Pasaulē, kurā viss tiek pārvaldīts tiešsaistē, mēs redzam, ka visi mūsu dati ir nemainīgā drošības mainīgajā, kam vienmēr ir tendence būt neaizsargātam tūkstošiem uzbrukumu dēļ, kas tiek izpildīti tīmeklī.
Lielākā daļa no mums bieži veic komerciālus darījumus internetā, kur tiek apdraudēti mūsu personas dati, bankas kontu numuri, kredītkaršu numuri un daudz kas cits, kas padara to par delikātu drošības situāciju, jo, ja tā ir informācija, mēs nonākam nepareizās rokās nopietnās grūtībās.
Drošības analītiķi, jo īpaši attiecībā uz ļaunprātīgu programmatūru, ir atklājuši jaunus draudus, proti, banku Trojas zirgu, ko sauc par IcedID, un kas pašlaik atrodas sākuma stadijā. Solvetic analizēs, kā šie jaunie draudi darbojas, lai veiktu nepieciešamos drošības pasākumus.
Kā tika atklāta šī ļaunprātīgā programmatūra
Izpētes grupa IBM X-Force pastāvīgi analizē un uzrauga finanšu kibernoziegumu jomu, lai atklātu notikumus un tendences, kas veido draudu ainavu gan organizāciju līmenī, gan finanšu patērētājiem, kas veido miljonus.
Pēc gada, kas ir bijis ļoti aktīvs attiecībā uz banku ļaunprātīgu programmatūru, ar uzbrukumiem, piemēram, ļaunprātīgu programmatūru tirdzniecības vietās (POS) un izpirkuma programmatūras uzbrukumiem, piemēram, WannaCry, X-Force komanda identificēja jaunu, dabiski aktīvu banku Trojas zirgu IcedID .
Saskaņā ar X-Force grupas veiktajiem pētījumiem, jaunais banku Trojas zirgs parādījās 2021.-2022. Gada septembrī, kad tika uzsāktas tās pirmās pārbaudes kampaņas. Pētnieki novēroja, ka IcedID ir modulārs ļaunprātīgs kods ar mūsdienīgām banku Trojas iespējām, kas salīdzināmas ar ļaunprātīgu programmatūru, piemēram, Zeusa Trojas zirgu. Pašlaik ļaunprātīgā programmatūra ir vērsta uz bankām, maksājumu karšu sniedzējiem, mobilo pakalpojumu sniedzējiem, algas, tīmekļa pastu un e-komercijas vietnēm ASV, un divas no lielākajām Apvienotās Karalistes bankām ir iekļautas ļaunprātīgās programmatūras sasniegto mērķu sarakstā.
Šķiet, ka IcedID nav aizņēmies kodu no citiem zināmiem Trojas zirgiem, taču tas ievieš identiskas funkcijas, kas ļauj veikt uzlabotas pārlūka manipulācijas taktikas. Lai gan IcedID iespējas jau ir līdzvērtīgas citu banku Trojas zirgu, piemēram, Zeus, Gozi un Dridex, iespējām, gaidāms, ka tuvākajās nedēļās tiks sniegti papildu šīs ļaunprātīgās programmatūras atjauninājumi.
Ļaunprātīga programmatūra izplatījās
Grupas X-Force analīze par IcedID ļaunprātīgas programmatūras piegādes metodi norāda, ka operatori nav jauni kibernoziedzības jomā un izvēlas inficēt lietotājus, izmantojot Emotet Trojan. X-Force izmeklēšanā tiek pieņemts, ka draudu aktieris jeb neliels kiberžanrs šogad ir izmantojis Emotet kā banku Trojas zirgu un cita ļaunprātīgas programmatūras koda izplatīšanas operāciju. Emotet ievērojamākā uzbrukuma zona ir ASV. Mazākā mērā tā ir vērsta arī uz lietotājiem Apvienotajā Karalistē un citās pasaules daļās.
