У свету у коме се све управља на мрежи можемо видети да су сви наши подаци у сталној безбедносној променљивој која увек има тенденцију да буде рањива због хиљада напада који се извршавају на вебу.
Већина нас често обавља комерцијалне трансакције путем Интернета гдје су у питању наши лични подаци, бројеви банковних рачуна, бројеви кредитних картица и друго, што ову ситуацију чини осјетљивом сигурносном ситуацијом, јер ако информације дођу у погрешне руке, можемо бити у озбиљним тешкоћама.
Безбедносни аналитичари, посебно у погледу злонамерног софтвера, открили су нову претњу, а то је банкарски тројанац по имену ИцедИД, који је тренутно у раној фази развоја. Солветић ће анализирати како ова нова претња делује како би предузео неопходне мере безбедности.
Како је откривен овај злонамерни софтвер
Истраживачка група ИБМ Кс-Форце непрестано анализира и прати поље финансијског сајбер криминала како би открила догађаје и трендове који обликују пејзаж пријетњи како на нивоу организација тако и за финансијске потрошаче, који збрајају милионе.
Након годину дана која је била веома активна у погледу банкарског злонамерног софтвера, са нападима попут малвера са продајног места (ПОС) и напада рансомваре-а попут ВаннаЦриа, тим Кс-Форце-а идентификовао је новог, природно активног банкарског тројанца под називом ИцедИД .
Према истраживању које је спровела група Кс-Форце, нови банкарски тројанац појавио се у септембру 2021-2022, када су покренуте прве пробне кампање. Истраживачи су приметили да ИцедИД поседује модуларни злонамерни код са савременим банкарским тројанским могућностима упоредивим са злонамерним софтвером као што је Зеус Тројанац. Злонамерни софтвер тренутно циља банке, пружаоце платних картица, пружаоце мобилних услуга, платне спискове, веб пошту и веб локације за е-трговину у САД-у, а две велике банке у Великој Британији такође су на листи циљева које малвер постиже.
Чини се да ИцедИД није позајмио код од других познатих тројанаца, али имплементира идентичне функције које му омогућавају извођење напредних тактика неовлашћеног прегледавања прегледача. Иако су могућности ИцедИД -а већ једнаке способностима других банкарских тројанаца, као што су Зеус, Гози и Дридек, очекује се да ће у наредним недељама доћи још ажурирања овог злонамерног софтвера.
Злонамерни софтвер се проширио
Анализа групе испоруке злонамерног софтвера ИцедИД групе Кс-Форце указује на то да оператери нису нови у области сајбер криминала и да су одлучили да заразе кориснике путем Емотет тројанца. Истрага Кс-Форце претпоставља да је актер претње, или мали сајбержанр, ове године користио Емотет као операцију дистрибуције банковних тројанаца и другог кода злонамерног софтвера. Најистакнутија зона напада Емотета су САД У мањој мери циљају и кориснике у Великој Британији и другим деловима света.
Емотет је наведен као један од значајних метода дистрибуције злонамерног софтвера у периоду 2021.-2022., Који служи елитним источноевропским групама за сајбер криминал, попут оних којима управљају КакБот и Дридек. Емотет се појавио 2014. године након цурења оригиналног изворног кода за Бугат Тројан. Првобитно је Емотет био банкарски тројанац који је претходио Дридеку. Као такав, дизајниран је за акумулацију и одржавање ботнета. Емотет остаје на рачунару, а затим добија додатне компоненте, као што су модул за нежељену пошту, модул мрежног црва и крађа лозинке и података за Мицрософт Оутлоок е -пошту и активности прегледача корисника.
Сам Емотет долази путем малспам -а, обично у манипулисаним датотекама продуктивности које садрже злонамерне макрое. Једном када Емотет инфицира крајњу тачку, постаје тихи становник и оперише се да служи злонамерним софтвером од других сајбер криминалаца, а да их једноставно не открије. ИцедИД може извести нападе који краду финансијске податке од корисника путем напада преусмеравања, који инсталирају локални проки за преусмеравање корисника на клонирање веб локација, и нападе убризгавања веба, са овом методом процес претраживача се убризгава како би приказао лажни садржај на врху оригинала страницу која се претвара да је поуздана веб локација.
ИцедИД ТТПТТП -ови (тактике, технике и поступци - тактике, технике и процедуре) ИцедИД -а имају низ елемената који се морају узети у обзир и узети у обзир када се говори о овом злонамерном софтверу. Поред најчешћих тројанских функција, ИцедИД има могућност ширења по мрежи, а једном тамо, надгледа активности жртве на мрежи конфигуришући локални проки за тунел за саобраћај, што је концепт који подсећа на ГоотКит тројанац. Њихова тактика напада укључује нападе путем веб -ињекције и софистициране нападе преусмеравања сличне шеми коју користе Дридек и ТрицкБот.
