【每日安全资讯】IBM X-Force发现新型银行木马IcedID

2017 年 11 月 18 日 Linux中国 安华金和

近日，IBM X-Force研究团队在一项针对最近一系列攻击美国金融机构的案例中发现了一款新型银行木马，并将其命名为“IcedID”，该银行木马目前似乎还正处于开发的初始阶段。

关于IBM X-Force

IBM X-Force安全团队是世界上最知名的商业安全研究团队之一。这些安全专家可监视并分析各种来源的安全问题，提供威胁情报内容并将其作为 IBM Security 产品服务组合的基础。此外，IBM X-Force还可以生成多项思想领先的安全研究资产，帮助客户、研究人员和公众更深入地了解最新的安全风险，提前预知新兴威胁。

新型银行木马IcedID

据悉，IcedID银行木马最早是由IBM的X-Force研究小组的研究人员在今年9月份发现的。研究人员表示，虽然这款木马目前看起来还处于开发的初级阶段，但它已经展示了很多先进的功能，完全可以与一些较老的和更复杂的银行木马相媲美，例如其在网络上传播，通过建立交通隧道的本地代理监控浏览器的活动能力等。

IcedID同时具备重定向攻击和Web注入攻击能力

研究人员表示，像TrickBoty银行木马和 Dridex银行木马类似，IcedID也可以使用Web注入（注入浏览器进程显示重叠在原页面上的虚假内容）和重定向攻击（安装本地代理将用户重定向到恶意网站）技术来执行窃取受害者的财务数据。

而IcedID的重定向方案并不是简单地将受害用户切换到另一个不同的URL网站上，而是精心设计了一个虚假的银行站点展现给受害者，使用到的策略包括：URL地址栏中显示合法银行的URL，以及银行正确的SSL证书，这是通过与真实的银行站点保持实时连接来实现的。

分析发现IcedID的重定向方案是通过配置文件来实现的。恶意软件监听着一组受害者可能会访问的目标URL的列表，一旦被命中，就会执行一个指定的Web注入，这样做能够将受害者重定向到一个预先设置好的与他最初想要访问的站点很相似的一个虚假的银行网站。

受害者在这个虚假的页面上提交自己的账户凭据，不知不觉中将自己的敏感信息发送到攻击者控制的服务器上。从这一点上可以看出，攻击者很好的利用了社会工程学的手段，有效的提高了受害者被骗的概率。

而在过去，只有Dridex（最先进的银行木马之一）被认为能够同时使用这两种攻击方式。当然，这主要是因为网络犯罪分子通常只会选择其中之一，并专注于完善他们的技术。

此外，研究人员还表示，IcedID具备从一个端点移动到另一个端点的能力，且具备感染终端服务器的能力，被感染的终端服务器通常为设备终端、打印机和共享的网络设备提供终端服务，只要这些端点只有连接到了一个共同的局域网（LAN）或广域网（WAN），这表明IcedID有能力从目标员工的电子邮件最终跨越到组织的终端设备。

IcedID银行木马借由Emotet银行木马进行传播

此外，根据IBM X-Force的调查结果显示，IcedID背后的犯罪组织正在通过Emotet（银行木马之一）使用的僵尸网络基础设施在已经被感染的计算机上传播IcedID。Emotet本身主要通过垃圾文件（包含恶意的宏函数）进行传播，一旦Emotet成功感染了终端，它会保持沉默，并为其他犯罪集团的操控的恶意软件服务。

【IcedID活动中感染和通信基础设施示意图】

据本周恶意软件行业的一位消息人士透露称，在过去的一年里，Emotet银行木马已经将业务重点从窃取受害者财务信息转向了恶意软件交付平台。

看起来，IcedID似乎是Emotet的最新客户之一，而且IcedID木马开发团队也正在使用Emotet的地理定位功能，仅在特定的国家/地区向受害者传送木马。

专有的远程注入面板

IcedID的运营商有一个专用的、基于Web的远程面板，使用用户名和密码组合进行登录，用于协调管理Web注入攻击的每个目标银行的网站。

网络罪犯们通常会在地下市场中购买这类Web注入面板，而IcedID木马所使用这种商业化的Web注入产品，可能是从别处购买到的，但也有可能IcedID本身就是一款商业化的恶意软件。不过，截至目前为止，还没有发现IcedID在地下或暗网市场被销售的迹象。

IcedID将目标定位于北美国家

根据IcedID样本中发现的配置文件类型结果显示，犯罪组织似乎将其目标定位为位于美国、加拿大和英国的用户。

在对配置文件进行深入分析后就会发现，IcedID可以针对银行、支付卡提供商、移动服务提供商、工资门户、网络邮件客户端和电子商务网站发起攻击。

更具体地说，IcedID的重定向攻击目标是支付卡和网络邮件网站，而Web注入攻击则针对了网上银行门户网站。虽然，IcedID针对的大多数银行门户网站都位于美国和加拿大，但也包括英国的两家银行。

IcedID具有粗糙的反虚拟机功能

对IcedID的样本进行动态分析，发现该恶意软件可以运行在安装了各种Windows操作系统的终端上。采取的反虚拟机（VM）或反取证分析技术包括：

需要重新启动才能完成全面部署，这样做可能是为了逃避沙箱（无法仿效重启）；

通过安全套接字层（SSL）进行通信，为通信添加一层安全性，并绕过了入侵检测系统的自动扫描。
研究人员断言，IcedID早就具备了反取证的功能。只是目前还不清楚，IcedID木马是最终的成品还是处于初期阶段的实验成果。无论怎样，我们或许将在未来几个月中看到它的活跃“表现”，以及它的创造者是否能在恶意木马领域站住脚跟。

点击查看完整报告：https://securityintelligence.com/new-banking-trojan-icedid-discovered-by-ibm-x-force-research/

*参考来源：bleepingcomputer，米雪儿编译，来自FreeBuf.COM

更多资讯

◈ 理财APP出故障男子利用漏洞转账350余次套现上千万

http://t.cn/RjYyWj1

◈ 白宫谈网络漏洞政策处理级别不亚于实体军事武器

http://t.cn/RjYylbX

◈ IBM 推出 Quad9 公共 DNS 服务

http://t.cn/RjYyll8

◈ 湘鄂多所高校官网泄露学生隐私校方:将吸取教训

http://t.cn/RjYyjhX

（信息来源于网络，安华金和搜集整理）