IcedID和Trickbot兩大惡意軟體家族相互協作

自2017年9月發現以來，銀行木馬IcedID一直很活躍。今年上半年，它也被其它知名的銀行木馬家族分發，如Emotet和Ursnif。使用這種方案，分散式惡意軟體系列可以增加其傳播潛力。這種行為有兩種可能的動機。其一，它允許downloader（在本案例中也是銀行特洛伊木馬）執行自己的網路犯罪操作，同時通過向他們的親屬提供分發服務而獲利。其二，不同惡意軟體服務的訂戶可能只是想通過用多種惡意軟體攻擊轟炸他們的受害者來增加提取有價值信息的機會。

FortiGuard實驗室最近發現了一個Trickbot』s 的C2（命令和控制）伺服器向受害者發送命令，指示其bot下載IcedID銀行特洛伊木馬的最新版本。

在快速了解IcedID的行為後，發現它已經更新，因此現在它與Trickbot非常相似。在本文中，通過我們的分析，概述在這個新變體中觀察到的重大變化。我們將在另一篇提供更多詳細信息的文章對此進行跟進。

一、Trickbot——給予者

Trickbot和IcedID之間的合作最初是在FortiGuard實驗室的Kadena威脅情報系統（KTIS）中觀察到的，我們的bot跟蹤系統捕獲了Trickbot發送命令下載名為crypt_2_100_1.exe的新可執行文件。

圖1. KTIS Trickbot Tracker下載示例

Trickbot C2發送給受感染的客戶端命令代碼如下所示：

·1 – Keep Alive

·42 – 下載二進位並通過CreateProcess執行

·62 – 下載插件組件並注入svchost

·92 – 刪除文件

命令ID 42帶有編碼的base64數據，解碼後包含下載二進位文件的URL的細節。

圖2顯示了下載二進位文件的實際Trickbot命令，該文件被證明是IcedID銀行特洛伊木馬。

圖2. Trickbot C＆C命令

據我們所知，這個新版本的IcedID目前還沒有大規模分發。在兩周前看到Trickbot命令下載此惡意軟體之後，我們沒有再看到該請求，也沒有看到它與其他分發方法一起出現。

二、IcedID——接受者

文件名和目錄名混淆

在轉到其主要有效載荷之前，此IcedID變體首先解密包含bot ID，affiliate ID和C2域名在內的C&C（命令和控制）配置。請注意，在此部分中，其進程已在svchost.exe上注入。此惡意軟體所做的下一件事是根據其域SID信息生成受感染計算機的唯一ID。如果無法獲取此信息，則使用系統日期時間。

圖3.生成唯一ID的函數

此唯一ID還用作為目錄和文件名、事件名稱、共享內存映射名稱等生成字元串的key。也用作RC4密鑰，用於加密下載的模塊以及將存儲在受感染模塊中的其他組件。

安裝目錄也已更改為CommonAppData（例如C:ProgramData）。IcedID創建一個目錄釋放自身的副本，另一個目錄釋放其下載的模塊和其他組件。然後，使用唯一ID和硬編碼值作為種子，通過自定義演算法生成目錄和文件名。

圖4.加密和釋放組件

圖5.安裝目錄

客戶端伺服器通信

與以前的版本一樣，受感染客戶端和C2伺服器之間的所有通信都通過HTTPS協議進行保護。 POST流量的顯著變化是添加了URI參數「g」，它引用了請求ID。簡而言之，此ID表示應在C2端執行哪些操作。此參數初始值為「2」以發送新的感染報告。下圖顯示了發送新感染報告時IcedID的通信。

圖6. IcedID C&C通信

下面是發送到C＆C的消息的細節：

·g - 命令ID

·c - 客戶ID（Bot ID +唯一ID）

·a - 會員ID

·f - 用戶名

·h - 計算機名

·m - 是管理員還是域控制器

·j - Cpuid

可能的值：

·

·0x04 to 0x07 – VMWare

·0x08 to 0x0B – XenVM

·0x10 to 0x13 – MicroVM

·0x20 to 0x23 – KVMK

·0x80 to 0x83 – Vbox

·s - 操作系統版本

發送報告後，C2響應一條多行消息，其中包含將在受感染機器上執行的一系列功能。在我們的觀察中，每行最多包含由分號分隔的三個元素。讓我們仔細看看下面顯示的C2響應之一。

圖7. C&C響應

與Trickbot類似，此IcedID變體使用命名事件來同步執行核心及其載入模塊。注入後，為這些模塊分配事件名稱（ID）。第一個元素指定執行該函數的模塊的ID，在本例中，「0」表示核心模塊。第二個元素是指模塊要執行的函數的索引。第三個元素是指定函數的參數。

下載和執行IcedID模塊

此更新的IcedID變體實現了一個與Trickbot非常相似的新方案。一個值得注意的更新是將二進位模塊注入不同進程之中。在以前的版本中，這些模塊嵌入在其主文件中。在這個新變體中，最初只有控制惡意軟體執行的核心模塊位於受害者系統中。從C2伺服器請求並下載其它模塊。這顯著降低了其初始文件大小，同時也增加了其靈活性。

回顧上一節C2的響應，在命令塊「0; 1; 2」中，索引為「1」的函數負責從C2伺服器下載二進位模塊。在執行此功能期間，功能參數（第三個元素）指的是要下載的模塊的ID，此值從「2」增加「32」，其結果作為GET方法請求中的「g」參數傳遞給C2。下面的圖8顯示了用於從惡意軟體C2下載不同模塊的URI的示例。

圖8. 下載模塊的URI示例

如果請求成功，則C2返回RC4加密的數據，前8個位元組包含用於解密的密鑰。此數據包含要注入新svchost.exe進程的二進位模塊。

圖9. 解密模塊的內存轉儲

看一下解密模塊的兩個轉儲，我們已經有了一些關於模塊意圖的提示。我們將在後續文章中更詳細地討論IcedID的模塊及其功能。

解密並載入模塊後，此模塊使用RC4密碼進行加密，使用唯一ID作為密鑰。加密的模塊放到其安裝目錄中。通過這種方式，即使以某種方式發現模塊，如果沒有生成的唯一ID，也無法輕易解密。該技術將IcedID與Trickbot區分開來，後者在釋放其模塊時沒有對文件內容進行加密或對文件名混淆。

三、總結

我們觀察到網路犯罪格局的重大轉變。銀行特洛伊木馬通過在受害者系統中殺死彼此進程競爭的日子已經一去不復返了。除了IcedID和Trickbot之外，還有其他一些報告涉及不同銀行木馬在分發方面的合作。

然而，本案例情況特別特殊，因為這兩個惡意軟體家族不僅通過分發相互支持。正如我們的分析所示，他們也可能在開發方面合作，正如他們的行為相似性所表明的那樣。

IcedID在模塊載入和分發方面已經改進。它現在與Trickbot非常相似，並且由於添加了文件內容加密和文件名混淆，規避性更好。

與以往一樣，FortiGuard Labs（以及我們的Cyber Threat Alliance (CTA) counterparts）將繼續監控此惡意軟體協作。

IOC:

Download URL:

hxxp://whoulatech[.]com/crypt_2_100_1[.]exe

Sample (SHA256):

C2:

whoulatech[.]com

fillizee[.]com

efiging[.]com

entabor[.]com

aboupir[.]com

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！