وريث زيوس: لماذا يُعد تطبيق IcedID Trojan خطرًا على عملاء البنوك

قام خبراء Group-IB بتحليل هجمات Trojan التي تهاجم عملاء البنوك الأمريكية وجعلوا نتائج التحليل العميق لتنسيق بيانات التكوين الديناميكي باستخدام نصوص Python والمعلومات على خوادم CnC متاحة للجمهور.


في نوفمبر 2017 ، نشر فريق من الباحثين من IBM X-Force تقريرًا عن حصان طروادة جديد - IcedID ، والذي يستهدف بشكل أساسي عملاء البنوك الأمريكية. يحتوي البوت على العديد من ميزات برنامج زيوس الخبيث سيئ السمعة ، بما في ذلك: تنزيل وتشغيل الوحدات النمطية ، وجمع بيانات المصادقة وإرسالها إلى الخادم ، ومعلومات عن الجهاز المصاب ، وتنفيذ هجوم رجل في المتصفح (MITB). على الرغم من حقيقة أن حصان طروادة الجديد تبين أنه مشابه لمصرفيين مشهورين آخرين - Trickbot ، GOZI ، Dridex ، الذين يهاجمون عملاء البنوك بنشاط ، يستخدم IcedID تنسيقًا ثنائيًا غير قياسي لتخزين بيانات التكوين. ميزة أخرى مميزة لهذا البرنامج الضار هي القدرة على نشر خادم وكيل مباشرة على الجهاز المصاب لإجراء هجوم MITB.

النص: إيفان بيساريف ، أخصائي تحليل البرمجيات الخبيثة للمجموعة- IB

على الفور ، IcedID ليس منتشرًا جدًا مقارنة بأحصنة طروادة الأخرى ، ولكن لديه الآن وظائف كافية لتحقيق أهدافه ، والتي تعد سرقة أوراق اعتماد الضحية هي الأساس. يمكن تحقيق ذلك بعدة طرق ، بدءًا من السرقة العادية للملفات وإدخالات التسجيل من جهاز كمبيوتر مصاب ، وانتهاءً باعتراض وتغيير حركة مرور المتصفح المشفرة (هجوم man-in-the-browser).

في حالة IcedID ، سرقت البيانات من الحسابات: Windows Live Mail و Windows Mail و RimArts و Poco Systems Inc و IncrediMail و The Bat! و Outlook. يتم تنفيذ هجوم MITB باستخدام خادم وكيل ، والذي يلتقط حصان طروادة على جهاز مصاب ، وبالتالي يمر كل حركة مرور الشبكة من خلاله وتعديله. يحتوي IcedID أيضًا على وحدة معالجة أوامر الخادم التي تتيح لك تنزيل الملف وتشغيله عن بُعد (على سبيل المثال ، في الحالة قيد الدراسة ، قام النموذج بتحميل وحدة VNC ، التي يحتوي رمز البرنامج على أقسام مماثلة من التعليمات البرمجية باستخدام IcedID).

يعد استخدام خادم وكيل لـ MITB سلوكًا غير معتاد لهذا النوع من أحصنة طروادة. في كثير من الأحيان ، يتم تضمين البرامج الضارة في سياق المستعرض واستدعاءات الوظائف المعاد توجيهها من المكتبات القياسية إلى وظائف المعالج (على سبيل المثال: WinHttpConnect () و InternetConnect () و InternetReadFile () و WinHttpReadData () ، وما إلى ذلك). سابقًا ، تم استخدام خدعة الوكيل بالفعل في GootKit .

تم توزيع IcedID باستخدام برنامج ضار آخر ، Emotet (غالبًا ما يتم استخدامه حاليًا كمحمل إقلاع ، على الرغم من أنه يحتوي على وظائف متقدمة) وقد تضمن بالفعل في البداية قائمة شاملة من الأساليب الحديثة لسرقة بيانات المستخدم.

