新的IceXLoader 3.0 恶意软件加载器分析

新的IceXLoader 3.0 恶意软件加载器分析

FortiGuard Labs遇到了现在称为 IceXLoader的3.0版,这是一种在恶意软件黑客论坛上宣传的新恶意软件加载程序。

IceXLoader 是一种商业恶意软件,用于在受感染的机器上下载和部署其他恶意软件。最新版本是用Nim编写的,这是过去两年威胁参与者使用的一种相对较新的语言,最引人注目的是 TrickBot 组使用的 BazarLoader 的 NimzaLoader 变体。

本文讨论了 IceXLoader 行为方式的技术细节以及它可以在受感染系统中传播的潜在恶意软件。

受影响的平台:  Windows
受影响的各方:  Windows 用户
影响: 为恶意目的部署其他恶意软件的可能性
严重性级别: 

ICE X 项目

在寻找用 Nim 编程语言编写的新恶意软件系列时,FortiGuard 实验室发现了一个带有字符串“ICE_X”和“v3.0”的恶意软件加载程序。

加载程序是一种恶意软件,旨在下载和执行威胁参与者提供的其他有效负载,以进一步实现其恶意目标。

收集的样本有一些不完整的功能,例如,使用互斥锁仅运行恶意软件的单个实例的代码仅由虚拟代码组成。当加上“v3.0”字符串(暗示存在类似恶意软件的早期版本)时,我们怀疑这是现有恶意软件到 Nim 的一个正在进行的端口。

为了验证我们的假设,我们深入挖掘并找到了地下论坛的链接,在这些论坛中,开发人员以 118 美元的价格将加载器作为 ICE X 出售,以获得终身许可(图 1)。

新的IceXLoader 3.0 恶意软件加载器分析
图 1:论坛网站中的 ICE X 广告

恶意软件开发者的网站(图 2)销售多种商品恶意软件并提供相关服务,包括黑客攻击、加密和恶意软件开发。四人团队声称拥有 14 年的业务经验,拥有 200 多个客户。

新的IceXLoader 3.0 恶意软件加载器分析
图 2. IceXLoader 恶意软件开发者网站

FortiGuard Labs 研究人员根据版本 1 和版本 3 样本中的“ICE_X”字符串选择将此恶意软件家族命名为 IceXLoader。由于 Zeus 银行木马有类似名称的Ice IX / IceX变体,我们将 Loader 附加到名称中以避免与这些旧银行木马混淆。

新版本,新语言

开发人员提供了一个视频来演示如何使用服务器 URL 配置 IceXLoader 构建器,该服务器 URL 包含在我们的示例中看到的熟悉的命令和控制 (C2) URL 模式“icex/Script.php”(图 3)。

新的IceXLoader 3.0 恶意软件加载器分析
图 3. IceXLoader 构建器配置

在同一个视频中,开发人员展示了一个连接到 C2 服务器面板的 IceXLoader 版本 1 客户端(图 4),这可能是当时的生产版本。

新的IceXLoader 3.0 恶意软件加载器分析
图 4. 显示 IceXLoader 版本 1 客户端的 C2 服务器面板

围绕 IceXLoader 的已知 C2 URL,我们可以收集用 AutoIt 脚本语言编写的版本 1 示例。

两个版本中几乎相同的功能实现证实了我们的怀疑,即基于 Nim 的加载程序是功能更完整的 IceXLoader 版本 1 的更新版本(图 5)。

新的IceXLoader 3.0 恶意软件加载器分析
图 5. IceXLoader 版本 1 和 3 之间的 getinfo() 函数比较

开发人员将他们的加载程序推销为 FUD(完全未检测到–[Fully UnDetected]),这是恶意软件黑客论坛中常用的术语,表示可以绕过防病毒产品的恶意软件。他们还声称,随着安全产品最终检测到此类恶意软件,他们将不断对其进行更新。

绕过安全产品的需求可能是开发人员选择从 AutoIt 过渡到 IceXLoader 版本 3 的 Nim 的原因。由于 Nim 是一种相对不常见的应用程序编写语言,威胁参与者利用了对这一领域缺乏关注的优势在分析和检测方面。

以下技术分析将主要关注 IceXLoader 版本 3。但是,必要时会提到与旧版本的比较。

技术细节

IceXLoader 构建器会生成一个独立的可执行 EXE 文件,其中将所选配置值硬编码到威胁参与者可以分发给潜在受害者的每个文件中。

一旦在受害机器上执行此文件,它就会根据配置的设置进行自我初始化。

持久性

如果进行了配置,IceXLoader 会利用通常被恶意软件滥用的 Windows 启动功能在系统重新启动后继续存在。它使用可配置的文件名将自身复制到 %AppData%\Microsoft\Windows\Start Menu\Programs\Startup\

