Erbe des Zeus: Warum der IcedID-Trojaner für Bankkunden gefährlich ist

Group-IB-Experten analysierten den Trojaner, der US-Bankkunden angreift, und stellten die Ergebnisse einer eingehenden Analyse des dynamischen Konfigurationsdatenformats mit Python-Skripten und Informationen auf CnC-Servern öffentlich zur Verfügung.


Im November 2017 veröffentlichte ein Forscherteam von IBM X-Force einen Bericht über einen neuen Trojaner - IcedID , der sich hauptsächlich an Kunden von US-Banken richtet. Der Bot verfügt über viele Funktionen der berüchtigten Zeus-Malware, darunter das Herunterladen und Ausführen von Modulen, das Sammeln und Übertragen von Authentifizierungsdaten an den Server, Informationen über das infizierte Gerät und das Ausführen eines Man-in-the-Browser-Angriffs (MITB). Trotz der Tatsache, dass sich herausstellte, dass der neue Trojaner in seiner Funktionalität anderen beliebten Bankern - Trickbot, GOZI, Dridex - ähnelt, die Bankkunden aktiv angreifen, verwendet IcedID ein nicht standardmäßiges Binärformat zum Speichern von Konfigurationsdaten. Ein weiteres Unterscheidungsmerkmal dieser Malware ist die Möglichkeit, einen Proxyserver direkt auf dem infizierten Computer bereitzustellen, um einen MITB-Angriff durchzuführen.

Text: Ivan Pisarev, Spezialist für Malware-Analyse der Gruppe IB

Sofort ist IcedID im Vergleich zu anderen Trojanern nicht so weit verbreitet, aber jetzt verfügt es über genügend Funktionen, um seine Ziele zu erreichen, wobei der Diebstahl der Anmeldeinformationen des Opfers die Hauptursache ist. Dies kann auf viele Arten erreicht werden, angefangen beim banalen Diebstahl von Dateien und Registrierungseinträgen von einem infizierten Computer bis hin zum Abfangen und Ändern des verschlüsselten Browserverkehrs (Man-in-the-Browser-Angriff).

Im Fall von IcedID wurden Daten von Konten gestohlen: Windows Live Mail, Windows Mail, RimArts, Poco Systems Inc., IncrediMail, The Bat! und Ausblick. MITB-Angriffe werden über einen Proxyserver ausgeführt, der einen Trojaner auf einem infizierten Gerät aufnimmt, wodurch der gesamte Netzwerkverkehr durch sich selbst geleitet und geändert wird. IcedID verfügt außerdem über ein Serverbefehlsverarbeitungsmodul, mit dem Sie die Datei remote herunterladen und ausführen können (im untersuchten Fall hat das Beispiel beispielsweise das VNC-Modul geladen, dessen Programmcode ähnliche Codeabschnitte mit IcedID enthält).

Die Verwendung eines Proxyservers für MITB ist ein atypisches Verhalten für diesen Trojanertyp. Häufiger wird Malware in den Browserkontext eingebettet und Funktionsaufrufe von Standardbibliotheken an ihre Handlerfunktionen umgeleitet (Beispiel: WinHttpConnect () , InternetConnect () , InternetReadFile () , WinHttpReadData () usw.). Zuvor wurde der Proxy-Trick bereits in GootKit verwendet .

IcedID wurde mit einer anderen Malware, Emotet, verbreitet (es wird derzeit häufig als Bootloader verwendet, obwohl es über erweiterte Funktionen verfügt) und enthielt bereits zu Beginn eine umfangreiche Liste moderner Methoden zum Stehlen von Benutzerdaten.

Jetzt hat der Trojaner eher schwache Anti-Parsing-Mechanismen (String-Verschlüsselung, Header beschädigt) und keine VM-Erkennungsmethoden. Aus Sicht des Forschers befindet sich Malware noch in der Entwicklung und diese Schutzmechanismen werden später hinzugefügt.