الآن لدى طروادة آليات مكافحة تحليل ضعيفة إلى حد ما (تشفير السلسلة ، رأس تالف) وليس لديها طرق للكشف عن الجهاز الظاهري. من وجهة نظر الباحث ، لا تزال البرامج الضارة قيد التطوير وستتم إضافة آليات الحماية هذه لاحقًا.

لم يكتشف نظام المخابرات السيبرانية Group-IB Threat Intelligence مبيعات IcedID في المنتديات المواضيعية ، مما يعني إما ظهور مجموعة جديدة في ساحة أحصنة طروادة المصرفية أو بيع طروادة عبر القنوات الخاصة. تقع أهداف الروبوت ، استنادًا إلى بيانات التكوين الديناميكي (المشار إليها فيما يلي باسم التكوينات) ، بشكل أساسي في الولايات المتحدة الأمريكية.


تتضمن هذه المقالة تحليلاً مفصلاً لتروجان ، وتحليلاً عميقًا لصيغة التكوينات الديناميكية مع نصوص Python ، ومعلومات عن CnC.

الجزء الفني

وصف عام لعمل حصان طروادة

في البداية ، يتم تشفير قسم البيانات. من حصان طروادة. بادئ ذي بدء ، بعد تشغيله ، يقوم بفك تشفير القسم وفقًا للخوارزمية:


يقع المتغيران في البداية و size_seed في بداية قسم البيانات (أول 8 بايتات من القسم) ، وبعد ذلك يتم العثور على بيانات مشفرة بحجم بايت. تعتبر الدالة make_seed () دالة فريدة لإنشاء أرقام عشوائية زائفة لـ IcedID ، والتي سنعود إليها أكثر من مرة. يمكنك العثور على نسخة Python من الوظيفة هنا .

في البداية ، يحتوي البوت على سلاسل مشفرة. لتسهيل التحليل ، تم فك نص برمجي لـ IDA Pro لفك تشفير السلاسل (يجب عليك إدراج عنوان وظيفة فك التشفير في عينتك).

الخطوة التالية هي إضافة معالج استثناء باستخدام دالة SetUnhandledExceptionFilter () . في حالة حدوث أي استثناء أثناء تشغيل التطبيق ، يتم إعادة تشغيله ببساطة.

بعد إضافة معالج الاستثناء ، يجمع حصان طروادة معلومات حول النظام المصاب:

1. إصدار نظام التشغيل
2. رقم إصدار نظام التشغيل
3. إصدار حزمة الخدمة
4. سعة النظام
5. نوع نظام التشغيل

يقوم التطبيق بإنشاء واصف أمان: D: (A ؛؛ GA ؛؛؛ WD) (A ؛؛ GA ؛؛؛ AN) S: (ML ؛؛ NW ؛؛؛ S-1-16-0) ، ثم يخصص ذاكرة لتسجيل المعلومات أثناء تشغيل حصان طروادة. مثال على السلاسل المسجلة (تم الحصول على السلاسل باستخدام برنامج نصي في IDA):

1. E | C | IN | INS | ISF | CP٪ u
2. I | C | IN | INT | CI | ٪ u
3. W | C | IN | INT | CI | CRLL

يمكن أن يأخذ IcedID عدة معلمات. من بينها:

• --svc = - يحفظ السلسلة من المعلمة إلى التسجيل عن طريق المفتاح بالاسم IcedID_reg ("* p *") ، حيث IcedID_reg (str) هي وظيفة توليد اسم المفتاح من السلسلة النصية ( سيتم وصف خوارزمية إنشاء أسماء مفاتيح التسجيل لاحقًا) ، وبعد ذلك يصل حصان طروادة إلى حدث باسم Global \ <٪ String of random random٪> . في حالة حدوث خطأ ، يقوم البوت بإنشاء نسخة من العملية باستخدام المعلمة / w = . إذا تعذر ذلك ، فإنه ينشئ قيمة في التسجيل:

HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ <٪ سلسلة بطول 9 من أحرف عشوائية في الأبجدية [az]٪>

وبالتالي ضمان الثبات في النظام. هذا المفتاح مخصص لإطلاق حصان طروادة.

