IcedID 的攻击活动的分析

IcedID (BokBot)是用于分发勒索软件的银行木马之一，于 2017 年 11 月由 IBMX-Force首次报道，该恶意软件与 Pony 的部分代码重叠。虽然最初旨在窃取银行凭据，但与其它许多银行木马一样，该恶意软件已被用于在目标设备上安装其它恶意软件。

IcedID 分发的途径之一是通过钓鱼邮件。邮件包含一个带有附加密码保护的“zip”文件，是一个启用宏的办公文档，它可以执行 IcedID 安装程序。一些钓鱼电子邮件会重复使用以前被盗的邮件，以使诱饵更具说服力。

在新的 IcedID 活动中，研究人员发现了攻击者使用的技术的进一步发展。攻击者现在使用被入侵的Microsoft Exchange服务器，从他们窃取的账户发送钓鱼邮件。Payload也从原来使用办公文档转而使用包含Windows LNK文件和DLL文件的ISO文件。使用ISO文件可以绕过Mark-of-the-Web控件，从而在不向用户发出警告的情况下执行恶意软件。关于目标，目前已发现针对能源、医疗保健、法律和制药行业的攻击。

感染链

攻击链始于钓鱼邮件。该邮件包含一些关于重要文档的消息，并附有受密码保护的“zip”文件附件。文件的密码在邮件正文中给出，如下图所示。钓鱼活动使用了对话劫持（线程劫持），使得邮件更具说服力。此外，该邮件是从被盗邮件的帐户发出的。

zip 文件的内容如下图所示。它包括一个与 zip 文件具有相同名称的“ISO”文件。还可以看出，该文件是在邮件发送前不久创建的。

ISO 文件包括两个文件，一个名为“document”的 LNK 文件和一个名为“main”的 DLL 文件。从时间戳可以看出，DLL 文件是在前一天准备好的，而 LNK 文件是在大约一周前准备好的。LNK 文件可能已在早期的钓鱼邮件中被使用过。

通过嵌入的图标使LNK 文件看起来像一个文档文件。如下图所示，当用户打开该文件时，它使用“regsvr32”来执行DLL文件。

使用regsvr32允许代理执行main.dll中的恶意代码以绕过检测。DLL 文件是 IcedID payload的加载程序。它包含许多导出，其中大部分由垃圾代码组成。

加载程序将定位加密的payload，存储在二进制文件的资源部分。它通过API hashing实现。函数的反编译如下所示。

然后将生成的哈希值与硬编码哈希值进行比较，从而定位对FindResourceA的调用。该函数被动态调用来获取payload。

使用VirtualAlloc分配内存以保存解密的payload。

IcedID的payload“Gziploader”被解码并放置在内存中，然后执行。GZiploader 对设备进行指纹识别，并向命令和控制服务器发送beacon，其中包含有关目标主机的信息，该信息通过 HTTP GET 请求通过 cookie 标头走私。

C2 位于yourgroceries[.]top。C2 可以响应要安装和执行的下一阶段。在分析的过程中，C2 没有响应payload。

会话劫持

通过电子邮件劫持已经存在的对话来传播恶意软件的技术，是攻击者已经使用了一段时间的技术。通常情况下，电子邮件的信息会在入侵期间被窃取并用于未来的攻击，通过这种方法使钓鱼邮件看起来更合法。在过去的六个月里，攻击者进一步改进了技术，使其更有说服力。现在，攻击者不再用虚假的电子邮件地址发送窃取的对话，而是使用其窃取的原始电子邮件的地址，使钓鱼邮件更有说服力。

Kevin Beaumont早在2021 年 11 月就报道了这种对话劫持技术，被用于分发Qakbot。通过调查，他确认邮件来源的 Microsoft Exchange 服务器已被 ProxyShell 利用。

新的活动

在 3 月中旬发现的新活动中，研究人员发现，被盗对话被重复使用。早在一月份，当这个对话被使用时，“FROM”地址是“webmaster@[REDACTED].com”，其中包含对话中最后一封电子邮件的收件人姓名。通过这种方法，使电子邮件看起来更合法，可以通过包括安全产品在内的合法渠道传输。