Das Cyber-Intelligence-System von Group-IB Threat Intelligence hat keine IcedID-Verkäufe in thematischen Foren festgestellt. Dies bedeutet entweder die Entstehung einer neuen Gruppe in der Arena der Bankentrojaner oder den Verkauf des Trojaners über private Kanäle. Die Ziele des Bots, gemessen an den dynamischen Konfigurationsdaten (im Folgenden als Konfigurationen bezeichnet), liegen hauptsächlich in den USA.


Dieser Artikel enthält eine detaillierte Analyse des Trojaners, eine gründliche Analyse des Formats dynamischer Konfigurationen mit Python-Skripten sowie Informationen zu CnC.

Technischer Teil

Allgemeine Beschreibung der Arbeit des Trojaners

Zunächst wird der Abschnitt .data des Trojaners verschlüsselt. Zunächst wird der Abschnitt nach dem Start gemäß dem Algorithmus entschlüsselt:


Die Variablen initial_seed und size_seed befinden sich am Anfang des Datenabschnitts (die ersten 8 Bytes des Abschnitts). Danach werden verschlüsselte Daten mit Größengrößenbytes gefunden. Die Funktion make_seed () ist eine eindeutige PRNG- Funktion (Pseudo Random Number Generator ) für IcedID, auf die wir mehrmals zurückkommen werden. Die Python-Version der Funktion finden Sie hier .

Der Bot enthält zunächst verschlüsselte Strings. Um die Analyse zu erleichtern, wurde für IDA Pro ein Skript zum Entschlüsseln der Zeichenfolgen dekodiert (Sie müssen die Adresse der Entschlüsselungsfunktion in Ihr Beispiel einfügen).

Der nächste Schritt ist das Hinzufügen eines Ausnahmebehandlers mit der Funktion SetUnhandledExceptionFilter () . Wenn während des Anwendungsbetriebs eine Ausnahme auftritt, wird sie einfach neu gestartet.

Nach dem Hinzufügen eines Ausnahmebehandlers sammelt der Trojaner Informationen über das infizierte System:

1. Betriebssystemversion
2. OS-Build-Nummer
3. Service Pack-Version
4. Systemkapazität
5. Betriebssystemtyp

Die Anwendung erzeugt eine Sicherheitsbeschreibung: D: (A ;; GA ;;; WD) (A ;; GA ;;; AN) S: (ML ;; NW ;;; S-1-16-0), und weist dann Speicher zum Protokollieren von Informationen während des Betriebs des Trojaners. Beispiel für protokollierte Zeichenfolgen (Zeichenfolgen wurden mithilfe eines Skripts in der IDA abgerufen):

1. E | C | IN | INS | ISF | CP% u
2. I | C | IN | INT | CI | % u
3. W | C | IN | INT | CI | CRLL

IcedID kann mehrere Parameter annehmen. Unter ihnen:

• --svc = - speichert die Zeichenfolge vom Parameter in der Registrierung nach Schlüssel mit dem Namen IcedID_reg ("* p *") , wobei IcedID_reg (str) die Funktion zum Generieren des Schlüsselnamens aus der Zeichenfolge str ist (der Algorithmus zum Generieren von Registrierungsschlüsselnamen wird später beschrieben) Der Trojaner greift auf ein Ereignis mit dem Namen Global \ <% Zeichenfolge zufälliger Zeichen%> zu . Im Fehlerfall erstellt der Bot eine Kopie seines Prozesses mit dem Parameter / w = . Wenn dies nicht möglich ist, wird ein Wert in der Registrierung erstellt:

HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ <% Eine Zeichenfolge der Länge 9 aus zufälligen Zeichen im Alphabet [az]%>

Dadurch wird eine Persistenz im System sichergestellt. Dieser Schlüssel ist für den ersten Start des Trojaners vorgesehen.