Пропагирање у мрежи
Оператори ИцедИД-а намеравају да се усредсреде на посао јер су злонамерном софтверу од почетка додали модул за ширење мреже. ИцедИД поседује могућност преласка на друге крајње тачке, а истраживачи Кс-Форце-а су такође приметили да инфицира терминалне сервере. Терминални сервери обично пружају, како назив говори, терминале, попут крајњих тачака, штампача и дељених мрежних уређаја, са заједничком тачком повезивања на локалну мрежу (ЛАН) или мрежу широког подручја (ВАН), што сугерише да је ИцедИД већ преусмерио е -пошту запослених на земљу на организационим тачкама продужавајући њен напад.
На следећој слици можемо видети мрежне функције ширења ИцедИД-а, из ИДА-Про:
Да би пронашао друге кориснике које треба заразити, ИцедИД тражи Лагани протокол за приступ именику (ЛДАП) са следећом структуром:
ИцедИД ТТП -ови за финансијске преваре укључују два начина напада
- Вебињецтион напади
- Преусмеравање напада
Да би то учинио, злонамерни софтвер преузима конфигурациону датотеку са сервера за команду и контролу тројанаца (Ц & Ц) када корисник отвори Интернет прегледач. Конфигурација укључује циљеве за које ће се покренути напад убризгавањем веба, углавном банке и друге мете које су биле опремљене нападима преусмеравања, као што су платне картице и веб локације за пошту.
ИцедИД корисни терет и технички детаљи
Истраживачи Кс-Форце-а спровели су динамичку анализу узорака злонамерног софтвера ИцедИД, а одатле се малвер распоређује на крајње тачке са различитим верзијама оперативног система Виндовс. Чини се да не поседује напредне анти-виртуелне машине (ВМ) или технике против истраге, осим следећег:
Захтева поновно покретање да би се довршила потпуна примена, могуће и заобилажење песковника који не опонашају поновно покретање. Комуницира преко слоја сигурних утичница (ССЛ) ради додавања слоја сигурности комуникацијама и избегавања аутоматизованих скенирања помоћу система за откривање упада.
Овом операцијом истраживачи Кс-Форце-а тврде да се анти-форензичке функције могу применити на овог тројанца током времена.
ИцедИД се имплементира на циљне крајње тачке користећи Емотет тројанац као мрежни пролаз. Након поновног покретања, корисни терет се уписује у фасциклу% Виндовс ЛоцалАппДата% са вредношћу коју генеришу неки параметри оперативног система. Та вредност се користи и у путањи имплементације и у вредности РунКеи за датотеку.
Потпуна конвенција за вредност је:
% ЛОЦАЛАППДАТА% \ [а-з] {9} \ [а-з] {9} .еке Ц: \ Усерс \ Усер \ АппДата \ Лоцал \ евонлиарл \ евонлиарл.еке ХКЦУ \ Софтваре \ Мицрософт \ Виндовс \ ЦуррентВерсион \ Рун \ евонлиарлЗлонамерни софтвер успоставља свој механизам постојаности стварањем РунКеи -а у наведеном регистру како би осигурао опстанак након догађаја поновног покретања система. Након тога, ИцедИД уписује РСА кључ за шифровање система у фасциклу АппДата. Злонамерни софтвер може писати на овај РСА кључ током рутине имплементације, што би могло бити повезано са чињеницом да се веб саобраћај усмерава кроз ИцедИД процес чак и када се ССЛ саобраћај усмерава.Привремена датотека је написана према следећој конвенцији:% ТЕМП% \ [А-Ф0-9] {8} .тмп.
Ц: \ Корисници \ Корисник \ АппДата \ Роаминг \ Мицрософт \ Црипто \ РСА \ С-1-5-21-2137145731-2486784493-1554833299-1000 \ фдбе618фб7еб861д65554863фц5да9а0_883ф9а43-а12ц-410ф-б47д-б \ дбд \ бдб \ бдд \ бд \ бд \ бд \ бд \ бд \ бд \ бд \ бд Темп \ ЦАЦЦЕФ19.тмпИцедИД процес наставља да ради, што је ретко за малвер. То би могло значити да се неки делови кода и даље поправљају и овај проблем ће се променити у следећем ажурирању.
