In een wereld waar alles online wordt beheerd, kunnen we zien dat al onze gegevens zich in een constante beveiligingsvariabele bevinden die altijd de neiging heeft kwetsbaar te zijn vanwege de duizenden aanvallen die op internet worden uitgevoerd.
De meesten van ons voeren vaak commerciële transacties uit via internet waarbij onze persoonlijke gegevens, bankrekeningnummers, creditcardnummers en meer op het spel staan, wat dit een delicate veiligheidssituatie maakt, want als informatie in verkeerde handen valt, kunnen we in ernstige moeilijkheden.
Beveiligingsanalisten, met name op het gebied van malware, hebben een nieuwe bedreiging gedetecteerd, namelijk een banktrojan genaamd IcedID, die zich momenteel in de beginfase van ontwikkeling bevindt. Solvetic zal analyseren hoe deze nieuwe dreiging werkt om de nodige beveiligingsmaatregelen te nemen.
Hoe deze malware werd ontdekt
De IBM X-Force-onderzoeksgroep analyseert en monitort voortdurend het gebied van financiële cybercriminaliteit om de gebeurtenissen en trends te detecteren die het dreigingslandschap vormen, zowel op het niveau van organisaties als voor financiële consumenten, die oplopen tot miljoenen.
Na een jaar dat zeer actief was op het gebied van bancaire malware, met aanvallen zoals point-of-sale (POS)-malware en ransomware-aanvallen zoals WannaCry, identificeerde het X-Force-team een nieuwe, natuurlijk actieve banking-trojan genaamd IcedID .
Volgens onderzoek uitgevoerd door de X-Force-groep, verscheen de nieuwe banktrojan in september 2021-2022, toen de eerste testcampagnes werden gelanceerd. De onderzoekers merkten op dat IcedID modulaire kwaadaardige code bezit met moderne banking Trojan-mogelijkheden die vergelijkbaar zijn met malware zoals de Zeus Trojan. Op dit moment richt de malware zich op banken, betaalkaartproviders, mobiele serviceproviders, salarisadministratie, webmail en e-commercesites in de VS en twee van de grote Britse banken staan ook op de lijst met doelen die de malware bereikt.
IcedID lijkt de code niet te hebben geleend van andere bekende Trojaanse paarden, maar het implementeert identieke functies waarmee het geavanceerde browsermanipulatietactieken kan uitvoeren. Hoewel de mogelijkheden van IcedID al vergelijkbaar zijn met die van andere banktrojans zoals Zeus, Gozi en Dridex, worden er in de komende weken meer updates voor deze malware verwacht.
Malwareverspreiding
De analyse van de X-Force-groep van de leveringsmethode van de IcedID-malware geeft aan dat de operators niet nieuw zijn op het gebied van cybercriminaliteit en ervoor kiezen om gebruikers te infecteren via de Emotet-trojan. Het X-Force-onderzoek gaat ervan uit dat een dreigingsactor, of een klein cybergenre, dit jaar Emotet heeft gebruikt als distributieoperatie voor banktrojans en andere malwarecode. Emotet's meest prominente aanvalsgebied is de VS. In mindere mate richt het zich ook op gebruikers in het VK en andere delen van de wereld.
Emotet wordt vermeld als een van de opmerkelijke malwaredistributiemethoden in 2021-2022 en bedient elite Oost-Europese cybercriminaliteitsgroepen zoals die van QakBot en Dridex. Emotet ontstond in 2014 na een lek van de originele broncode voor de Bugat Trojan. Oorspronkelijk was Emotet een banktrojan die voorafging aan Dridex. Als zodanig is het ontworpen om botnets te verzamelen en te onderhouden. Emotet blijft op de machine en krijgt dan extra componenten, zoals een spammodule, een netwerkwormmodule en wachtwoord- en gegevensdiefstal voor e-mail- en gebruikersbrowseractiviteit van Microsoft Outlook.
Emotet zelf komt via malspam, meestal in gemanipuleerde productiviteitsbestanden die kwaadaardige macro's bevatten. Zodra Emotet het eindpunt infecteert, wordt het een stille bewoner en wordt het gebruikt om malware van andere cybercriminelen te bedienen zonder simpelweg te worden gedetecteerd. IcedID kan aanvallen uitvoeren die financiële gegevens van de gebruiker stelen door middel van omleidingsaanvallen, die lokale proxy installeren om gebruikers om te leiden naar kloonsites, en webinjectie-aanvallen, met deze methode wordt het browserproces geïnjecteerd om valse inhoud weer te geven bovenop het origineel pagina die zich voordoet als een betrouwbare website.