• / u - بشكل افتراضي ، تحاول البرامج الضارة تشغيل نفسها كمسؤول مجال (باستخدام برنامج runas ). في حالة وجود هذه العلامة ، لا يقوم حصان طروادة بهذه العملية ويقوم ببساطة بإنشاء نسختها في الدليل C: \ Users \ <٪ username٪> \ AppData \ Local \ <٪ سلسلة من الطول 9 من الأحرف العشوائية من الأبجدية [az]٪> بالاسم <٪ سلسلة بطول 9 من أحرف عشوائية من الأبجدية [az]٪>. Exe ، ويكتب المسار إلى الملف في التسجيل ، وبالتالي ضمان الثبات في النظام.

HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ <٪ سلسلة بطول 9 من أحرف عشوائية في الأبجدية [az]٪>

يبدو أن هذا المفتاح يستخدم عند تحديث مصرفي. قبل إعادة تشغيل حصان طروادة "ينام" لمدة 5 ثوان.

• / ج - قبل تنفيذ الوظائف الخبيثة ، "طروادة تغفو" لمدة 5 ثوان
• / w = - حفظ سلسلة من المعلمة إلى التسجيل عن طريق المفتاح باسم IcedID_reg ("* p *")

بعد معالجة المعلمات ، يصل التطبيق إلى التسجيل ويخرج بيانات التكوين الديناميكي التي تحتوي على عناوين CnC ، بالإضافة إلى إدخال الويب. يتم وصف تنسيق تخزين البيانات في التسجيل في الأقسام التالية.

بعد الوصول إلى التسجيل ، يقوم البرنامج بإنشاء مؤشر ترابط يتصل بـ CnC مرة واحدة كل 5 أو 10 دقائق (حسب العلامة الداخلية) لتلقي الأوامر. تجدر الإشارة إلى الآلية غير القياسية لروبوت "النوم" بين المكالمات إلى CnC: لم يستخدم المطورون وظيفة Sleep () القياسية ، وبدلاً من ذلك أنشأوا حدثًا في حالة غير إشارة ، واستدعيوا دالة WaitForSingleObject () دون ترجمتها إلى حالة إشارة. وظيفة إنشاء تدفق مكالمة CnC:


تمثيلية الوظيفة Sleep () في IcedID:


من المرجح أن تكون الفترة الطويلة من الوصول إلى الخادم ، بالإضافة إلى "وظيفة السكون" غير القياسية مصممة للتصدي للتحليل.

يتم استخدام SSL لإخفاء حركة المرور بين الخادم والتطبيق.

بعد بدء سلسلة المحادثات ، يقوم برنامج التتبُّع "برفع" خادم الوكيل على الجهاز المحلي من أجل معالجة حركة المرور على الجهاز المصاب.

سيتم مناقشة بروتوكول الاتصال الخاص بالخادم والجهاز المصاب في الأقسام التالية. ومع ذلك ، تجدر الإشارة إلى أن البرامج الضارة الموجودة في أمر الخادم يمكنها تحديث التكوينات وبدء خادم VNC وإيقافه وتنفيذ أوامر cmd.exe وتنزيل الملفات.

التفاعل بين IcedID و CnC Server

يتم تخزين قائمة عناوين CnC في نص المصرفي في شكل مشفر ، وكذلك في التسجيل في شكل تكوين ديناميكي. يتم التفاعل بين الخادم وأحصنة طروادة باستخدام بروتوكول HTTPS. يرسل البيانات إلى الخادم مع طلبات POST ، ويستخدم GET لتلقي البيانات.