• / u - Standardmäßig versucht Malware, sich selbst als Domänenadministrator auszuführen (mithilfe des Runas- Programms). Wenn dieses Flag vorhanden ist, führt der Trojaner diesen Vorgang nicht aus und erstellt einfach seine Kopie im Verzeichnis C: \ Benutzer \ <% Benutzername%> \ AppData \ Local \ <% Eine Zeichenfolge der Länge 9 aus zufälligen Zeichen des Alphabets [az]%> mit dem Namen <% Eine Zeichenfolge mit einer Länge von 9 aus zufälligen Zeichen des Alphabets [az]%>. Exe und schreibt den Pfad zur Datei in die Registrierung, wodurch eine Persistenz im System sichergestellt wird.

HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ <% Eine Zeichenfolge der Länge 9 aus zufälligen Zeichen im Alphabet [az]%>

Es scheint, dass dieser Schlüssel beim Aktualisieren eines Bankiers verwendet wird. Vor dem Neustart „schläft“ der Trojaner 5 Sekunden lang ein.

• / c - Vor dem Ausführen bösartiger Funktionen „schläft“ der Trojaner 5 Sekunden lang ein
• / w = - speichert eine Zeichenfolge aus dem Parameter in der Registrierung per Schlüssel mit dem Namen IcedID_reg ("* p *")

Nach der Verarbeitung der Parameter greift die Anwendung auf die Registrierung zu und ruft die dynamischen Konfigurationsdaten ab, die CnC-Adressen sowie Web-Injects enthalten. Das Format zum Speichern von Daten in der Registrierung wird in den folgenden Abschnitten beschrieben.

Nach dem Zugriff auf die Registrierung erstellt das Programm einen Thread, der alle 5 oder 10 Minuten (abhängig vom internen Flag) CnC kontaktiert, um Befehle zu empfangen. Hier ist der nicht standardmäßige Mechanismus des „Einschlafens“ des Bots zwischen Aufrufen von CnC zu beachten: Die Entwickler haben nicht die Standardfunktion Sleep () verwendet, sondern ein Ereignis in einem Nicht-Signalzustand erstellt und ohne es im Signalzustand aufzurufen, die Funktion WaitForSingleObject () aufgerufen . Funktion zur Erstellung des CnC-Anrufverlaufs:


Analogfunktionen Sleep () in IcedID:


Der lange Zugriff auf den Server sowie die nicht standardmäßige „Schlaffunktion“ sollen der Analyse höchstwahrscheinlich entgegenwirken.

SSL wird verwendet, um den Datenverkehr zwischen dem Server und der Anwendung auszublenden.

Nach dem Starten des Threads "hebt" der Bot den Proxyserver auf dem lokalen Computer an, um den Datenverkehr auf dem infizierten Computer zu verarbeiten.

Das Kommunikationsprotokoll des Servers und des infizierten Geräts wird in den folgenden Abschnitten erläutert. Es ist jedoch zu beachten, dass die Malware auf Befehl des Servers Konfigurationen aktualisieren, den VNC-Server starten und stoppen, Befehle cmd.exe ausführen und Dateien herunterladen kann.

Interaktion zwischen IcedID und CnC Server

Die Liste der CnC-Adressen wird in verschlüsselter Form im Hauptteil des Bankiers sowie in Form einer dynamischen Konfiguration in der Registrierung gespeichert. Die Interaktion zwischen dem Server und dem Trojaner erfolgt über das HTTPS-Protokoll. Sendet Daten mit POST-Anforderungen an den Server und verwendet GET zum Empfangen von Daten.

