IcedID僵尸收集滥用谷歌 PPC办事分发歹意软件

关键词

IcedID僵尸收集、谷歌 PPC、歹意软件

IcedID僵尸收集、谷歌 PPC、歹意软件

1. 概述

在密切跟踪 IcedID 僵尸收集的活动后，趋向科技的研究人员发现其分发办法发作了一些严重改变。自 2022 年 12 月以来， 趋向科技检测到的名为TrojanSpy.Win64.ICEDID.SMYXCLGZIcedID变体滥用谷歌点击付费(PPC)告白，通过歹意告白进攻分发IcedID。

像谷歌告白如许的告白平台使企业可以向目标受寡展现告白，以进步流量和增加销售额。歹意软件分发者滥用同样的功用，利用一种被称为歹意告白的手艺，此中抉择的关键字被劫持，展现歹意告白，诱使毫无戒心的搜刮引擎用户下载歹意软件。

查询拜访发现，歹意行为者通过合法组织和出名利用法式的克隆网页利用歹意告白传布IcedID歹意软件。比来，美国联邦查询拜访局（FBI）发布了一份关于收集立功分子若何滥用搜刮引擎告白办事来模仿合法品牌，并将用户引向歹意网站以获取经济利益的警告。

下面将给出 IcedID 僵尸收集的新分发办法及其利用的新加载法式的手艺细节。

2. 手艺阐发

天然搜刮成果是由谷歌 PageRank 算法生成的，而谷歌告白则展现在天然搜刮成果的上方、旁边、下方或更凸起的位置。当那些告白被歹意行为者通过歹意告白手艺劫持时，它们可能会将用户引导至歹意网站。

2.1 目标品牌和利用

查询拜访发现 IcedID分发者劫持了以下品牌和利用法式关键字用于展现歹意告白：

Adobe -计算机软件公司

AnyDesk - 长途掌握利用法式

Brave Browser -收集阅读器

Chase Bank - 银行利用法式

Discord - 立即通信办事

Fortinet - 平安公司

GoTo - 长途掌握利用法式

Libre Office - Microsoft Office 的开源替代品

OBS Project - 流媒体利用法式

Ring - 家用闭路电视造造商

Sandboxie - 虚拟化/沙盒利用法式

Slack - 立即通信利用法式

Teamviewer - 长途掌握利用法式

Thunderbird - 电子邮件客户端

US Internal Revenue Service (IRS) – 美国联邦政府机构

面向受害者的歹意网站看起来就像合法网站一样。图1展现了一个看起来合法的歹意Slack网页，被IcedID分发者用来诱惑受害者下载歹意软件。

图1：IcedID分发者利用的看似合法的歹意Slack网页

展开全文

2.2 传染链

整个传染流包罗分发初始加载法式、获取机器人核心，并最末下载有效负载（凡是是后门）。

图2：IcedID僵尸收集歹意软件传染链

通过歹意告白传染：

1.用户在谷歌上输进搜刮词搜刮利用。在那个特定的例子中，用户想要下载AnyDesk利用法式，并在谷歌搜刮栏上输进搜刮词“AnyDesk”。

2.AnyDesk歹意告白手艺会使歹意网站展现在天然搜刮成果上方。

3.IcedID分发者滥用合法的Keitaro流量重定向系统（TDS）来过滤研究人员和沙盒流量，然后受害者被重定向到歹意网站。

4.用户抉择“下载”按钮后，它会在用户系统的 ZIP 文件中下载歹意的 Microsoft 软件安拆法式 （MSI） 或 Windows 安拆法式文件。

图3：IcedID僵尸收集歹意告白传染链

2.3 新的IcedID僵尸收集加载法式

在此活动中，通过 MSI 文件下载加载法式，那关于 IcedID 来说长短典型的。

安拆法式下载一些文件并通过 rundll32.exe 挪用“init”导出函数，然后施行歹意加载法式例程。

此“加载法式”DLL 具有以下特征：

做者利用了一个合法的 DLL，并利用最初一个序号处的“init”导出函数名称将单个合法函数替代为歹意加载法式函数。

IcedID 加载法式中每个合法导出函数的第一个字符将替代为字母“h”。

对歹意函数的引用是打过补钉的合法函数。

生成的歹意文件几乎与合法版底细同，那关于机器进修 （ML） 检测处理计划来说可能具有挑战性。

从外表上看，歹意的IcedID和合法的sqlite3.dll文件看起来几乎不异。图 4 展现了利用由平安研究员Karsten Hahn开发的PortEx Analyzer东西并排比力那些文件的成果。该东西容许我们快速可视化PE (portable executable)文件的构造，并评估文件的类似性。

