威胁分析：从 IcedID银行木马到域入侵分析

• 快速移动：攻击者在不到一小时的时间内完成从最初的感染到横向移动。Active Directory 域在不到 24 小时内遭到入侵。

• 标准化攻击流程：在整个攻击过程中，攻击者遵循侦察、凭据窃取、滥用 Windows 协议进行横向移动以及在新感染的主机上执行 CobaltStrike 的例行流程。此活动在下面的横向移动部分中有更详细的说明。

• 复用其他组织的技术：我们观察到的一些TTP也在 Conti、Lockbit、FiveHands 和其他组织的攻击中被发现。这不仅表明攻击者有跨群体分享想法的趋势，而且也表明了检测一个组织的技术和战术的能力也可用来检测其他组织。

• 初始感染向量的变化：在之前的活动中，攻击者通过在文档中使用恶意宏执行网络钓鱼来传播IcedID。随着 Microsoft 最近引入的一些控制措施，攻击者正在使用 ISO 和 LNK 文件来替换宏。本文中观察到的行为证实了这一趋势。

• 快速渗透 ：客户环境中的渗透在初次感染的两天后开始。

时间线

在Cybereason 团队调查的案例中，攻击者执行了下述时间线中显示的各种操作：

（1）初始访问、执行和初始持久化

在本节中，将介绍“零号机”被感染的方法，攻击者将其用作后续入侵的跳板。

在下图中，描述了在本次案例中观察到的入侵方式：

• 受害者打开诱饵文件。

• 受害者单击创建虚拟磁盘的 ISO 文件。

• 受害者导航到虚拟磁盘并单击唯一可见的文件，该文件实际上是一个LNK文件。

• LNK文件运行一个批处理文件，该文件将一个DLL释放到临时文件夹并使用 rundll32.exe 运行。

• Rundll32.exe 加载 DLL，创建与 IcedID 相关域的网络连接，下载 IcedID 载荷（payload）。

• IcedID 载荷（payload）被加载到进程中。

类似的IcedID感染通常始于受害者打开包含 ISO 文件的受密码保护的 zip 文件。

双击时，ISO 文件会自动将自己挂载为只读目录。该目录包含一个隐藏文件夹和一个 LNK（快捷方式）文件。

隐藏文件夹包含混淆的批处理文件和 DLL 载荷（payload）。

“hey”文件夹的内容显示了一个DLL文件

单击快捷方式文件时，会通过系统程序cmd.exe执行隐藏目录下的批处理文件。

LNK 文件显示 twelfth.bat 将在单击时执行

批处理文件调用 xcopy.exe 将 DLL 复制到 %TEMP% 目录中，在该目录中使用 rundll32.exe 和命令行参数“#1”执行 DLL，该参数表示 DLL 中序号为 1 的函数。

混淆的 BAT 文件的片段

部分去混淆的 BAT 文件，显示复制DLL并使用rundll32.exe执行

本案例中攻击的初始执行是通过一个名为“ dealing.bat ”的批处理文件开始的，该文件位于目录“ D:ten ”中，与已知的典型 IcedID 感染示例相符。

执行 BAT 文件“dealing.bat”

此批处理文件运行 rundll32.exe 执行 homesteading.dll 进程。执行的文件在用户的 %TEMP% 目录中找到。我们观察到 DNS 请求并成功和crhonofire[.]info建立HTTP连接。

Rundll32.exe 进程执行名为 homesteading.dll 的 DLL 文件

接下来，攻击者进行主机发现。使用net.exe查询域、工作站和Domain Admins 组成员的信息。

上述进程树截图显示了对OS和活动目录的发现活动

攻击开始几分钟后，homesteading.dll 的文件 下载了一个名为xaeywn1.dll的文件。 执行Rundll32.exe 随后将此文件加载到内存中。命令行参数中的“license.dat ”表明这是 IcedID 恶意软件的一个组件。文件“license.dat” 是解密 IcedID 有效载荷（payload）的密钥。

Rundll32.exe 加载 xaeywn1.dll 并引用“license.dat”作为参数

同时观察到有一个到 MS-TSCH SchRpcRegisterTask的MSRPC 请求，表明由 rundll32.exe进程创建了一个计划任务，用来每小时以及每次登录时执行xaeywn1.dll，从而实现持久性。

