對ICLoder惡意活動原理進行分析

研究人員發現一些分發活動是從2017年底開始的。本文中重點關注ICLoder（FusionCore ，PUA_ICLOADER），一個老一點的PUA軟體下載器。許多安全廠商都將ICLoader報告為PUA軟體下載器，因為會下載廣告軟體和用戶不想安裝的軟體。

與大多數威脅一樣，ICLoader逐步發展並適應當前的威脅場景。2017年，它開始推送不同的殭屍網路、加密貨幣挖礦機、和新出現的GandCrab勒索軟體。彈窗廣告被用於在文件共享網站上和數百個虛假的軟體共享網站上分發惡意軟體（截至撰文，所有的網站仍在運行中）。ICLoader的攻擊目標看起來是那些在尋找特定軟體的用戶，因為彈窗廣告位於軟體分享網站。

傳播活動

在追蹤這個傳播活動時，研究人員發現3種分發ICLoader的源。一種是免費的文件分享網站上的彈窗廣告。這些文件分享網站允許用戶上傳自己的文件，然後分析給其他用戶一個鏈接。當用戶在頁面上點擊下載按鈕時會出現彈窗廣告。

ICLoader會用彈窗廣告作為安裝的誘餌。當用戶點擊下載按鈕時，彈窗廣告會開啟一個惡意鏈接的新窗口，該鏈接會將用戶導向ICLoder下載頁面。而用戶以為這些文件也是文件共享網站上的真實文件。點擊惡意鏈接就會下載安裝ICLoader，ICLoader會釋放惡意軟體或其他受害者不想要的應用到受害者的設備上。

圖1. 文件共享網站上的彈窗廣告將用戶導向ICLoader下載頁

研究人員還發現這些站點和下載按鈕的圖片都是與嵌入多個站點的短URL相關的。可以得出結論站點所有者可能在用短URL來統計訪問站點的用戶數量。研究人員追蹤了最早的一個短URL鏈接，發現從2015年起有超過5000萬的訪問量。最近創建的短URL每周也有30萬的訪問量。

圖2. 自2015年起訪問假的軟體共享網站的數據量

除了軟體下載網站，還有兩個假的種子共享網站也在傳播ICLoader，種子下載網站上所有的種子站點都指向ICLoader下載頁面。

圖3. 假的文件共享網站（左）和模擬種子站點（右）

ICLoader工作原理

一旦點擊，惡意鏈接會將用戶通過流量管理伺服器導向ICLoader下載頁面，然後釋放ICLoader軟體到設備上。從ICLoader伺服器下載的文件通常是一個含有ICLoader的zip壓縮文件。有時候，下載的也可能是個種子文件，但是用下載後仍然是ICLoader的壓縮包。

研究人員發現ICLoader每次從伺服器下載後的哈希值都不同。

圖4. 從彈窗廣告、軟體共享網站和種子共享網站的流量匯總

ICLoader文件名與受害者想要下載的軟體名相同，這也是為了讓受害者相信下載的軟體是合法的。一旦受害者執行ICLoader文件，就會看到軟體安裝指令和步驟。研究人員發現，所有的PUA軟體都是用有效的COMODO證書籤名的。

安裝完成後，ICLoader就會開始下載和安裝合法軟體。但在安裝完成前，仍會與C&C伺服器通信並接收其他的惡意文件。然後在未經用戶同意的情況下，在受害者設備上安裝其他的文件。

ICLoader早期版本的C&C伺服器的域名含有.ru或僅僅只有一個IP地址。但是近期的版本開始使用AWS來作為伺服器。ICLoader C&C和文件下載流量的模式中含有一個HTTP代理字元串「Christmas Mystery」，如圖5。

圖5. ICLoader C&C流量模式

ICLoader推送的其他惡意軟體

ICLoader還會推送廣告軟體和無用的軟體，但下載器會釋放惡意軟體。研究人員發現ICLoader之前安裝的惡意軟體都是其他殭屍網路、加密貨幣挖礦和GandCrab勒索軟體安裝或載入的惡意軟體。

圖6. 下載的X86和X64版本的加密貨幣挖礦機數量

2018年2月發現的ICLoader版本，研究人員發現它安裝了一個未知的載入器（PUA_INERINO），PUA_INERINO會下載最先的勒索軟體GandCrab並感染用戶。GandCrab是通過假的字體更新、社會工程、惡意垃圾郵件和漏洞利用套件進行傳播的。

根據從C&C伺服器收集的信息，研究人員發現這是一個叫做iNerino的惡意軟體載入器。該載入器與一個俄羅斯論壇的殭屍網路按照安裝量付費服務相關聯。在對ICLoader的研究中，研究人員發現多次安裝了iNerino。每次載入器會安裝不同的惡意軟體和殭屍網路，比如SmokeLoader和AZORult。這些殭屍網路經常會安裝加密貨幣挖礦機。

值得注意的是iNerino是從ICLoader釋放的，也是由Rig利用套件推送的。iNerino的開發者可能向ICLoader和Rig利用套件的開發者支付了費用，因此會有上面提到的推送服務，這種付費服務也稱為安裝器。

圖7. 2月26日Rig利用套件推送的iNerino載入器

圖8. 俄羅斯論壇的iNerino廣告

注意事項

除了ICLoader外，還有很多的PUA下載器會利用類似的原理去安裝惡意軟體。用戶在點擊下載等按鈕時應該注意，或者只從可信源下載和執行應用程序。及時更新系統和打補丁可以解決一些潛在的利用漏洞問題。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！