IcedID TTP'sDe TTP's (Tactics, Techniques and Procedures - Tactics, Techniques and Procedures) van IcedID hebben een reeks elementen waarmee rekening moet worden gehouden wanneer we over deze malware praten. Naast de meest voorkomende Trojaanse functies, heeft IcedID de mogelijkheid om zich over een netwerk te verspreiden, en eenmaal daar bewaakt het de online activiteit van het slachtoffer door een lokale proxy voor de verkeerstunnel te configureren, een concept dat doet denken aan de GootKit Trojan. Hun aanvalstactieken omvatten webinjection-aanvallen en geavanceerde omleidingsaanvallen vergelijkbaar met het schema dat wordt gebruikt door Dridex en TrickBot.
Voortplanting in het netwerk
De IcedID-operators zijn van plan zich op het bedrijfsleven te concentreren omdat ze vanaf het begin een netwerkpropagatiemodule aan de malware hebben toegevoegd. IcedID heeft de mogelijkheid om naar andere eindpunten te gaan en X-Force-onderzoekers hebben ook waargenomen dat het terminalservers infecteerde. Terminalservers bieden, zoals de naam al aangeeft, terminals, zoals eindpunten, printers en gedeelde netwerkapparaten, doorgaans met een gemeenschappelijk verbindingspunt naar een lokaal netwerk (LAN) of een breed gebiedsnetwerk (WAN), wat suggereert dat IcedID al stuurde e-mails van werknemers naar de grond op de eindpunten van de organisatie om de aanval uit te breiden.
In de volgende afbeelding kunnen we de netwerkpropagatiefuncties van IcedID zien, van een IDA-Pro:
Om andere gebruikers te vinden om te infecteren, doorzoekt IcedID het Lightweight Directory Access Protocol (LDAP) met de volgende structuur:
IcedID financiële fraude TTP's bevatten twee aanvalsmodi
- Webinjection-aanvallen
- Omleidingsaanvallen
Om dit te doen, downloadt de malware een configuratiebestand van de command and control-server (C & C) van de Trojan wanneer de gebruiker de internetbrowser opent. De configuratie omvat doelen waarvoor een webinjectie-aanval zal worden geactiveerd, voornamelijk banken en andere doelen die waren uitgerust met omleidingsaanvallen, zoals betaalkaarten en webmailsites.
IcedID-payload-implementatie en technische details
De X-Force-onderzoekers voerden een dynamische analyse uit van voorbeelden van de IcedID-malware, en van daaruit wordt de malware ingezet op eindpunten met verschillende versies van het Windows-besturingssysteem. Het lijkt geen geavanceerde antivirtuele machine (VM) of anti-onderzoekstechnieken te bezitten, behalve de volgende:
Vereist opnieuw opstarten om de volledige implementatie te voltooien, mogelijk om sandboxen te omzeilen die opnieuw opstarten niet emuleren. Het communiceert via Secure Sockets Layer (SSL) om een beveiligingslaag aan de communicatie toe te voegen en geautomatiseerde scans door inbraakdetectiesystemen te voorkomen.
Met deze operatie beweren X-Force-onderzoekers dat na verloop van tijd anti-forensische functies op deze Trojan kunnen worden toegepast.
IcedID wordt geïmplementeerd op de doeleindpunten met behulp van de Emotet Trojan als gateway. Na opnieuw opstarten wordt de payload weggeschreven naar de map% Windows LocalAppData% met een waarde die wordt gegenereerd door enkele parameters van het besturingssysteem. Die waarde wordt gebruikt in zowel het implementatiepad als de RunKey-waarde voor het bestand.
De volledige conventie voor de waarde is:
% LOCALAPPDATA% \ [a-z] {9} \ [a-z] {9} .exe C: \ Users \ User \ AppData \ Local \ ewonliarl \ ewonliarl.exe HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ ewonliarlDe malware vestigt zijn persistentiemechanisme door een RunKey te creëren in het aangegeven register om te zorgen dat het blijft voortbestaan na het opnieuw opstarten van het systeem. Vervolgens schrijft IcedID een RSA-coderingssleutel voor het systeem naar de AppData-map. Malware kan tijdens de implementatieroutine naar deze RSA-sleutel schrijven, wat te maken kan hebben met het feit dat webverkeer door het IcedID-proces wordt geleid, zelfs wanneer SSL-verkeer wordt doorgesluisd.
Het tijdelijke bestand is geschreven met de volgende conventie:% TEMP% \ [A-F0-9] {8} .tmp.
C: \ Users \ User \ AppData \ Roaming \ Microsoft \ Crypto \ RSA \ S-1-5-21-2137145731-2486784493-1554833299-1000 \ fdbe618fb7eb861d65554863fc5da9a0_883f9a43-a12c-410f-b47d-bb7275830b \ Users Tijdelijk \ CACCEF19.tmpHet IcedID-proces blijft draaien, wat zeldzaam is voor malware. Dit kan betekenen dat sommige delen van de code nog steeds worden gerepareerd en dat dit probleem in de volgende update zal veranderen.