图4：歹意 IcedID（左）和合法 PE（右）文件的可视化表达（利用 Karsten Hahn 的 PortEx Analyzer 东西）

因而能够假设那是针对两种歹意软件检测手艺的进攻:：

机器进修检测引擎

白名单系统

2.4 窜改DLL文件

不难发现，一些被修改为充任 IcedID 加载法式的文件是寡所周知且普遍利用的库。

表1：已被修改为充任 IcedID 加载法式的文件

DLL 名称

描述

tcl86.dll

ActiveState的TCL（东西号令语言）编程语言阐明器的库组件

sqlite3.dll

SQLite 数据库的库组件

ConEmuTh.x64.dll

远间隔治理器的插件

libcurl.dll

curl库

在sqlite3.dll 中，发现270 号（最初一个序号）处的 “sqlite3_win32_write_debug” 函数已被 IcedID 加载法式中的歹意 “init” 函数所代替。

上面列出的修改正的 DLL 文件都是如许：最初一个序号的导出函数被替代为歹意的“init”函数。

图5：修改正的IcedID文件（左）和一般（右）文件的比力，此中前者在最初一个序号的导出函数被替代为歹意的“init”函数

进一步伐查表白，两个文件的构造是不异的。

图6：修改正的IcedID文件和一般文件的比力，两个文件展现了不异的构造

2.5 施行

1.“MsiExec.exe”施行（父历程）（MITRE ID T1218.007 - 系统代码代办署理施行：msiexec）

2.生成“rundll32.exe”（MITRE ID T1218.011 - 系统代码代办署理施行：rundll32.exe）

3.“rundll32.exe” 通过 “zzzzInvokeManagedCustomActionOutOfProc” 运行自定义操做 “Z3z1Z” （MITRE ID T1218.011 - 系统代码代办署理施行：rundll32.exe）

4.自定义操做生成第二个“rundll32.exe”以运行具有“init”导出函数的 IcedID 加载法式“MSI3480c3c1.msi”（MITRE ID T1027.009 - 嵌进式有效负载和 T1218.011 - 系统代码代办署理施行：rundll32.exe）

图7：IcedID 加载法式施行链

图8：MSI自定义操做

图9：包罗自定义操做的 MSI 构造

3. 结论

IcedID是一个值得存眷的歹意软件家族，它可以传输其他有效载荷，包罗Cobalt Strike和其他歹意软件。IcedID 使进攻者可以施行高效的毁坏性进攻，从而招致整个系统遭受诸如数据失窃和瘫痪之类的讹诈进攻。歹意告白和躲避加载法式的利用提醒人们，为什么企业摆设分层平安处理计划很重要，那些处理计划包罗自定义沙盒、揣测性机器进修、行为监控以及文件和 Web 诺言检测功用。用户还能够考虑利用告白拦截器来搀扶帮助阻遏歹意进攻。

附录 MITRE ATTCK

ID

名称

描述

T1218.007

系统代码代办署理施行msiexec

lcedID是通过MSIExEC包交付的，该包施行歹意自定义操做来摆设lcelD 加载法式

T1218.011

系统代码代办署理施行rundll32.exe

歹意自定义操做挪用rundll32.exe来施行loelD加载法式

T1027.009

嵌进式有效载荷

进攻者将歹意函数嵌进到一般的DLL中，以阻遏检测手艺

END

参考链接：

编纂|张维泽

审校|何双泽、金矢

本文为CNTIC编译整理，不代表本公家号看点，转载请保留出处与链接。联络信息进进公家号后点击“关于我们”可见。