Die Server-Abfragezeichenfolge lautet wie folgt:

<% CnC%> /forum/viewtopic.php?a=<%Integer%>&b=<%Lange Ganzzahl%> & d = <% Integer%> & e = <% Integer%> & <% Andere Daten%>

Feldwert:

• a - Art der Anforderung, dieses Feld kann Werte annehmen:
  

  Wert	Aktion
  0,1	Senden Sie Informationen zu einem infizierten Computer
  2,3	Senden Sie andere Daten an den Server
  4	Holen Sie sich die neueste Version von dynamischen Konfigurationen und fügen Sie sie mit dem Schlüssel mit dem Namen IcedID_reg ("* cfg1") in die Registrierung ein.
  5	Holen Sie sich die neueste Version von dynamischen Konfigurationen und fügen Sie sie mit dem Schlüssel mit dem Namen IcedID_reg ("* cfg0") in die Registrierung ein.
  6	Holen Sie sich die neueste Version von dynamischen Konfigurationen und fügen Sie sie mit dem Schlüssel mit dem Namen IcedID_reg ("* rtd") (CnC-Adressen) in die Registrierung ein.
  7	Holen Sie sich die neueste Version des VNC-Moduls
  8	Holen Sie sich die neueste Bot-Version

• b - Bot ID
• d - Flagge
• e - Konstante, direkt im Bot-Code

Ferner hängen die Feldwerte vom Feld "a" ab. Wenn es 0 oder 1 ist, sieht die Abfrage folgendermaßen aus:

POST /forum/viewtopic.php?a=<%0 oder 1%> & b = <% BotID%> & d = <% Integer%> & e = <% Konstante%> & f = <% Cfg1 Prüfsumme%> & g = <% Cfg0 Prüfsumme%> & h = <% Rtd Prüfsumme%> & r = <% VNC Prüfsumme%> & i = <% Anforderungszeit%> HTTP / 1.1
Verbindung: schließen
Inhaltstyp: application / x-www-form-urlencoded
Inhaltslänge:

Der Anforderungshauptteil enthält Informationen zum infizierten Computer. Informationen werden bereitgestellt in Form von:

k = <% String%> & l = <% String%>% j = <% Integer%> & n = <% Integer%> & m = <% String%>

Wo:

• k - Computername in UNICODE
• l - Domainmitglied in UNICODE
• m - Systeminformationen:
  
  1. Betriebssystemversion
  2. OS-Build-Nummer
  3. Service Pack-Version
  4. Systemkapazität
  5. Betriebssystemtyp

Wenn das Feld 2 oder 3 ist, sieht die Abfrage folgendermaßen aus:

POST /forum/viewtopic.php?a=<%3 oder 2%> & b = <% BotID%> & d = <% Integer%> & e = <% Konstante%> HTTP / 1.1
Verbindung: schließen
Inhaltstyp: Anwendung / Oktett-Stream
Inhaltslänge:

Andernfalls lautet die Anforderung wie folgt:

GET /forum/viewtopic.php?a=<%4-8%>&b=<%BotID%>&d=<%Integer%>&e=<%Constant%>&o=<%Object Prüfsumme%>
HTTP / 1.1
Verbindung: schließen

Inhaltstyp: application / x-www-form-urlencoded
Inhaltslänge:

Beispiele für Abfragen sind in den folgenden Abbildungen dargestellt. Paket-Header beim Zugriff auf den Server:


Nachrichtentext:


Der Trojaner kann Befehle vom Server empfangen. Befehle werden als ganzzahlige Werte dargestellt. Alle Befehle kommen in Form von Zeichenfolgen zum Bot, deren Parameter durch das Symbol „;“ getrennt sind. Das Programm kann 23 Befehle verarbeiten:


Wenn der Befehl erfolgreich ausgeführt wurde, sendet der Trojaner die Zeichenfolge "True" an den Server, andernfalls "False".

