ICEDID 是一个恶意软件家族,由 IBM X-force 研究人员于 2017 年首次描述,它与盗窃登录凭据、银行信息和其他个人信息有关。ICEDID 一直是一个流行的家族,但自 2021 年初 EMOTET 临时中断以来,其发展更为迅猛。ICEDID 与包括 DarkVNC 和 COBALT STRIKE 在内的其他不同恶意软件家族的传播有关。包括本出版物在内的定期行业报告有助于缓解这种威胁。
Elastic 安全实验室分析了最近的 ICEDID 变体,该变体由加载程序和僵尸网络有效负载组成。通过向社区提供此端到端的研究,我们希望提高人们对 ICEDID 执行链的认识,突出其功能,并提供有关其如何设计的见解。
执行链
ICEDID 在通过计划任务建立持久性之前会采用多个阶段,并且可能会从 C2 动态检索组件。下图说明了 ICEDID 执行链的主要阶段。
研究论文概述
Elastic 安全实验室在 Elastic 安全实验室托管的详细研究论文中描述了最近 ICEDID 样本的完整执行链。此外,我们还对该恶意软件样本和功能进行了全面分析,包括: - 虚拟化检测和反分析 - C2 轮询操作 - Shellcode 执行方法 - 凭据访问机制 - Websocket 连接 - 安装 Web 浏览器代理以捕获所有用户流量 - 反向 Shell 和 VNC 服务器安装 - 证书固定 - 数据验证 - ICEDID 可观察 TTP - Elastic 的有用资源链接
检测和预防
检测逻辑
- 枚举管理员帐户
- 通过 RunDLL32 启动的命令 Shell 活动
- 使用 WMIC 的安全软件发现
- 从已安装的设备执行可疑操作
- Windows 网络枚举
- Rundll32 或 Regsvr32 加载的不常见 DLL 扩展
- 可疑的 Windows 脚本解释器子进程
- 带有不常见参数的 RunDLL32
预防(来源:https://github.com/elastic/protections-artifacts/)
- 恶意行为检测警报:命令 Shell 活动
- 内存威胁检测警报:Shellcode 注入
- 恶意行为检测警报:Rundll32 或 Regsvr32 加载的不常见 DLL 扩展
- 恶意行为检测警报:可疑的 Windows 脚本解释器子进程
- 恶意行为检测警报:带有不常见参数的 RunDLL32
- 恶意行为检测警报:从存档文件执行 Windows 脚本
YARA
Elastic 安全已创建多个与 ICEDID 感染中不同阶段/组件相关的 YARA 规则,这些规则可以在以下链接的签名中找到: - Windows.Trojan.ICEDID
Elastic 安全实验室是一个由专业研究人员和安全工程师组成的团队,致力于通过发布详细的检测逻辑、保护和应用威胁研究来破坏对手。
在 @elasticseclabs 上关注我们,或访问我们的研究门户以获取更多资源和研究。