MSRPC 调用表明创建计划任务

接下来观察到rundll32.exe加载模块“init_dll_64.dll”。这是解密和解压的 IcedID 主程序。并建立了与blackleaded[.]tattoo、curioassshop[.]pics 和 cerupedi[.]com的HTTP/HTTPS 连接，所有这些域名都与 IcedID 恶意软件相关。

正在加载到内存中的模块 init_dll_64.dll

之后，我们观察到名为dllhost.exe的子进程的创建，其命令行引用 xaeywn1.dll， 即解密的 IcedID 有效载荷。Dllhost.exe 的交互式会话 建立了外部网络连接并启动了cmd.exe 。

在此交互式会话期间，curl.exe使用HTTP协议从远程IP地址下载文件power.bat 和 PowerDEF.bat 。

进程 curl 用于下载 power.bat 和 powerDEF.dat

下载后，攻击者会执行“powerDEF.bat”，它会执行 Base64 编码的 powershell脚本，以下载其他文件。此过程用于下载 2.txt 和 2.exe。最后，tasklist.exe 用于列出主机上所有正在运行的进程。

解码的 PowerShell 命令

显示交互式 CMD 会话的进程树

在使用IcedID 建立初始立足点后， regsvr32.exe 加载文件“ cuaf.dll ”。通过开源情报 (OSINT) 研究，我们能够确定这是一个 CobaltStrike beacon。当攻击者在整个网络中横向移动时，该文件的哈希值在其他几台机器上被识别出来。

此过程还连接到域名dimabup[.]com解析到的IP ，这是一个已知的 Cobalt Strike 命令和控制服务器。

显示 regsvr32.exe 加载 Cobalt Strike 模块、在网络上执行发现操作并与 C2 域通信的进程树

然后，Cobalt Strike beacon加载了 Rubeus，这是一个用 C# 编写的工具，用于 Kerberos 交互和滥用。以及执行net.exe 、ping.exe 和 nltest.exe 进行额外的侦察。有关此侦察活动的更多信息，请参见 “发现”部分。

Cobalt Strike 进程加载 Rubeus

（4）横向移动Lateral Movement

攻击者在横向移动时遵循了标准的流程。Cybereason GSOC 观察到第一次横向移动到另一台机器的时间大约是在初次感染后不到一个小时。攻击者使用 ping.exe 确定主机是否在线，然后在远程工作站上使用wmic.exe的“process call create”参数执行远程文件“db.dll ”。

Wmic.exe 用于横向移动

一旦在远程主机上建立连接，攻击者就会执行相同的 CobaltStrike beacon，这次名称为 gv.dll 。攻击者在整个网络中的后续活动都遵循这个过程，使用 ping.exe 检测主机是否在线，通过 WMI 横向移动，并执行 Cobalt Strike payload 以获得更好的立足点。

横横向移动后使用的 Cobalt Strike 载荷

通过kerberoasting攻击入侵了服务账户的凭据后，攻击者能够横向移动到内部 Windows 服务器。该帐户具有域管理员权限，攻击者又部署了一个CobaltStrike beacon。

（5）持久化Persistence

借鉴了 Conti 的技术，攻击者在多台机器上安装了 AteraAgent RMM 工具。Atera 是用于远程管理的合法工具。利用这样的 IT 工具，攻击者可以在他们的初始持久化机制被发现并修复时，为自己创建一个额外的“后门”。这些工具不太可能被防病毒软件或 EDR 检测到，也更有可能被误报。

AteraAgent的安装

执行的命令行显示，在安装过程中，攻击者犯了一个错误，将outlook.it 的域名拼写错误了。当攻击者使用 Atera 作为他们的后门代理时，攻击者使用来自 Proton 和 Outlook 的“burner”电子邮件地址是一种相当普遍的做法。

显示 Atera Agent 执行的进程树

（6）凭据窃取Credential Theft

第一起凭证盗窃事件发生在初次感染后的15分钟。攻击者使用 Kerberoasting （MITRE ATT&CK ID：T1558.003）提取域内服务帐户的哈希值。在本案例中使用了C#编写的工具Rubeus。