سلسلة استعلام الخادم كما يلي:

<٪ CnC٪> /forum/viewtopic.php؟a=<٪Integer٪>&b=<٪Long integer٪> & d = <٪ Integer٪> & e = <٪ Integer٪> & <٪ Other data٪>

قيمة الحقل:

• أ - نوع الطلب ، يمكن أن يأخذ هذا الحقل قيمًا:
  

  القيمة	عمل
  0.1	إرسال معلومات حول الجهاز المصاب
  2،3	إرسال بيانات أخرى إلى الخادم
  4	احصل على أحدث إصدار من التكوينات الديناميكية وضعها في التسجيل باستخدام المفتاح باسم IcedID_reg ("* cfg1")
  5	احصل على أحدث إصدار من التكوينات الديناميكية وضعها في التسجيل باستخدام المفتاح الذي يحمل اسم IcedID_reg ("* cfg0")
  6	احصل على أحدث إصدار من التكوينات الديناميكية وضعها في التسجيل باستخدام المفتاح الذي يحمل اسم IcedID_reg ("* rtd") (عناوين CnC)
  7	احصل على أحدث نسخة من وحدة VNC
  8	احصل على احدث نسخة بوت

• ب - معرف بوت
• د - العلم
• e - ثابت ، موجود مباشرة في رمز البوت

علاوة على ذلك ، تعتمد قيم المجال على الحقل "أ". إذا كان الرقم 0 أو 1 ، فسيبدو الاستعلام كما يلي:

POST /forum/viewtopic.php؟a=<٪0 أو 1٪> & b = <٪ BotID٪> & d = <٪ Integer٪> & e = <٪ Constant٪> & f = <٪ Cfg1 Checksum٪> & g = <٪ Cfg0 Checksum٪> & h = <٪ Rtd Checksum٪> & r = <٪ VNC Checksum٪> & i = <٪ Request time٪> HTTP / 1.1
اتصال: قريب
نوع المحتوى: application / x-www-form-urlencoded
طول المحتوى:

يحتوي نص الطلب على معلومات حول الجهاز المصاب. يتم توفير المعلومات في شكل:

k = <٪ String٪> & l = <٪ String٪>٪ j = <٪ Integer٪> & n = <٪ Integer٪> & m = <٪ String٪>

أين:

• ك - اسم الكمبيوتر في UNICODE
• ل - عضو المجال في UNICODE
• م - معلومات النظام:
  
  1. إصدار نظام التشغيل
  2. رقم إصدار نظام التشغيل
  3. إصدار حزمة الخدمة
  4. سعة النظام
  5. نوع نظام التشغيل

إذا كان الحقل 2 أو 3 ، فسيبدو الاستعلام كما يلي:

POST /forum/viewtopic.php؟a=<٪3 أو 2٪> & b = <٪ BotID٪> & d = <٪ Integer٪> & e = <٪ Constant٪> HTTP / 1.1
اتصال: قريب
نوع المحتوى: دفق التطبيق / ثماني بتات
طول المحتوى:

خلاف ذلك ، يكون الطلب على النحو التالي:

GET /forum/viewtopic.php؟a=<٪4-8٪>&b=<٪BotID٪>&d=<٪Integer٪>&e=<٪Constant٪>&o=<٪Object checkum٪>
HTTP / 1.1
اتصال: قريب

نوع المحتوى: application / x-www-form-urlencoded
طول المحتوى:

يتم عرض أمثلة على الاستفسارات في الأشكال أدناه. رأس الحزمة عند الوصول إلى الخادم:


نص الرسالة:


يمكن أن يتلقى حصان طروادة أوامر من الخادم. يتم تمثيل الأوامر كقيم صحيحة. تأتي جميع الأوامر إلى البوت على شكل سلاسل ، يتم فصل معلماتها بالرمز "؛". يمكن للبرنامج معالجة 23 أمرًا:


إذا تم تنفيذ الأمر بنجاح ، يرسل حصان طروادة السلسلة "True" إلى الخادم ، وإلا "False".