同时,它会在 Software\Microsoft\Windows\CurrentVersion\Run 中添加一个注册表项,并将值设置为先前在 %AppData% 中删除的第二个副本。

由于版本 3 示例中的互斥锁实现不完整,Windows 重新启动时将运行多个 IceXLoader 实例。

bypass

IceXLoader 对 AMSI.DLL 中的“AmsiScanBuffer”执行一种已知的内存修补方法。它这样做是为了绕过安全产品用来扫描和检测恶意内容的 Microsoft Windows 反恶意软件扫描接口。这减少了 IceXLoader 及其后续恶意软件有效负载被检测到的机会。

然后它将一些 PowerShell 命令写入 %TEMP%\file.bat(图 6)并执行它们以禁用 Windows Defender 的实时扫描。此外,它还为 Windows Defender 添加了排除项,以防止它扫描 IceXLoader 所在的目录。

新的IceXLoader 3.0 恶意软件加载器分析
图 6. 用于逃避检测的 PowerShell 命令

一旦恶意软件完成初始化,它会继续与 C2 通信以在受害系统中执行进一步的操作。

客户端-服务器通信协议

IceXLoader 通过 HTTP/HTTPS POST 请求与硬编码的 C2 服务器列表进行通信。User-Agent HTTP 标头设置为 Windows 机器 GUID,它唯一标识每台受感染的机器。这可以称为受害者 ID。loader 和 C2 之间的通信是纯文本的,没有编码或加密。

图 7 展示了 IceXLoader 与其 C2 服务器之间的通信流程。下面以“info”命令为例,但其他命令使用类似的流程:

新的IceXLoader 3.0 恶意软件加载器分析
图 7. IceXLoader 客户端-服务器通信

IceXLoader 发送带有“SetOn=On”的初始信标 POST 请求,以通知 C2 它已准备好接收命令。

C2 服务器通常会响应一个“info”命令来将加载程序注册为服务器面板中的有效客户端。客户端通过响应“Done= <command> <|>”即“Done=info<|>”来确认命令。之后,客户端执行命令。

 对于“info”命令,IceXLoader 收集以下信息并发送给 C2 服务器

  • 昵称(由恶意软件操作员设置并在二进制样本中硬编码,默认为“ICE X”)
  • 受害者身份
  • 用户名和机器名以及用户是否具有管理权限
  • windows操作系统版本
  • 已安装防病毒产品
  • .NET Framework v2.0 和/或 v4.0 的存在
  • 加载器版本(在二进制样本中硬编码)
  • 已安装内存总量
  • 处理器名称
  • 显卡名称

图 8 显示了一个 HTTP POST 请求,其中包含从受害者系统收集的所有信息。

新的IceXLoader 3.0 恶意软件加载器分析
图 8. 带有收集信息的 POST 请求

命令

一旦系统信息发送到 C2 服务器,IceXLoader 会定期重复信标请求以轮询其他命令。

IceXLoader 支持的所有命令的列表可以在下面找到。管道“|” 字符用于分隔命令的选项。斜体字是指威胁参与者提供的值。

  • close停止执行
  • info:收集系统信息并发送给C2
  • msg|MESSAGE 显示带有指定消息的对话框
  • restart:重启加载器
  • runFile|URL|TEMP_FILE_NAME发送 GET 请求以将文件从 URL 下载到 %TEMP% 作为 TEMP_FILE_NAME,然后使用“cmd /c”打开它。使用“cmd /c”的好处是能够打开系统上注册的任何文件类型,例如.txt 文件或Office 文档。它不仅限于可执行文件
  • runFile|URL|mem|True发送 GET 请求以从 URL 下载可执行文件并从内存中运行
  • runFile|URL|mem|False版本 3 中未完全实现。此命令在版本 1 中加载并执行 .NET 程序集
  • Sleep|INTERVAL:将 C2 服务器信标间隔更改为 INTERVAL 指定的新值(以毫秒为单位)
  • Update版本 3 中的当前实现与“runFile”命令相同,但版本 1 中的原始实现是为更新 IceXLoader 本身而设计的
  • uninstall从磁盘中删除自身的所有副本并停止运行

作为 IceXLoader 的主要功能,恶意软件操作员可以交互地向加载程序发送“runFile”命令,以在磁盘上或在内存中无文件地下载和执行其他恶意软件。

感染链

以前在野外发现的活动通过 IceXLoader 版本 1 分发 DcRat,并通过 IceXLoader 版本 3 与相关的门罗币 (XMR) 矿工一起分发未知恶意软件。

在早期活动中观察到的感染链如下所示。

Malspam 提供的 IceXLoader 导致 DcRat(2022 年 5 月)

IceXLoader 版本 1 已被观察到通过 ZIP 电子邮件附件传送。图 9 所示的感染链基于 Andre Girondo 在MalwareBazaar的提交。