在这种攻击中，也可能从网络中提取哈希值。取决于服务帐户密码的强度，可以使用 Hashcat或 John the Ripper等工具破解哈希值。

进程 rundll32.exe 在执行 Kerberoasting 攻击时被检测到

在横向移动到网络中的文件服务器，并通过服务将权限提升到 SYSTEM 后，攻击者成功执行了 DCSync 攻击，从而使攻击者能够入侵整个域。DCSync 攻击（MITRE ATT&CK ID：T1003.006）允许攻击者冒充域控制器并从其他域控制器请求密码哈希。

这是通过向域控发起一个名为DRSGetNCChanges的RPC调用实现。只有对 Active Directory 具有特定复制权限的帐户才能作为目标并执行DCSync。在其中一台最初受感染的主机上也检测到了DCSync 攻击。

显示 Active Directory 滥用的检测，由 DRSGetNCChanges MSRPC 调用识别

众所周知，IcedID 会尝试hook浏览器，如Firefox 或 Chrome 等，以窃取凭据、cookie 和保存的信息。加载主程序后，我们观察到 chrome.exe 中的hooking行为：

hook到 Chrome.exe 的进程

（7）发现 Discovery

在攻击过程中，攻击者使用了多个发现命令。其中许多命令作为IcedID 程序中SysInfo模块的一部分执行的。

Net.exe 被用来发现操作系统和 Active Directory 信息：

如前所述， ping.exe 用于检查远程机器是否在线以进行横向移动。

攻击者使用 nltest.exe 提取 Active Directory 信息：

PowerShell 命令 Invoke-Share Finder 也用于查找网络上的非标准共享。

其他系统命令用于获取有关主机的更多信息：

最后，攻击者执行命令“ wuauclt.exe /detectnow ”以检查缺失的更新和补丁。

借用 Conti 的另一种技术，攻击者使用 netscan.exe（由 SoftPerfect 创建的合法 IT 工具）扫描他们初始控制的计算机所在的子网。扫描结果被写入到本地文件“results.xml”

Netscan.exe 用于定位其他主机以进行横向移动

（9）数据提取 Data Exfiltration

攻击者使用流行的 rclone 文件同步软件的重命名副本将多个目录加密并同步到 Mega 文件共享服务。

重命名的 rclone.exe 的执行

rclone的使用已经成为多个威胁组织（包括Lockbit在内）使用的数据提取方式之一。

    如果在您的环境中观察到 IcedID 活动，建议执行以下操作以帮助遏制攻击：

• 网络钓鱼电子邮件保护 ：如果可能，阻止或隔离电子邮件网关中受密码保护的 zip 文件。

• 警告您的用户注意类似的威胁：在处理来自 Internet 的异常文件（例如 ISO 和 LNK 文件）时要小心。

• 禁用磁盘映像文件自动挂载 ：为避免这种感染技术成功，可考虑通过 GPO 全局禁用磁盘映像文件（主要是 .iso、.img、.vhd 和 .vhdx）的自动挂载

• 阻止受感染的用户：隔离被感染主机，以阻止或至少减缓攻击者在网络上的传播。

• 识别和阻止恶意网络连接 ：在网络流量中检测是否存在报告中涉及的恶意域名和IP，并进行封禁。

• 重置 Active Directory 访问权限 ：如果域控制器 (DC) 被攻击者访问并且可能所有帐户都已被盗，建议在重建网络时重置所有 AD 访问权限。重要说明： krbtgt 帐户需要及时重置两次。

• 参与事件响应：重要的是彻底调查攻击者的行为，以确保您没有错过任何活动，并且对所有需要修复的东西都进行了修复。

• 清理受感染的机器： 隔离并重新安装所有受感染的机器，以限制二次入侵或攻击者随后访问网络的风险。

https://www.cybereason.com/blog/threat-analysis-from-icedid-to-domain-compromise

https://learn.microsoft.com/en-gb/DeployOffice/security/internet-macros-blocked

https://bazaar.abuse.ch/sample/db7cd6d0f75ddf78e0e6e09119d9071df07b50ef3f5289d474921adba4f35047/