في حالة تلقي أمر لتشغيل وحدة الأوامر المتقدمة ، يرسل التطبيق وحدتي بايت إلى الخادم ، وبعد ذلك ينتظر الرد. يتوافق البايت الأول المستلم من الخادم مع الأمر الموسع من الجدول:


يمكن بدء خادم VNC بطريقتين ممكنتين (اعتمادًا على العلامة الداخلية):

1. باستخدام الدالة CreateProcessA () مع المعلمة rundll32.exe kernel32 ، Sleep -s <٪ param٪>
2. استخدام دالة CreateProcessA () مع المعلمة svchost.exe -s <٪ param٪>

حيث <٪ param٪> هو 16 بايت في تمثيل السلسلة ، معبأ كما يلي:


بعد البدء مباشرة ، تتحقق وحدة VNC من وجود رمز التبديل -s ، وبعد ذلك تقرأ المعلمة التي تم تمريرها وتتحقق من الحالة:

paramValue[0] == paramValue[1] ^ (paramValue[3] | (paramValue[2] << 16)) 

واستخدام وظيفة DuplicateHandle () ينشئ نسخة من مقبض مأخذ التوصيل لمزيد من التفاعل مع الخادم.

تحتوي المعلمة StartupInfo للدالة CreateProcessA () على اسم Desktop'a الذي تم إنشاؤه خصيصًا: افتراضي <٪ flag٪> . أيضًا ، قبل استدعاء الوظيفة ، يتم وضع عنوان وحدة VNC في معلمة ProcessInformation :



كما يتبين من القائمة ، فإن IcedID لديه مجموعة واسعة من القدرات للتحكم الكامل في الجهاز المصاب. حتى إذا واجه المشغل مشكلة نقص أي وظيفة ، فسيقوم ببساطة بتنزيل برنامج آخر بمساعدة حصان طروادة وأداء المهام المسندة إليه. على سبيل المثال ، في نهاية ديسمبر 2017 ، سجلنا توزيع TrickBot بواسطة هذا المصرفي.

معلومات التكوين

إنشاء أسماء إدخالات التسجيل

يتم تخزين جميع بيانات التكوين التي يتلقاها البرنامج من الخادم في سجل الجهاز المصاب (باستثناء وحدة VNC ، التي يتم تخزينها في الدليل٪ TEMP٪ بتنسيق tmp٪ 0.8X01.dat ).

يتم حساب أسماء مفاتيح التسجيل التي تخزن بيانات التكوين التي تهمنا باستخدام الوظيفة التالية:


كما ترى من الشكل ، اسم المفتاح هو قيمة تجزئة MD5 من متغيرين - str و computerSeed . يعتمد نوع البيانات المخزنة في متغير التسجيل على قيمة المتغير الأول. على سبيل المثال ، مع قيمة متغيرة من * cfg0 أو * cfg1 ، يخزن مفتاح التسجيل حقن الويب ، مع قيمة * rtd يخزن المفتاح قائمة CnC.

computerSeed هو متغير فريد للمستخدم. يتم حسابه على أساس SID الخاص بالمستخدم. يقدم البرنامج النصي نسخة بيثون لحساب هذا المتغير.

المسار الكامل لإدخالات التكوين في التسجيل:

قيمة HKEY_CLASSES_ROOT \ CLSID \ <٪ MD5 بالتنسيق: {٪ 0.8X-٪ 0.4X-٪ 0.4X-٪ 0.4X-٪ 0.4X٪ 0.8X}٪>

الخوارزمية الموضحة أعلاه هي بالضبط الخوارزمية لإنشاء اسم IcedID_reg () ، الذي تم ذكره مرارًا وتكرارًا أعلاه.

لقد وجدنا قيم السلسلة التالية المتعلقة بإنشاء أسماء التسجيل للمعلومات المهمة للمصرفي:

• * cfg0 - يحتوي على قائمة مشتركة لعمليات إدخال الويب
• * cfg1 - يحتوي على قائمة بالعناوين والسلاسل لسرقة بيانات الصفحة تمامًا
• * rtd - قائمة بعناوين CnC
• * bc * - لإعلام حالة الوحدة النمطية لمعالجة الأوامر الموسعة من الخادم. إذا كان هذا الإدخال في التسجيل - الوحدة النمطية قيد التشغيل
• * p * - يحفظ معلمات بدء التشغيل باستخدام المفاتيح --svc = و / w =

هيكل تخزين ملفات التكوين الديناميكي

يتم تخزين التكوينات الديناميكية في التسجيل في شكل مشفر. يتم تشفير خادم VNC ، الموجود في الدليل٪ TEMP٪ ، بنفس الطريقة.