Emotet ir uzskaitīta kā viena no ievērojamākajām ļaunprātīgas programmatūras izplatīšanas metodēm 2021.-2022. Gadā, un tā apkalpo elitārās Austrumeiropas kibernoziegumu grupas, piemēram, QakBot un Dridex. Emotet parādījās 2014. gadā pēc Bugat Trojan sākotnējā pirmkoda noplūdes. Sākotnēji Emotet bija banku Trojas zirgs pirms Dridex. Tā ir paredzēta, lai uzkrātu un uzturētu robottīklus. Emotet saglabājas ierīcē un pēc tam saņem papildu komponentus, piemēram, surogātpasta moduli, tīkla tārpa moduli, kā arī paroles un datu zādzību Microsoft Outlook e -pastam un lietotāju pārlūkprogrammas darbībām.
Emotet pats tiek piegādāts, izmantojot malspam, parasti manipulācijas produktivitātes failos, kas satur ļaunprātīgus makro. Kad Emotet inficē galapunktu, tas kļūst par kluso iedzīvotāju un tiek darbināts, lai apkalpotu ļaunprātīgu programmatūru no citiem kibernoziedzniekiem, to vienkārši neatklājot. IcedID var veikt uzbrukumus, kas nozog finanšu datus no lietotāja, izmantojot novirzīšanas uzbrukumus, kas instalē vietējo starpniekserveri, lai novirzītu lietotājus uz klonēšanas vietnēm, un tīmekļa injekciju uzbrukumus, ar šo metodi pārlūkprogrammas process tiek ievadīts, lai parādītu viltotu saturu virs oriģināla lapa, kas izliekas par uzticamu vietni.
IcedID TTPIcedID TTP (taktika, paņēmieni un procedūras - taktika, paņēmieni un procedūras) satur virkni elementu, kas jāņem vērā un jāņem vērā, runājot par šo ļaunprātīgo programmatūru. Papildus visizplatītākajām Trojas iezīmēm IcedID ir iespēja izplatīties tīklā, un, nokļuvis tur, tas uzrauga upura tiešsaistes darbību, konfigurējot satiksmes tuneļa vietējo starpniekserveri, kas ir koncepts, kas atgādina GootKit Trojas zirgu. Viņu uzbrukuma taktika ietver tīmekļa injekciju uzbrukumus un sarežģītus novirzīšanas uzbrukumus, kas līdzīgi shēmai, ko izmanto Dridex un TrickBot.
Pavairošana tīklā
IcedID operatori plāno koncentrēties uz uzņēmējdarbību, jo ļaunprātīgajai programmatūrai jau no paša sākuma pievienoja tīkla pavairošanas moduli. IcedID piemīt spēja pāriet uz citiem galapunktiem, un X-Force pētnieki arī novēroja, ka tas inficē termināļa serverus. Termināļu serveri parasti nodrošina, kā norāda nosaukums, termināļus, piemēram, galapunktus, printerus un koplietojamās tīkla ierīces, ar kopēju savienojuma punktu ar lokālo tīklu (LAN) vai platjoslas tīklu (WAN), kas liecina, ka IcedID jau ir novirzīja darbinieku e -pastus uz organizatoriskiem mērķiem, pagarinot uzbrukumu.
Nākamajā grafikā mēs varam redzēt IcedID tīkla izplatīšanas funkcijas no IDA-Pro:
Lai atrastu citus lietotājus, kurus inficēt, IcedID vaicā Lightweight Directory Access Protocol (LDAP) ar šādu struktūru:
IcedID finanšu krāpšanas TTP ietver divus uzbrukuma režīmus
- Webinjection uzbrukumi
- Novirzīt uzbrukumus
Lai to izdarītu, ļaunprātīga programmatūra lejupielādē konfigurācijas failu no Trojas komandu un kontroles (C & C) servera, kad lietotājs atver interneta pārlūkprogrammu. Konfigurācija ietver mērķus, kuriem tiks aktivizēts tīmekļa injekcijas uzbrukums, galvenokārt bankas un citi mērķi, kas bija aprīkoti ar novirzīšanas uzbrukumiem, piemēram, maksājumu kartes un tīmekļa pasta vietnes.