Het implementatieproces eindigt hier en de malware blijft draaien onder het Explorer-proces tot de volgende herstart van dat eindpunt. Na de reboot-gebeurtenis wordt de payload uitgevoerd en wordt de IcedID Trojan resident op het eindpunt. Op dit moment zijn de malwarecomponenten aanwezig om het internetverkeer van het slachtoffer om te leiden via een lokale proxy die het beheert.
Hoe IcedID het webverkeer van het slachtoffer omleidt
IcedID configureert een lokale proxy om te luisteren naar en communicatie van het eindpunt van het slachtoffer te onderscheppen en leidt al het internetverkeer er in twee stappen doorheen. Eerst wordt het verkeer overgedragen naar de lokale server, localhost, (127.0.0.1) via poort 49157, die deel uitmaakt van de dynamische en/of private TCP/IP-poorten. Ten tweede luistert het kwaadaardige proces van de malware op die poort en exfiltreert relevante communicatie naar uw C&C-server.
Hoewel het onlangs is ontwikkeld, maakt IcedID gebruik van omleidingsaanvallen. Het omleidingsschema dat IcedID gebruikt, is geen eenvoudige overdracht naar een andere website met een andere URL, integendeel, het is ontworpen om zo transparant mogelijk te lijken voor het slachtoffer.
Deze tactieken omvatten het weergeven van de URL van de legitieme bank in de adresbalk en het correcte SSL-certificaat van de bank, wat mogelijk is door een live verbinding met de echte site van de bank te onderhouden, zodat we de dreiging niet kunnen detecteren. Het IcedID-omleidingsschema wordt geïmplementeerd via het configuratiebestand. De malware luistert naar de doel-URL in de lijst en voert, zodra het een trigger vindt, een aangewezen webinjectie uit. Deze webinjection stuurt het slachtoffer naar een nepbankiersite die vooraf geconfigureerd is om overeen te komen met de oorspronkelijk gevraagde site door hun omgeving te simuleren.
Het slachtoffer wordt misleid om zijn inloggegevens te presenteren op de replica van de neppagina, die deze onbewust naar de server van de aanvaller stuurt. Vanaf dat moment beheert de aanvaller de sessie die het slachtoffer doormaakt, wat meestal social engineering omvat om het slachtoffer te misleiden tot het vrijgeven van transactieautorisatie-items.
Malwarecommunicatie
IcedID-communicatie vindt plaats via het versleutelde SSL-protocol. Tijdens een campagne die eind oktober werd geanalyseerd, communiceerde de malware met vier verschillende C&C-servers. De volgende afbeelding toont een schematische weergave van de IcedID-communicatie- en infectie-infrastructuur:
VERGROTEN
Om nieuwe infecties aan het botnet te melden, stuurt IcedID als volgt een versleuteld bericht met de identificatie van de bot en basissysteeminformatie:
De gedecodeerde berichtdelen tonen de volgende details die naar de C&C worden gestuurd
- B = Bot-ID
- K = teamnaam
- L = Werkgroep
- M = versie van besturingssysteem
Injectiepaneel op afstand
Om webinjection-aanvallen voor elke doelbankwebsite te organiseren, hebben IcedID-operators een speciaal webgebaseerd extern paneel dat toegankelijk is met een gebruikersnaam en wachtwoordcombinatie die identiek is aan de oorspronkelijke bank.
Webinjectiepanelen zijn vaak commerciële aanbiedingen die criminelen op ondergrondse markten kopen. Het is mogelijk dat IcedID een commercieel panel gebruikt of dat IcedID commerciële malware is. Op dit moment zijn er echter geen aanwijzingen dat IcedID wordt verkocht op de ondergrondse of Dark Web-markten.
Een injectiepaneel op afstand ziet er als volgt uit:
Zoals we daar kunnen zien, wordt de gebruiker verzocht zijn inloggegevens in te voeren zoals hij dat op de normale manier doet op de website van zijn bank. Het paneel communiceert weer met een server op basis van het OpenResty webplatform. Volgens de officiële website is OpenResty ontworpen om ontwikkelaars te helpen eenvoudig schaalbare webapplicaties, webservices en dynamische webportals te maken door de verspreiding ervan te vergemakkelijken.
Hoe onszelf te beschermen tegen IcedID
De onderzoeksgroep X-Force adviseert om beveiligingspatches toe te passen op browsers en zij voerden zelf het volgende proces uit:
Internetverkenner
Verbinden MakenProcessInternW CertGetCertificaatChain CertVerifiërenCertificaatChainPolicy
Firefox
nss3.dll! SSL_AuthCertificateHook
Andere browsers
CreateProcessInternalW CreateSemaphoreA
Hoewel IcedID zich nog volop aan het verspreiden is, is niet met zekerheid bekend welke impact het wereldwijd zal hebben, maar het is ideaal om een stap voor te zijn en de nodige beveiligingsmaatregelen te nemen.