يتم استخدام خوارزميتين لتشفير البيانات: خوارزمية طروادة الملكية و RC4. مخطط خوارزمية فك التشفير:


دعنا ننتقل من النظرية إلى الممارسة. البيانات المشفرة في البداية بعد القراءة من التسجيل:


بعد استلام البيانات ، تقوم البرامج الضارة بفك تشفيرها باستخدام الخوارزمية الخاصة بها:


ومرة أخرى نلتقي وظيفة make_seed () !

بعد فك التشفير لدينا (انتبه إلى العناوين - يتم فك تشفيرها في نفس القسم من الذاكرة):


بعد فك التشفير الثاني في الذاكرة ، نرى ما يلي:


بعد فك ضغط البيانات وتحليلها. من الجدير بالذكر أنه قبل تحرير البيانات ، يتم تشفير البيانات مرة أخرى باستخدام RC4 - الحماية ضد التحليل الديناميكي للتطبيق.

تعتمد بنية البيانات الإضافية على نوع بيانات التكوين. على سبيل المثال ، يتم تخزين بيانات التكوين بالبادئة rtd بالتنسيق:

 typedef struct CNCStruct { char signedMD5sum[128]; int checksum; BStrings cnc[N]; } CNCStruct; typedef struct BStrings { int length; char str[length]; } BStrings; 

قائمة عناوين CnC في دراسة واحدة:


قبل الوصول إلى عناوين CnC من القائمة المستلمة ، يتحقق البوت من التوقيع الرقمي. يتم تخزين المفتاح العام للتحقق من التوقيع في نص البوت في شكل مشفر. بعد إجراء التحقق من التوقيع ، يقوم التطبيق "باستبدال" المفتاح العمومي ، أولاً ببيانات عشوائية ، ثم بالأصفار:


يتم تخزين التكوينات مع بادئة cfg بالتنسيق:

 typedef struct CfgStruct { int checksum; int elements_count; char config[]; } CfgStruct; 

في الحالة المدروسة ، رأينا البيانات التالية:


يتم تخزين البيانات بتنسيق ثنائي فريد ، والذي سيتم مناقشته لاحقًا.

يمكنك رؤية الخوارزمية لإنشاء مفاتيح التسجيل وفك تشفير بيانات التكوين في برنامج نصي .

تكوين خوارزمية تحليل بيانات التكوين

بعد فك تشفير البيانات ، يقوم البرنامج بتحليلها وحفظها في شكل قائمة مرتبطة ، والتي تشارك لاحقًا في تحليل حركة المرور على الجهاز المصاب (MITB). بادئ ذي بدء ، يتم تقسيم البيانات إلى كتل لها هيكل:

 typedef struct BaseBlock { int size; char type; char global_flag; char data[size - 6]; } BaseBlock; 

تعتمد بنية حقل البيانات على علامة النوع . تشير العلامة في هذه البنية إلى ما يحدث عندما يتم العثور على سلسلة في عنوان URL / نص الطلب. يمكن أن يأخذ الحقل القيم التالية:

بنية حقل البيانات إذا كان النوع هو 0x40 أو 0x41:

 typedef struct ConfigBlock { BStrings patterns[N]; int(0); } ConfigBlock; 

خلاف ذلك ، فإن الهيكل الميداني:

 typedef struct BaseBlock { int typeSizeStr; string urlStr; int flagSize; char flag[flagSize]; int firstOptStrSize; char firstOptStr[firstOptStrSize]; int secondOptStrSize; char secondOptStr[secondOptStrSize]; int thirdOptStrSize; char thirdOptStr[thirdOptStrSize]; } BaseBlock; 

دعونا نلقي نظرة فاحصة على أحد الكتل النموذجية:


بادئ ذي بدء ، انتبه إلى حقل "نوع كتلة التكوين" في كتلة "معلومات كتلة التكوين الشائعة". هو 0x11 ، مما يعني أنه عندما يقوم مستخدم بتحميل صفحة يقع عنوان URL الخاص بها تحت قاعدة التعبير العادي ^ [^ =] * \ / wcmfd \ / wcmpw \ / CustomerLogin $ ، يتم استبدال السطر <body (الوسيطة الثانية) بالسطر < body body = "display: none؛" (الحجة الثالثة).

