简介

IcedID的目标是美国的银行、银行卡提供商、手机服务提供商、工资单、网页邮件和电商网站。美国的两大主流银行也在IcedID的攻击名单中。IcedID并没有从其他木马程序中copy代码，但是执行高级浏览操作的技巧是很先进的。虽然IcedID的能力与Zeus、Gozi、和Dridex等银行木马比肩，但研究人员相信在未来几周内它会进行更新。

Emotet

研究人员分析了IcedID的传播方法是通过Emotet木马来感染用户。研究人员相信有一部分人在运营Emotet来分发和传播银行木马和其他恶意代码。Emotet的主要攻击域在美国，英国也在其攻击区域中。

Emotet是2017年最著名的恶意软件传播方法，主要服务来自东欧的精英网络犯罪组织，比如QakBot和Dridex。2014年Bugat木马的源码泄露后，Emotet就出现了。它是Dridex之前的银行木马，因此，被设计用来积聚和维护僵尸网络。Emotet留在设备中并下载安装其他组件来窃取outlook邮件和进行其他浏览器活动。

相信在未来几周内它会进行更新。

TTPs（tactics, techniques and procedures）

除了普通的木马特征外，IcedID能在网络上进行传播。它可以通过设置流量通道的本地带来监控受害者的在线活动（这是GootKit Trojan的概念）。攻击技术包括web注入攻击和复杂的重定向攻击。

网络传播

相信在未来几周内它会进行更新。

IcedID的运营者可能早就计划攻击商业公司，因为增加了网络传播模块。IcedID有转移到其他端点的能力，研究人员也发现它可以感染终端服务器。终端服务器提供终端点到LAN或WAN的连接，这意味着IcedID的目标是终端点上的雇员的邮件。

Figure 1: IcedID的网络传播函数

为了发现其他用户的感染，IcedID使用LDAP进行查询

Figure 2: IcedID在网络上查询LADP

IcedID的金融诈骗TTP包括两种模式：web注入攻击和重定向攻击。首先，当用户打开浏览器后，恶意软件就从木马的C&C服务器下载一个配置文件。这个配置文件包括激活web注入攻击的目标，大多数的银行和其他目标与重定向攻击匹配度很高，比如支付卡和webmail站点。

技术细节

X-Force的研究人员对IcedID进行了动态分析。IcedID运行在不同版本的Windows操作系统上，好像并没有一些高级的反VM技术和反破解技术，还有：

· 需要重启来完成全部的应用，可能会从没有模拟重启的沙箱逃逸。

· 通过SSL通信来增加通信的安全层，并绕过入侵检测系统的自动扫描

X-Force研究人员确信反调查取证特征会很快加入到这个木马中。

Payload应用

IcedID用Emotet作为dropper来攻击终端点。重启后，用操作系统的一些参数生成的payload值被写入Windows %LocalAppData%文件夹。该值被用在应用路径和文件的RunKey值上。

该值的全部是 %LOCALAPPDATA%[a-z]{9}[a-z]{9}.exe

C:UsersUserAppDataLocalewonliarlewonliarl.exe
HKCUSoftwareMicrosoftWindowsCurrentVersionRunewonliarl

恶意软件通过在注册表中创建RunKey来设定持久机制来确保系统重启后能正常运行。

然后，IcedID把RAS加密密钥写入AppData文件夹。恶意软件可能在应用路径中写入RSA密钥，这就确保IcedID的进程可以处理SSL流量。

临时文件被写入：%TEMP%[A-F0-9]{8}.tmp

C:UsersUserAppDataRoamingMicrosoftCryptoRSAS-1-5-21-2137145731-2486784493-1554833299-1000fdbe618fb7eb861d65554863fc5da9a0_883f9a43-a12c-410f-b47d-bb7275830b53
C:UsersUserAppDataLocalTempCACCEF19.tmp

IcedID进程会继续运行，然而一般的恶意软件不会这样做。这意味着该木马的部分代码尚待修改。该应用进程可能就这样结束了，而dropper会继续在浏览器进程下运行直到终端下次重启。

重启过程中，payload就会执行，IcedID木马也就常驻终端了。然后，恶意软件组件就可以用所控制的本地代理来重定向受害者的网络流量了。

监听用户流量

IcedID设定了一个本地代理来监听和拦截来自受害者终端的通信，并在2步内重定向所有的网络流量。第1，通过127.0.0.1的49157端口传输流量，49157是动态（私有）的TCP/IP端口。第2，恶意软件的恶意进程监听49157端口，并且泄露相关的通信数据给C&C服务器。

重定向

虽然刚发现不久，但是IcedID 已经开始使用重定向攻击了。IcedID 使用的重定向方案不是简单的变换URL，而是设计的和原网站几乎一样，让受害者无法区分。具体的技术包括在地址栏展示合法的银行URL和正确的银行SSL证书，证书是用来与银行站点保持连接用的。

IcedID的重定向方案是通过配置文件实施的，恶意软件从列表中寻找目标URL进行监听，一旦遇到触发点，就执行设计好的web注入。Web注入发送给受害者提前设计好的假的银行站点来匹配用户之前的请求。

受害者在被骗的情况下，在伪造的银行站点上输入用户名、密码等证书信息，而这都会发送到攻击者的服务器上。从这一点看，攻击者控制了受害者的会话过程。

恶意软件通信

IcedID的通信是在加密SSL之上的。在10月发一个分析中，恶意软件与4个不同的C&C服务器进行通信。IcedID的感染和通信过程如下图：

Figure 3: IcedID的感染和通信技术设施

为了报告新的感染给僵尸网络，IcedID会发送含有bot ID和基本系统信息的编码消息给C&C服务器，如下：

Figure 4: IcedID的 C&C通信

对该编码信息的加密发现了发给C&C的一些细节，具体包括：

B = Bot ID
K = Computer Name
L = Workgroup
M = OS version

远程注入控制面板

为了合适的安排每个目标银行站点的web注入攻击，IcedID的运营者设计了一个精心制作的基于web的远程访问控制面板。Web注入的控制面板是底下市场购买的商业数据。IcedID可能会使用一个商业的控制面板，也可能IcedID本身就是一个商业的恶意软件。目前，并没有发现IcedID在底下市场或暗网的交易信息。

Figure 5: IcedID远程web注入控制面包登录页

这个控制面板是与一个基于OpenResty的web平台进行通信。

新的威胁

IcedID是金融网络犯罪领域新发现的威胁。虽然还不知道它将来的威胁，但是从目前来看，它的功能、分发策略和目标组织都是比较厉害的。IBM X-Force会持续关注IcedID的更新。

IOC

MD5

· 38921f28bb74fea2cab6e70039ee65f3

· 6899d3b51430679254635d78357c087e

· c01dcdba9223d037eb8bf0944f1c1c9e

· d982c6de627441765c89da5cfeb04d6f

· de4ef2e24306b35d29891b45c1e3fbfd

浏览器

IBM X-Force在本研究者分析了下面的hooks：

Internet Explorer:

· Connect

· CreateProcessInternalW

· CertGetCertificateChain

· CertVerifyCertificateChainPolicy

FireFox:

· nss3.dll!SSL_AuthCertificateHook

Other hooks:

· CreateProcessInternalW

· CreateSemaphoreA