IcedID kravas izvietošana un tehniskā informācija
X-Force pētnieki veica dinamisku IcedID ļaunprātīgas programmatūras paraugu analīzi, un no turienes ļaunprātīgā programmatūra tiek izvietota galapunktos, kuros darbojas dažādas Windows operētājsistēmas versijas. Šķiet, ka tam nav nevienas uzlabotas anti-virtuālās mašīnas (VM) vai izmeklēšanas metodes, izņemot šādas:
Nepieciešama atsāknēšana, lai pabeigtu pilnīgu izvietošanu, iespējams, lai apietu smilškastes, kas neatdarina atsāknēšanu. Tas sazinās, izmantojot drošo ligzdu slāni (SSL), lai sakariem pievienotu drošības slāni un izvairītos no automātiskas skenēšanas, ko veic ielaušanās noteikšanas sistēmas.
Ar šo operāciju X-Force pētnieki apgalvo, ka pret šo kriminālistiku vērstās funkcijas laika gaitā var tikt piemērotas šim Trojas zirgam.
IcedID tiek ieviests mērķa galapunktos, izmantojot Emotet Trojan kā vārteju. Pēc restartēšanas lietderīgā slodze tiek ierakstīta mapē% Windows LocalAppData% ar vērtību, ko ģenerē daži operētājsistēmas parametri. Šī vērtība tiek izmantota gan izvietošanas ceļā, gan faila RunKey vērtībā.
Pilns vērtības noteikums ir šāds:
% LOCALAPPDATA% \ [a-z] {9} \ [a-z] {9} .exe C: \ Users \ User \ AppData \ Local \ ewonliarl \ ewonliarl.exe HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ ewonliarlĻaunprātīga programmatūra izveido savu noturības mehānismu, norādītajā reģistrā izveidojot RunKey, lai nodrošinātu tās izdzīvošanu pēc sistēmas atsāknēšanas. Pēc tam IcedID mapei AppData uzraksta sistēmai RSA šifrēšanas atslēgu. Ļaunprātīga programmatūra var rakstīt uz šo RSA atslēgu izvietošanas rutīnas laikā, kas varētu būt saistīts ar faktu, ka tīmekļa trafiks tiek novirzīts, izmantojot IcedID procesu, pat ja tiek nodrošināta SSL trafika plūsma.
Pagaidu fails ir rakstīts ar šādu paraugu:% TEMP% \ [A-F0-9] {8} .tmp.
C: \ Users \ User \ AppData \ Roaming \ Microsoft \ Crypto \ RSA \ S-1-5-21-2137145731-2486784493-1554833299-1000 \ fdbe618fb7eb861d65554863fc5da9a0_883f9a43-a12c-410f-b47830Db Users Temp \ CACCEF19.tmpIcedID process turpina darboties, kas reti sastopams ļaunprātīgai programmatūrai. Tas varētu nozīmēt, ka dažas koda daļas joprojām tiek labotas, un šī problēma mainīsies nākamajā atjauninājumā.
Izvietošanas process šeit beidzas, un ļaunprātīga programmatūra turpinās darboties pārlūkprogrammā Explorer līdz nākamajai šī parametra atsāknēšanai. Pēc atsāknēšanas notikuma tiek izpildīta lietderīgā slodze, un IcedID Trojas zirgs kļūst par galapunkta rezidentu. Šajā brīdī ļaunprātīgas programmatūras komponenti ir ieviesti, lai sāktu upura interneta trafika novirzīšanu caur vietējo starpniekserveri, kuru tā kontrolē.
Kā IcedID novirza upura tīmekļa trafiku
IcedID konfigurē vietējo starpniekserveri, lai klausītos un pārtvertu sakarus no upura galapunkta, un divos apļos novirza visu interneta trafiku. Pirmkārt, trafiks tiek pārsūtīts uz vietējo serveri localhost (127.0.0.1) caur portu 49157, kas ir daļa no dinamiskajiem un / vai privātajiem TCP / IP portiem. Otrkārt, ļaunprātīgās programmatūras ļaunprātīgais process klausās šajā ostā un izfiltrē atbilstošo saziņu ar jūsu C&C serveri.