في ذاكرة التطبيق ، يتم إنشاء قائمة مرتبطة لكل نوع. يتم عرض خوارزمية التحليل للقوائم المرتبطة في الشكل أدناه كشاشة IDA Pro. يمكنك رؤية نص Python النصي لأجزاء بيانات التكوين هنا .

معلومات CnC

بعد عدة أشهر من مراقبة تطوير IcedID ، وجدنا العديد من المجالات التي أدرجها حصان طروادة في قائمة التكوينات الديناميكية في قسم CnC. سنمثل المجالات في شكل المراسلات (البريد الإلكتروني الذي تم التسجيل منه → المجال):

دعنا الآن نلقي نظرة فاحصة على المستخدمين الذين تم تسجيل المجالات إليهم:


أخيرًا ، ضع في اعتبارك التسلسل الزمني لتغيير عناوين IP للنطاق. تمت إضافة جميع عناوين IP إلى الجدول منذ نوفمبر 2017:


بعد دراسة البيانات المقدمة ، يمكننا تلخيص أن جميع المجالات مسجلة في البريد الذي تم إنشاؤه باستخدام خدمة البريد المؤقتة. يقع موقع المسجّل الوهمي في الولايات المتحدة ، بينما تقع النطاقات نفسها في روسيا وأوكرانيا وهولندا والصين وكازاخستان وألمانيا (في الآونة الأخيرة ، كان هناك ميل إلى "نقل" النطاقات إلى أوكرانيا وألمانيا). جميع المجالات في مناطق المجال "com" و "net". الأبجدية التي يتألف منها المجال تتضمن فقط حروف الأبجدية الإنجليزية. على جانب CnC ، يتم رفع خادم الويب OpenResty.

الخلاصة

على الرغم من "العصور القديمة" لأحصنة طروادة الشبيهة بزيوس ، فإن أهميتها لا تنخفض. ونتيجة لذلك ، يظهر IcedID في ساحة حصان طروادة يستهدف عملاء البنوك. على الرغم من أن المصرفي لديه بالفعل قائمة واسعة من الفرص في البداية ، إلا أنه لا يزال يتحسن: أصبحت طرق التفريغ أكثر تعقيدًا ، وقائمة الأهداف تتسع. على الأرجح ، في المستقبل ، سيكتسب البرنامج الضار آليات مكافحة التحليل ، وسيعطي خادم CnC بشكل انتقائي حقن الويب للأجهزة المصابة. في هذه الأثناء ، لا تلبي أحصنة طروادة جميع متطلبات "مستخدميها" ، كما يتضح من استخدام TrickBot في ديسمبر من العام الماضي مع IcedID.

يعرف Group-IB كل شيء عن الجريمة السيبرانية ، لكنه يخبر الأشياء الأكثر إثارة للاهتمام.

قناة Telegram المليئة بالإثارة (https://t.me/Group_IB) حول أمن المعلومات والمتسللين والهجمات الإلكترونية والمتطفلين وقراصنة الإنترنت. التحقيق في الجرائم السيبرانية المثيرة من خلال الخطوات ، والحالات العملية باستخدام تقنيات Group-IB ، وبطبيعة الحال ، التوصيات حول كيفية تجنب الوقوع ضحية على الإنترنت.

يوتيوب قناة Group-IB
Group-IB Photowire على Instagram www.instagram.com/group_ib
أخبار تويتر القصيرة twitter.com/GroupIB

Group-IB هي واحدة من المطورين الرائدين لحلول الكشف عن الهجمات السيبرانية ومنعها ، واكتشاف الاحتيال وحماية الملكية الفكرية في شبكة مقرها سنغافورة.