Процес примене се овде завршава, а злонамерни софтвер ће наставити да ради у оквиру програма Екплорер до следећег поновног покретања те крајње тачке. Након догађаја поновног покретања, корисни терет се извршава и ИцедИД тројанац постаје резидент на крајњој тачки. У овом тренутку, компоненте злонамерног софтвера су постављене да почну преусмеравати Интернет саобраћај жртве преко локалног проксија који она контролише.
Како ИцедИД преусмерава веб саобраћај жртве
ИцедИД конфигурише локални проки да слуша и пресреће комуникацију са крајње тачке жртве и преусмерава сав Интернет саобраћај кроз њу у два скока. Прво, саобраћај се преноси на локални сервер, лоцалхост, (127.0.0.1) преко порта 49157, који је део динамичких и / или приватних ТЦП / ИП портова. Друго, злонамерни процес злонамерног софтвера слуша на том порту и ексфилтрира релевантну комуникацију на ваш Ц&Ц сервер.
Иако је недавно развијен, ИцедИД користи нападе преусмеравања. Шема преусмеравања коју користи ИцедИД није једноставно предаја другој веб локацији са другачијом УРЛ адресом, већ је дизајнирана тако да изгледа што је могуће транспарентније жртви.
Ове тактике укључују приказивање легитимног УРЛ -а банке у адресној траци и исправног ССЛ сертификата банке, што је могуће одржавањем активне везе са стварном веб локацијом банке тако да немамо начина да откријемо претњу. Шема преусмеравања ИцедИД -а имплементирана је кроз њену конфигурацијску датотеку. Злонамерни софтвер слуша циљну УРЛ адресу на листи и, након што пронађе окидач, покреће одређену веб ињекцију. Ова вебињекција шаље жртву на лажну банкарску страницу која је унапред конфигурисана тако да одговара првобитно траженој веб локацији симулирајући њено окружење.
Жртва је преварена да представи своје акредитиве на реплици лажне странице, која их несвесно шаље на сервер нападача. Од тог тренутка, нападач контролише сесију кроз коју жртва пролази, која обично укључује друштвени инжењеринг како би преварила жртву у откривању ставки ауторизације трансакција.
Комуникација са злонамерним софтвером
ИцедИД комуникација се остварује путем шифрованог ССЛ протокола. Током кампање анализиране крајем октобра, злонамерни софтвер је комуницирао са четири различита Ц&Ц сервера. Следећи графикон приказује шематски приказ комуникационе и инфективне инфраструктуре ИцедИД:
ЕНЛАРГЕ
Да би пријавио нове инфекције ботнету, ИцедИД шаље шифровану поруку са идентификацијом бота и основним системским подацима на следећи начин:
Декодирани делови порука приказују следеће детаље који се шаљу у Ц&Ц
- Б = ИД бота
- К = Назив тима
- Л = Радна група
- М = верзија оперативног система
Панел за даљинско убризгавање
Да би организовали нападе путем вебињекције за сваку веб локацију циљне банке, ИцедИД оператори имају наменски даљински панел заснован на вебу доступан са комбинацијом корисничког имена и лозинке идентичној оригиналној банци.
Плоче за убризгавање на вебу често су комерцијалне понуде које криминалци купују на подземним тржиштима. Могуће је да ИцедИД користи комерцијални панел или да је ИцедИД комерцијални злонамерни софтвер. Међутим, у овом тренутку нема назнака да се ИцедИД продаје на подземним или Дарк Веб тржиштима.
Панел за даљинско убризгавање ће изгледати овако:
Као што можемо видети, од корисника се тражи да унесе своје акредитиве као што то чини на уобичајен начин на веб страници своје банке. Панел поново комуницира са сервером заснованим на ОпенРести веб платформи. Према службеној веб страници, ОпенРести је дизајниран да помогне програмерима да лако креирају скалабилне веб апликације, веб услуге и динамичке веб портале олакшавајући њихово ширење.
Како се заштитити од ИцедИД -а
Истраживачка група Кс-Форце саветује примену безбедносних закрпа на прегледачима, а они су сами спровели следећи процес:
Интернет претраживач
Повежите ЦреатеПроцессИнтерналВ ЦертГетЦертифицатеЦхаин ЦертВерифиЦертифицатеЦхаинПолици
Фирефок
нсс3.длл! ССЛ_АутхЦертифицатеХоок
Други претраживачи
ЦреатеПроцессИнтерналВ ЦреатеСемапхореА
Иако је ИцедИД још у процесу ширења, не зна се са сигурношћу какав ће утицај имати широм света, али идеално је бити корак испред и предузети неопходне мере безбедности.
