IcedID银行木马样本技术分析与防护方案
2017-11-17
内容简介
综述
近日,IBM X-Force研究小组发现了一种全新的银行木马IcedID。该木马最早于2017年9月在互联网上传播,目标主要为美国金融行业的相关系统。据X-Force研究,该木马包含一个恶意代码的模块,拥有如宙斯木马(Zeus Trojan)等现今银行木马的大部分功能。
目前看来,该木马主要的目标为美国的银行,支付卡提供商,手机服务提供商,邮件和电商网站等系统,还包括2所英国的主流银行。
相关链接:
https://securityintelligence.com/new-banking-trojan-icedid-discovered-by-ibm-x-force-research/
事件背景
2017年11月14日,一个名为IcedID的银行木马被研究人员发现,该木马主要攻击美国境内的银行和其他金融机构,通过Emotet木马来进行传播。受感染者在访问特定的线上金融机构网站时,该木马会将用户重新定向到假的钓鱼网页,来获取用户的银行密码等敏感信息。
传播与感染
据X-Force的研究人员表示,IcedID没有利用漏洞而是利用Emotet木马进行传播。Emotet将IcedID作为新的Payload下载到受感染的用户主机上,从而进行感染。Emotet主要通过钓鱼邮件进行传播,一旦感染用户就会在主机上静默安装,随后会用来下载更多的恶意软件。
除了常见的木马功能外,IcedID还可以通过网络传播。 它通过设置一个本地代理来监控受害者的在线活动, 它的攻击手段包括网站注入攻击和类似于Dridex和TrickBot的复杂的重定向攻击。
攻击流程
处理建议
安全操作建议
1. 不要随意下载和安装软件,以防被木马感染;
2. 安装防病毒软件并保持更新至最新版本。
检查与清除
1. 检查注册表并删除HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRuncantimeam键值。
2. 删除C:Users{UserName}AppDataLocalcantimeam目录及该目录下的可执行文件。
持续安全监测与防护
在持续安全监测和防护方案中,以绿盟威胁分析系统(TAC)检测未知和已知威胁,以威胁情报安全信誉为纽带,结合本地网络部署的NIPS(绿盟入侵防护系统),形成对已知威胁与未知威胁的动态安全防护体系,再结合ylzz总站线路检测专业应急响应团队以及区域服务团队的现场响应及处置能力,可对全国范围内的客户提供现场快速分析排查、处置及加固防护。
注:TAC的威胁分析能力请参考恶意软件行为章节内容
家族关联对比
ylzz总站线路检测检测与防护方案
ylzz总站线路检测检测服务
· ylzz总站线路检测工程师前往客户现场检测。
· ylzz总站线路检测在线云检测,登陆ylzz总站线路检测云,申请极光远程扫描试用。
ylzz总站线路检测木马专杀解决方案
· 短期服务:ylzz总站线路检测工程师现场木马后门清理服务(人工服务+IPS+TAC)。确保第一时间消除网络内相关风险点,控制事件影响范围,提供事件分析报告。
· 中期服务:提供3-6个月的风险监控与巡检服务(IPS+TAC+人工服务)。根除风险,确保事件不复发。
· 长期服务:基金行业业务风险解决方案(威胁情报+攻击溯源+专业安全服务)
总结
IcedID是金融网络犯罪领域新近发现的一个威胁。 虽然现在还不知道它将会如何发展,但其目前的能力,传播方式选择和攻击目标都表明了其背后是一个对这个领域并不陌生的团体。
附录:
IOC
|
KEY |
VALUE |
|
DOMAIN |
nejokexulag.example.com nobleduty.com tradequel.net youaboard.com ztekbowrev.com
|
|
PORT |
443 |
|
PROTOCOL |
SSL/TLS |
|
IP |
185.127.26.227 |
声 明
本安全公告仅用来描述可能存在的安全问题,ylzz总站线路检测不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,ylzz总站线路检测以及安全公告作者不为此承担任何责任。ylzz总站线路检测拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经ylzz总站线路检测允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。