Lai gan tas tika izstrādāts nesen, IcedID izmanto novirzīšanas uzbrukumus. IcedID izmantotā novirzīšanas shēma nav vienkārša nodošana citai vietnei ar citu URL, gluži pretēji, tā ir veidota tā, lai cietušajam tā būtu pēc iespējas pārredzamāka.
Šī taktika ietver likumīgās bankas URL parādīšanu adreses joslā un pareizo bankas SSL sertifikātu, kas ir iespējams, uzturot tiešu savienojumu ar bankas reālo vietni, lai mums nebūtu iespējas noteikt draudus. IcedID novirzīšanas shēma tiek ieviesta, izmantojot tās konfigurācijas failu. Ļaunprātīga programmatūra klausās mērķa URL sarakstā un pēc tam, kad ir atradusi aktivizētāju, palaiž norādīto tīmekļa injekciju. Šī tīmekļa injekcija nosūta upuri uz viltotu banku vietni, kas iepriekš konfigurēta, lai atbilstu sākotnēji pieprasītajai vietnei, simulējot viņa vidi.
Cietušais tiek maldināts uzrādīt savus akreditācijas datus viltotas lapas kopijā, kas neapzināti nosūta to uzbrucēja serverim. No šī brīža uzbrucējs kontrolē cietušā sesiju, kas parasti ietver sociālo inženieriju, lai iemānītu upurim atklāt darījumu autorizācijas vienumus.
Saziņa ar ļaunprātīgu programmatūru
IcedID sakari tiek veidoti, izmantojot šifrētu SSL protokolu. Kampaņas laikā, kas tika analizēta oktobra beigās, ļaunprātīga programmatūra sazinājās ar četriem dažādiem C&C serveriem. Šajā grafikā parādīts IcedID sakaru un infekcijas infrastruktūras shematisks skats:
PALIELINĀT
Lai ziņotu par jaunu infekciju robottīklā, IcedID nosūta šifrētu ziņojumu ar robota identifikāciju un sistēmas pamatinformāciju šādi:
Atšifrēto ziņojumu daļās ir redzama šāda informācija, kas tiek nosūtīta C&C
- B = robota ID
- K = komandas nosaukums
- L = darba grupa
- M = operētājsistēmas versija
Tālvadības injekcijas panelis
Lai organizētu tīmekļa injekciju uzbrukumus katrai mērķbankas vietnei, IcedID operatoriem ir īpašs tīmekļa attālais panelis, kuram var piekļūt ar lietotājvārda un paroles kombināciju, kas ir identiska sākotnējai bankai.
Tīmekļa injekcijas paneļi bieži ir komerciāli piedāvājumi, ko noziedznieki pērk pagrīdes tirgos. Iespējams, ka IcedID izmanto komerciālu paneli vai ka IcedID ir komerciāla ļaunprātīga programmatūra. Tomēr šobrīd nekas neliecina, ka IcedID tiktu pārdots pagrīdes vai Dark Web tirgos.
Tālvadības injekcijas panelis izskatīsies šādi:
Kā redzam tur, lietotājam tiek prasīts ievadīt savus akreditācijas datus, kā tas parasti notiek viņa bankas vietnē. Panelis atkal sazinās ar serveri, kura pamatā ir OpenResty tīmekļa platforma. Saskaņā ar oficiālo vietni OpenResty ir izstrādāts, lai palīdzētu izstrādātājiem viegli izveidot pielāgojamas tīmekļa lietojumprogrammas, tīmekļa pakalpojumus un dinamiskus tīmekļa portālus, veicinot to izplatīšanos.
Kā pasargāt sevi no IcedID
Pētniecības grupa X-Force iesaka pārlūkprogrammām piemērot drošības ielāpus, un viņi paši veica šādu procesu:
Internet Explorer
Savienot CreateProcessInternalW CertGetCertificateChain CertVerifyCertificateChainPolicy
Firefox
nss3.dll! SSL_AuthCertificateHook
Citi pārlūki
CreateProcessInternalW CreateSemaphoreA
Lai gan IcedID joprojām tiek izplatīts, nav droši zināms, kādu ietekmi tas atstās visā pasaulē, taču ir ideāli būt soli priekšā un veikt nepieciešamos drošības pasākumus.