Wenn ein Befehl zum Starten des Moduls für erweiterte Befehle empfangen wird, sendet die Anwendung zwei Bytes an den Server und wartet anschließend auf eine Antwort. Das erste vom Server empfangene Byte entspricht dem erweiterten Befehl aus der Tabelle:


Ein VNC-Server kann auf zwei Arten gestartet werden (abhängig vom internen Flag):

1. Verwenden der Funktion CreateProcessA () mit dem Kernel32- Parameter rundll32.exe, Sleep -s <% param%>
2. Mit Hilfe von CreateProcessA () Funktion mit einem Parameter svchost.exe es <% param%>

Dabei ist <% param%> 16 Byte in der Zeichenfolgendarstellung und wird wie folgt gefüllt:


Unmittelbar nach dem Start prüft das VNC-Modul, ob der Schalter -s vorhanden ist. Anschließend liest es den übergebenen Parameter und prüft die Bedingung:

paramValue[0] == paramValue[1] ^ (paramValue[3] | (paramValue[2] << 16)) 

Mit der Funktion DuplicateHandle () wird eine Kopie des Socket-Handles für die weitere Interaktion mit dem Server erstellt.

Der Parameter StartupInfo der Funktion CreateProcessA () enthält den Namen des speziell generierten Desktop'a: Standard <% flag%> . Außerdem wird die Adresse des VNC-Moduls vor dem Funktionsaufruf im Parameter ProcessInformation abgelegt:



Wie aus der Liste hervorgeht, verfügt IcedID über eine breite Palette von Funktionen zur vollständigen Kontrolle des infizierten Computers. Selbst wenn der Bediener auf das Problem des Fehlens einer Funktion stößt, lädt er einfach mit Hilfe eines Trojaners ein anderes Programm herunter und führt die ihm zugewiesenen Aufgaben aus. Zum Beispiel haben wir Ende Dezember 2017 die Verteilung von TrickBot durch diesen Bankier aufgezeichnet.

Konfigurationsinformationen

Generierung von Namen für Registrierungseinträge

Alle Konfigurationsdaten, die das Programm vom Server empfängt, werden in der Registrierung des infizierten Geräts gespeichert (mit Ausnahme des VNC-Moduls, das im Verzeichnis% TEMP% im Format tmp% 0.8X01.dat gespeichert ist ).

Die Namen der Registrierungsschlüssel, in denen die für uns interessanten Konfigurationsdaten gespeichert sind, werden mit der folgenden Funktion berechnet:


Wie Sie der Abbildung entnehmen können, ist der Schlüsselname ein MD5-Hashwert aus zwei Variablen - str und computerSeed . Welcher Datentyp in der Registrierungsvariablen gespeichert ist, hängt vom Wert der ersten Variablen ab. Bei einem Variablenwert von * cfg0 oder * cfg1 speichert der Registrierungsschlüssel beispielsweise Web-Injects, bei einem Wert von * rtd speichert der Schlüssel eine CnC-Liste.

computerSeed ist eine benutzerspezifische Variable. Sie wird basierend auf der SID des Benutzers berechnet. Das Skript bietet eine Python-Version der Berechnung dieser Variablen.

Vollständiger Pfad zu Konfigurationseinträgen in der Registrierung:

HKEY_CLASSES_ROOT \ CLSID \ <% MD5-Wert im Format: {% 0.8X-% 0.4X-% 0.4X-% 0.4X-% 0.4X% 0.8X}%>

Der oben beschriebene Algorithmus ist genau der Algorithmus zum Erzeugen des Namens IcedID_reg () , der oben wiederholt erwähnt wurde.

Wir haben die folgenden Zeichenfolgenwerte gefunden, die beim Generieren von Registrierungsnamen von Informationen beteiligt sind, die für den Bankier wichtig sind:

• * cfg0 - enthält eine allgemeine Liste von Web-Injects
• * cfg1 - enthält eine Liste von Adressen und Zeichenfolgen, um Seitendaten vollständig zu stehlen
• * rtd - eine Liste von CnC-Adressen
• * bc * - benachrichtigt den Status des Moduls zur Verarbeitung erweiterter Befehle vom Server. Wenn sich dieser Eintrag in der Registrierung befindet, wird das Modul ausgeführt
• * p * - speichert Startparameter mit den Tasten --svc = und / w =

Speicherstruktur dynamischer Konfigurationsdateien

Dynamische Konfigurationen werden in verschlüsselter Form in der Registrierung gespeichert. Der VNC-Server, der sich im Verzeichnis% TEMP% befindet, wird auf die gleiche Weise verschlüsselt.