新的IceXLoader 3.0 恶意软件加载器分析
图 9. 垃圾邮件感染链

一封带有伪装成发票的 ZIP 文件附件的电子邮件被发送给毫无戒心的受害者。如果用户解压缩并执行 invoice.exe,此 .NET 可执行文件会删除并执行 IceXLoader 版本 1。攻击者发出 runFile 命令以下载并执行 DcRat,这是一个公开可用的基于 .NET 的远程访问工具 (RAT)。

多阶段 .NET 加载器将 IceXLoader 用于挖掘门罗币(2022 年 6 月)

新的IceXLoader 3.0 恶意软件加载器分析
图 10. 多阶段 .NET 加载程序感染链

一个简单的 .NET 下载器恶意软件下载并执行一个 .NET 释放器,然后提取并运行一个嵌入自身的 IceXLoader 版本 3。IceXLoader 然后收到下载未知恶意软件的命令。虽然 FortiGuard 实验室的研究人员无法获得该恶意软件的样本,但随附的配置文件表明该恶意软件可能是 RAT 或信息窃取程序,将另外部署 Monero (XMR) 加密货币矿工。

FortiGuard Labs 无法确认最初的 .NET 下载器是如何交付给受害者的。根据类似样本的文件名,它们可能伪装成假的或破解的游戏相关安装程序。

结论

在本文中,我们重点介绍了威胁行为者如何不断演变以逃避和阻止对其恶意软件的检测,直至将现有代码移植到不同且不常见的语言。虽然简单且功能有限,但像 IceXLoader 这样的加载程序对用户构成威胁,因为威胁参与者可能会在感染后部署功能更全面的恶意软件。

FortiGuard Labs 将继续监测 IceXLoader 和装载机威胁领域的新兴趋势。

保护

FortiGuard 防病毒服务检测并阻止此威胁为W32/IceXLoader.FGLT!tr。

Fortinet 客户通过 FortiGuard 的Web 过滤防病毒CDR(内容解除和重建)服务以及FortiMailFortiClientFortiEDR解决方案免受这种恶意软件的侵害。

IceXLoader 之类的加载程序通常通过网络钓鱼提供。组织应考虑利用旨在培训用户了解和检测网络钓鱼威胁的 Fortinet 解决方案:

  • FortiPhish 网络钓鱼模拟服务 使用真实世界的模拟来帮助组织测试用户对网络钓鱼威胁的意识和警惕性​​,并在用户遇到有针对性的网络钓鱼攻击时培训和加强适当的做法。
  • 我们还建议组织让其最终用户接受我们的免费 NSE 培训:  NSE 1 – 信息安全意识。它包括一个有关 Internet 威胁的模块,旨在帮助最终用户了解如何识别和保护自己免受各种类型的网络钓鱼攻击。

侵害指标(IOCs)

文件 (SHA256)

6d98c8bdb20a85ef44677f3e7eed32c9fee0c18354e3365c28e11cb6130a8794

4eaed1357af8b4f757c16d90afb339161ac73fa4b8d867a416664b89a1d0a809

3a838c22312f4279f400b7eee63918d9232907a1aa483c824cb8a815150f06e8

4c26dbee513067e6d327e4b336b29992fd5270a0a8ecd1e9571378a3fb0bdc60

4fe56d88c1170a3d0e025b9d8f7939139a7618b3868eb993037c6e3b52d9d501

fecfca77593850e4f6deb8090fc35b14366ab27ef0ada833f940b2d4cb381509

619356420efd4dc53704fb5eb5c93f1f5d4a0123ed1fdd5ce276a832381de51d

915f0d1e9bd1b681d9935af168cb9f1823c738b869fb2c3646f81098a0fe5d95

C2网址:

hxxp[:]//kulcha[.]didns[.]ru:8080/Script.php

hxxp[:]//golden-cheats[.]com/icex/Script.php

hxxps[:]//r4yza92[.]com/Script.php

hxxp[:]//62[.]197[.]136[.]240/script.php

hxxp[:]//funmustsolutions[.]site/wp-includes/icex/Script.php

hxxps[:]//north[.]ac/pxnel.php

hxxp[:]//hhj[.]jbk0871[.]fun/study/Script.php

下载链接:

hxxp[:]//funmustsolutions[.]site/wp-includes/icex/Files/Client.exe

hxxp[:]//funmustsolutions[.]site/wp-includes/icex/Files/Loader.exe

hxxp[:]//golden-cheats[.]com/icex/Files/BadforICE.exeBadforICE.exe

hxxp[:]//golden-cheats[.]com/remote-config.json

hxxp[:]//golden-cheats[.]com/loader/uploads/InstallerLoader_Wjyhorou.bmp

转载请注明出处及链接

from

Leave a Reply

您的电子邮箱地址不会被公开。 必填项已用*标注