從竊取受害者財(cái)務(wù)信息轉(zhuǎn)向了惡意軟件交付平臺(tái)。
看起來,IcedID似乎是Emotet的最新客戶之一,而且IcedID木馬開發(fā)團(tuán)隊(duì)也正在使用Emotet的地理定位功能,僅在特定的國(guó)家/地區(qū)向受害者傳送木馬。
專有的遠(yuǎn)程注入面板
IcedID的運(yùn)營(yíng)商有一個(gè)專用的、基于Web的遠(yuǎn)程面板,使用用戶名和密碼組合進(jìn)行登錄,用于協(xié)調(diào)管理Web注入攻擊的每個(gè)目標(biāo)銀行的網(wǎng)站。
網(wǎng)絡(luò)罪犯?jìng)兺ǔ?huì)在地下市場(chǎng)中購(gòu)買這類Web注入面板, 而IcedID木馬所使用這種商業(yè)化的Web注入產(chǎn)品,可能是從別處購(gòu)買到的,但也有可能IcedID本身就是一款商業(yè)化的惡意軟件。不過,截至目前為止,還沒有發(fā)現(xiàn)IcedID在地下或暗網(wǎng)市場(chǎng)被銷售的跡象。
IcedID將目標(biāo)定位于北美國(guó)家
根據(jù)IcedID樣本中發(fā)現(xiàn)的配置文件類型結(jié)果顯示,犯罪組織似乎將其目標(biāo)定位為位于美國(guó)、加拿大和英國(guó)的用戶。
在對(duì)配置文件進(jìn)行深入分析后就會(huì)發(fā)現(xiàn),IcedID可以針對(duì)銀行、支付卡提供商、移動(dòng)服務(wù)提供商、工資門戶、網(wǎng)絡(luò)郵件客戶端和電子商務(wù)網(wǎng)站發(fā)起攻擊。
更具體地說,IcedID的重定向攻擊目標(biāo)是支付卡和網(wǎng)絡(luò)郵件網(wǎng)站,而Web注入攻擊則針對(duì)了網(wǎng)上銀行門戶網(wǎng)站。雖然,IcedID針對(duì)的大多數(shù)銀行門戶網(wǎng)站都位于美國(guó)和加拿大,但也包括英國(guó)的兩家銀行。
IcedID具有粗糙的反虛擬機(jī)功能
對(duì)IcedID的樣本進(jìn)行動(dòng)態(tài)分析,發(fā)現(xiàn)該惡意軟件可以運(yùn)行在安裝了各種Windows操作系統(tǒng)的終端上。采取的反虛擬機(jī)(VM)或反取證分析技術(shù)包括:
需要重新啟動(dòng)才能完成全面部署,這樣做可能是為了逃避沙箱(無法仿效重啟);
通過安全套接字層(SSL)進(jìn)行通信,為通信添加一層安全性,并繞過了入侵檢測(cè)系統(tǒng)的自動(dòng)掃描。
研究人員斷言,IcedID早就具備了反取證的功能。只是目前還不清楚,IcedID木馬是最終的成品還是處于初期階段的實(shí)驗(yàn)成果。無論怎樣,我們或許將在未來幾個(gè)月中看到它的活躍“表現(xiàn)”,以及它的創(chuàng)造者是否能在惡意木馬領(lǐng)域站住腳跟。