用于释放IcedID木马的钓鱼邮件分析

用于释放IcedID木马的钓鱼邮件分析

受影响的平台: Windows
受影响的用户: Windows 用户
影响:受感染的机器在威胁参与者的控制之下
严重级别:

鱼叉式网络钓鱼使用源自情报收集技术的行业特定术语来欺骗收件人打开文件,特别难以识别。当对手了解企业的​​运作方式以及支撑企业的流程时,尤其如此。利用这些知识,可以利用这些日常流程制作诱饵——例如,解决燃料交易的成本。

FortiGuard Labs 最近遇到了这样一种情况,乌克兰基辅的一家燃料公司收到了一封钓鱼式电子邮件,其中包含附上的发票(似乎来自另一家燃料供应商),该发票是伪造的。附件是一个包含 IcedID 木马的 zip 文件。

早在 2017 年就已经观察到 IcedID。它的主要功能是窃取银行凭证和个人信息。它还能够部署来自同一组或合作伙伴组织的其他恶意软件。

该实例还使用了一种有趣的部署方法。它使用 ISO 格式,在 Windows 中作为磁盘自动挂载。ISO 文件还可用于创建可引导 CD-ROM 或安装操作系统或虚拟机。它还包含一个用于启动 DLL(动态链接库)的 LNK(快捷方式文件)。

该博客详细介绍了 IcedID 背后的威胁参与者的感染过程和随后的恶意软件部署。

网络钓鱼电子邮件

这封电子邮件来自伯利兹的一个 IP 地址,地址为 179[.]60[.]150[.]96。它进行了电子邮件地址伪造,似乎是从乌克兰的另一家燃料供应商发送的。该电子邮件包含英语和乌克兰语元素,鉴于提到有关附件的额外安全措施,看起来很真实。

用于释放IcedID木马的钓鱼邮件分析
图 1. 网络钓鱼电子邮件。

电子邮件的附件是一个名为“invoice_15.zip”的文件。提取 Zip 文件将删除“invoice_15.iso”并开始第一阶段的感染。

ISO

Windows 能够将 iso 文件挂载为外部磁盘。这样做将为用户提供一个名为“文档”的快捷方式。在大多数情况下,文件扩展名将对用户隐藏,使其显示为实际文档。 

用于释放IcedID木马的钓鱼邮件分析
图 2. 隐藏内容的 ISO 文件。

当显示 iso 容器的全部内容时,还可以看到一个 DLL 文件。

用于释放IcedID木马的钓鱼邮件分析
图 3. ISO 文件的完整内容。

LNK

用于释放IcedID木马的钓鱼邮件分析
图 4. 快捷方式详情

如图 4 所示,快捷方式文件是在发送网络钓鱼电子邮件之前的某个时间创建的。此外,突出显示的区域显示了如果用户单击快捷方式会发生什么。

在这种情况下,Regsvr32 用于在 Windows 注册表中注册“main.dll”并启动其中包含的代码。这一行动开始了下一阶段的感染。

文件释放

“main.dll”充当 IcedID 的释放器。文件的静态分析揭示了一个有趣的点。

用于释放IcedID木马的钓鱼邮件分析
图 5. “main.dll”中嵌入的字符串示例

乍一看,对于 IOC(侵害指标)来说似乎很容易获胜,因为它包含域和 IP 地址,但结果却稍微复杂一些。 

用于释放IcedID木马的钓鱼邮件分析
图 6. IDA Pro 中表示的代码,显示了图 5 中的信息。

在比较图 5 中存储字符串的代码区域时,我们发现该区域没有被“main.dll”中的任何函数调用。为了说明这一点,图 6 中第一行的右侧包含“Data XREF:”。这表明它在代码的其他地方被引用。但是,图 5 中的字符串不包含此信息,表明它们不包含。

通过进一步调查,故事变得更加有趣。此代码出现在大约 10 年前的 StackOverflow 问题中,该问题涉及有关通过 HTTP 下载图像的问题 ( https://stackoverflow.com/questions/9389183/downloading-a-picture-with-http-get-only-downloads-一小部分)。应该注意的是,该帖子的内容没有恶意。

它现在是“main.dll”的一部分表明它是分析师的诱饵,希望实际指标不会被阻止。

用于释放IcedID木马的钓鱼邮件分析
图 7. IcedID 收集的信息。

如图 7 所示,一旦运行,恶意软件就会使用多个 Windows 命令行工具来获取有关本地环境的信息。其中包括捕获本地 IP 地址 (ipconfig)、枚举域信任 (nltest) 和捕获域管理员列表(网络组)等。

然后,该示例尝试与命令和控制 (C2) 服务器进行出站通信。如果其中一个目的地不可用,恶意软件可以连接到多个地址。

用于释放IcedID木马的钓鱼邮件分析
图 8. 网络通信
用于释放IcedID木马的钓鱼邮件分析
图 9. HTTP GET 请求。

如果与 C2 服务器建立了连接,恶意软件就会移动以确保持久性。它将自己的副本安装在用户的临时目录“%APPDATA%\local\temp”中。

用于释放IcedID木马的钓鱼邮件分析
图 10. 将“Arur.exe”复制到 Temp 目录中

结论

了解其目标的威胁参与者能够增加他们在组织内安装植入程序的机会。根据我们的观察,IcedID 攻击中使用的努力突出了该组织有条不紊的努力,他们对乌克兰零售燃料行业的研究证明了这一点。此外,使用不常见的部署方法(压缩的 ISO 文件)来建立立足点——并最终在组织内获得持久性——揭示了威胁参与者获得未经授权的访问的狡猾程度。

Fortinet 保护

本博客中提到的所有 IcedID 样本均由以下 (AV) 签名检测:

W32/Kryptik.HOTN!tr
W64/Kryptik.CXY!tr
W64/Kryptik.CXY!tr
W64/Kryptik.CXY!tr
LNK/IceID.AW!tr
W64/Kryptik.CXY!tr

(侵害指标)IOCs

文件名SHA256
invoice_15.zip83bd20009107e1f60479016046b80d473436d3883ad6989e5d42bc08e142b5bb 
invoice_15.iso3542d5179100a7644e0a747139d775dbc8d914245292209bc9038ad2413b3213 
document.lnka17e32b43f96c8db69c979865a8732f3784c7c42714197091866473bcfac8250
main.dll698a0348c4bb8fffc806a1f915592b20193229568647807e88a39d2ab81cb4c2 
Arur.exe283d5eea1f9fc34e351deacc25006fc1997566932fae44db4597c84f1f1f3a30 

网络IOCs:

160[.]153[.]32[.]99
160[.]90[.]198[.]40
yourgroceries[.]top
ssddds1ssd2[.]com
ip-160-153-32-99[.]ip[.]secureserver[.]net

from

转载请注明出处及链接

Leave a Reply

您的电子邮箱地址不会被公开。