Für die Datenverschlüsselung werden zwei Algorithmen verwendet: der proprietäre Trojaner-Algorithmus und RC4. Entschlüsselungsalgorithmus-Schema:


Gehen wir von der Theorie zur Praxis. Anfangs verschlüsselte Daten nach dem Lesen aus der Registrierung:


Nach dem Empfang der Daten entschlüsselt die Malware sie mit einem eigenen Algorithmus:


Und wieder treffen wir die Funktion make_seed () !

Nach der Entschlüsselung haben wir (achten Sie auf die Adressen - es wird im gleichen Speicherbereich entschlüsselt):


Nach der zweiten Entschlüsselung im Speicher sehen wir Folgendes:


Nachdem die Daten entpackt und analysiert wurden. Es ist bemerkenswert, dass die Daten vor dem Freigeben von Daten mit RC4 zurückverschlüsselt werden - Schutz vor dynamischer Analyse der Anwendung.

Die weitere Datenstruktur hängt von der Art der Konfigurationsdaten ab. Beispielsweise werden Konfigurationsdaten mit dem Präfix rtd im folgenden Format gespeichert:

 typedef struct CNCStruct { char signedMD5sum[128]; int checksum; BStrings cnc[N]; } CNCStruct; typedef struct BStrings { int length; char str[length]; } BStrings; 

Liste der CnC-Adressen in einer Studie:


Vor dem Zugriff auf die CnC-Adressen aus der empfangenen Liste überprüft der Bot die digitale Signatur. Der öffentliche Schlüssel zur Überprüfung der Signatur wird in verschlüsselter Form im Körper des Bots gespeichert. Nach dem Verfahren zur Überprüfung der Signatur „überschreibt“ die Anwendung den öffentlichen Schlüssel, zuerst mit zufälligen Daten und dann mit Nullen:


Konfigurationen mit dem Präfix cfg werden im folgenden Format gespeichert:

 typedef struct CfgStruct { int checksum; int elements_count; char config[]; } CfgStruct; 

Im untersuchten Fall haben wir folgende Daten gesehen:


Die Daten werden in einem eindeutigen Binärformat gespeichert, auf das später noch eingegangen wird.

Sie können den Algorithmus zum Generieren von Registrierungsschlüsseln und zum Entschlüsseln von Konfigurationsdaten in einem Skript anzeigen .

Algorithmus zum Parsen von Konfigurationsdaten

Nach dem Entschlüsseln der Daten analysiert das Programm sie und speichert sie in Form einer verknüpften Liste, die später an der Analyse des Datenverkehrs auf dem infizierten Gerät (MITB) teilnimmt. Zunächst werden die Daten in Blöcke mit folgender Struktur unterteilt:

 typedef struct BaseBlock { int size; char type; char global_flag; char data[size - 6]; } BaseBlock; 

Die Struktur des Datenfeldes hängt vom Typ- Flag ab. Das Flag in dieser Struktur gibt an, was passiert, wenn eine Zeichenfolge in der URL / im Hauptteil der Anforderung gefunden wird. Das Feld kann folgende Werte annehmen:

Die Struktur des Datenfelds , wenn der Typ 0x40 oder 0x41 ist:

 typedef struct ConfigBlock { BStrings patterns[N]; int(0); } ConfigBlock; 

Ansonsten ist die Feldstruktur:

 typedef struct BaseBlock { int typeSizeStr; string urlStr; int flagSize; char flag[flagSize]; int firstOptStrSize; char firstOptStr[firstOptStrSize]; int secondOptStrSize; char secondOptStr[secondOptStrSize]; int thirdOptStrSize; char thirdOptStr[thirdOptStrSize]; } BaseBlock; 

Schauen wir uns einen der Beispielblöcke genauer an:


Beachten Sie zunächst das Feld "Config block type" im Block "Config block common information". Es ist 0x11, was bedeutet, dass beim Laden einer Seite, deren URL unter die Regel für reguläre Ausdrücke fällt ^ [^ =] * \ / wcmfd \ / wcmpw \ / CustomerLogin $ , die Zeile <body (zweites Argument) durch die Zeile <ersetzt wird body style = "Anzeige: keine;" (drittes Argument).