研究人员观察到的大多数 Exchange 服务器似乎都未打补丁，且是开放的，这使得其容易遭到ProxyShell攻击。虽然大多数用来发送钓鱼邮件的Exchange服务器都可以被任何人通过互联网访问，但有内部发送的钓鱼邮件，它似乎是一个“内部”的Exchange服务器。

下面的代码显示了电子邮件标题的一小部分。Exchange服务器的IP地址为本地IP地址（172.29.0.12），顶级域名为“local”。还可以看到 Exchange 添加了一个标题，将其标记为内部电子邮件。Exchange 服务器还添加了通过MAPI连接到 Exchange 服务器的原始客户端（172.29.5.131，也是本地 IP 地址）的头。

Received: from ExchSrv01.[REDACTED].local (172.29.0.12) by ExchSrv01.[REDACTED].local (172.29.0.12) with Microsoft SMTP Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id 15.2.464.5 via Mailbox Transport; Thu, 10 Mar 2022 14:34:29 +0100Received: from ExchSrv01.[REDACTED].local (172.29.0.12) by ExchSrv01.[REDACTED].local (172.29.0.12) with Microsoft SMTP Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id 15.2.464.5; Thu, 10 Mar 2022 14:34:29 +0100Received: from ExchSrv01.[REDACTED].local ([fe80::b148:8e7:61f8:61b4]) by ExchSrv01.[REDACTED].local ([fe80::b148:8e7:61f8:61b4%6]) with mapi id 15.02.0464.005; Thu, 10 Mar 2022 14:34:29 +0100…X-MS-Exchange-Organization-AuthAs: InternalX-MS-Exchange-Organization-AuthMechanism: 04X-MS-Exchange-Organization-AuthSource: ExchSrv01.[REDACTED].localX-MS-Has-Attach: yesX-MS-Exchange-Organization-SCL: -1X-MS-Exchange-Organization-RecordReviewCfmType: 0x-ms-exchange-organization-originalclientipaddress: 172.29.5.131x-ms-exchange-organization-originalserveripaddress: fe80::b148:8e7:61f8:61b4%6

研究人员未能找到此 Exchange 服务器的相应公共 IP 地址，并且不知道攻击者如何访问它的。唯一设法找到的是一个样本，登录页面如下图所示。

上面的代码中的一个header报告客户端通过 MAPI 连接到服务器。MAPI是一种协议（例如，由 Outlook）用于访问 Exchange 服务器上的邮箱。这表明攻击者使用 Exchange 客户端而不是使用 SMTP 来发送电子邮件。研究人员还在多封网络钓鱼电子邮件中看到了标题“X-Mailer：Microsoft Outlook 16.0”。在其它网络钓鱼电子邮件中，可以找到“X-Originating-IP”标题。这是使用 Web 界面时由 Exchange 服务器添加的。其中的 IP 地址是连接到服务器的客户端的 IP 地址。研究人员观察了客户端 IP 的托管服务提供商和非商业 IP 地址。

归因

2021年6月，Proofpoint发布了一份关于不同访问代理的报告，这些代理为勒索软件团伙提供了便利的访问。根据Proofpoint的说法，在这些团伙中，有两个(TA577和TA551)使用了IcedID。TA551使用的技术包括会话劫持和密码保护的zip文件。众所周知，该组织还使用regsvr32.exe来执行带有签名的二进制代理程序以获取恶意dll。

总结

会话劫持是一种强大的社会工程技术，可以提高网络钓鱼的成功率。Payload 已从办公文件中转移了 ISO 文件，使用商品打包程序和多个阶段来隐藏活动。通过检测内存中的恶意文件以抵御此类攻击非常重要，建议用户使用使用端点扫描程序。

IOC

ISOFile:

3542d5179100a7644e0a747139d775dbc8d914245292209bc9038ad2413b3213

LoaderDLL:

698a0348c4bb8fffc806a1f915592b20193229568647807e88a39d2ab81cb4c2

LNKFile:

a17e32b43f96c8db69c979865a8732f3784c7c42714197091866473bcfac8250

IcedIDGZiploader Network:

yourgroceries[.]top

原文链接：

https://www.intezer.com/blog/research/conversation-hijacking-campaign-delivering-icedid/

原文始发于微信公众号（维他命安全）：IcedID 的攻击活动的分析