Im Anwendungsspeicher wird für jeden Typ eine verknüpfte Liste erstellt. Der Parsing-Algorithmus für verknüpfte Listen ist in der folgenden Abbildung als IDA Pro-Bildschirm dargestellt. Sie können das Python-Skript für die Konfigurationsdaten hier sehen .

CnC-Informationen

Nach mehreren Monaten der Überwachung der Entwicklung von IcedID haben wir viele Domänen gefunden, die der Trojaner in die Liste der dynamischen Konfigurationen im Abschnitt CnC aufgenommen hat. Wir werden Domains in Form von Korrespondenz vertreten (E-Mail, von der aus die Registrierung erfolgte → Domain):

Schauen wir uns nun die Benutzer genauer an, bei denen die Domains registriert wurden:


Betrachten Sie abschließend die Chronologie der Änderung der Domänen-IP-Adressen. Alle IP-Adressen wurden der Tabelle seit November 2017 hinzugefügt:


Nachdem wir die präsentierten Daten untersucht haben, können wir zusammenfassen, dass alle Domänen für E-Mails registriert sind, die mit dem temporären E-Mail-Dienst generiert wurden. Der Standort des fiktiven Registranten befindet sich in den USA, während sich die Domains selbst in Russland, der Ukraine, den Niederlanden, China, Kasachstan und Deutschland befinden (in letzter Zeit besteht die Tendenz, Domains in die Ukraine und nach Deutschland zu „verschieben“). Alle Domains befinden sich in den Domainzonen "com" und "net". Das Alphabet, aus dem die Domain besteht, enthält nur die Buchstaben des englischen Alphabets. Auf der CnC-Seite wird der OpenResty-Webserver ausgelöst.

Fazit

Trotz der „Antike“ zeusähnlicher Trojaner sinkt ihre Relevanz nicht. Infolgedessen erscheint IcedID in der Arena der Trojaner, die sich an Bankkunden richten. Obwohl der Bankier zu Beginn bereits eine umfangreiche Liste von Möglichkeiten hatte, verbessert er sich immer noch: Die Auspackmethoden werden immer komplizierter und die Liste der Ziele wird erweitert. Höchstwahrscheinlich wird die Malware in Zukunft Anti-Analyse-Mechanismen erwerben, und der CnC-Server wird infizierten Geräten selektiv Web-Injektionen geben. In der Zwischenzeit erfüllen die Trojaner nicht alle Anforderungen ihrer "Benutzer", wie die Verwendung von TrickBot im Dezember zusammen mit IcedID zeigt.

Group-IB weiß alles über Cyberkriminalität, erzählt aber die interessantesten Dinge.

Der actionreiche Telegrammkanal (https://t.me/Group_IB) über Informationssicherheit, Hacker und Cyberangriffe, Hacktivisten und Internetpiraten. Schrittweise Untersuchung sensationeller Cyberkriminalität, praktische Fälle mit Group-IB-Technologien und natürlich Empfehlungen, wie man im Internet kein Opfer wird.

YouTube Channel Group-IB
Group-IB Photowire auf Instagram www.instagram.com/group_ib
Twitter Kurznachrichten twitter.com/GroupIB

Group-IB ist einer der führenden Entwickler von Lösungen zur Erkennung und Verhinderung von Cyberangriffen, zur Aufdeckung von Betrug und zum Schutz des geistigen Eigentums in einem Netzwerk mit Hauptsitz in Singapur.