Heredero de Zeus: por qué el troyano IcedID es peligroso para los clientes bancarios

Los expertos del Grupo IB analizaron el troyano que ataca a los clientes de los bancos estadounidenses y pusieron a disposición del público los resultados de un análisis profundo del formato de datos de configuración dinámica con scripts de Python e información en servidores CnC.


En noviembre de 2017, un equipo de investigadores de IBM X-Force publicó un informe sobre un nuevo troyano, IcedID , que está dirigido principalmente a clientes de bancos estadounidenses. El bot tiene muchas características del infame malware Zeus, que incluyen: descargar y ejecutar módulos, recopilar y transmitir datos de autenticación al servidor, información sobre el dispositivo infectado y llevar a cabo un ataque de hombre en el navegador (MITB). A pesar de que, en su funcionalidad, el nuevo troyano resultó ser similar a otros banqueros populares: Trickbot, GOZI, Dridex, que atacan activamente a los clientes bancarios, IcedID utiliza un formato binario no estándar para almacenar datos de configuración. Otra característica distintiva de este malware es la capacidad de implementar un servidor proxy directamente en la máquina infectada para realizar un ataque MITB.

Texto: Ivan Pisarev, Especialista en Análisis de Malware del Grupo IB

Inmediatamente, IcedID no está tan extendido en comparación con otros troyanos, pero ahora tiene suficiente funcionalidad para lograr sus objetivos, de los cuales el robo de las credenciales de la víctima es el principal. Esto se puede lograr de muchas maneras, comenzando por el robo banal de archivos y entradas de registro de una computadora infectada, y terminando con la interceptación y el cambio del tráfico cifrado del navegador (ataque del hombre en el navegador).

En el caso de IcedID, los datos fueron robados de las cuentas: Windows Live Mail, Windows Mail, RimArts, Poco Systems Inc, IncrediMail, The Bat! y Outlook. El ataque MITB se realiza usando un servidor proxy, que recoge un troyano en un dispositivo infectado, pasando así todo el tráfico de red a través de sí mismo y modificándolo. IcedID también tiene un módulo de procesamiento de comandos del servidor que le permite descargar y ejecutar el archivo de forma remota (por ejemplo, en el caso en estudio, la muestra cargó el módulo VNC, cuyo código de programa tiene secciones de código similares con IcedID).

El uso de un servidor proxy para MITB es un comportamiento atípico para este tipo de troyano. Más a menudo, el malware se incrusta en el contexto del navegador y las llamadas de función redirigidas de las bibliotecas estándar a sus funciones de controlador (ejemplo: WinHttpConnect () , InternetConnect () , InternetReadFile () , WinHttpReadData () , etc.). Anteriormente, el truco de proxy ya se usaba en GootKit .

IcedID se distribuyó usando otro malware, Emotet (actualmente se usa a menudo como un gestor de arranque, aunque tiene una funcionalidad avanzada) y ya al principio incluía una extensa lista de métodos modernos para robar datos de los usuarios.

Ahora el troyano tiene mecanismos anti-análisis bastante débiles (encriptación de cadenas, encabezado corrupto) y no tiene métodos de detección de VM. Desde el punto de vista del investigador, el malware todavía está en desarrollo y estos mecanismos de protección se agregarán más adelante.

El sistema de inteligencia cibernética Group-IB Threat Intelligence no detectó las ventas de IcedID en foros temáticos, lo que significa la aparición de un nuevo grupo en la arena de troyanos bancarios o la venta del troyano a través de canales privados. Los objetivos del bot, a juzgar por los datos de configuración dinámica (en adelante denominados configs), se encuentran principalmente en los EE. UU.


Este artículo incluye un análisis detallado del troyano, un análisis profundo del formato de configuraciones dinámicas con scripts Python e información sobre CnC.

Parte técnica

Descripción general del trabajo del troyano.

Inicialmente, la sección .data del troyano está encriptada. En primer lugar, después de iniciarlo, descifra la sección de acuerdo con el algoritmo:


Las variables initial_seed y size_seed se encuentran al principio de la sección de datos (los primeros 8 bytes de la sección), después de lo cual se encuentran los datos cifrados de bytes de tamaño . La función make_seed () es una función única de generador de números pseudoaleatorios ( PRNG) para IcedID, a la que volveremos más de una vez. Puede encontrar la versión de Python de la función aquí .

Inicialmente, el bot contiene cadenas encriptadas. Para facilitar el análisis, se decodificó un script para IDA Pro para descifrar las cadenas (debe insertar la dirección de la función de descifrado en su muestra).

El siguiente paso es agregar un controlador de excepciones utilizando la función SetUnhandledExceptionFilter () . Si se produce alguna excepción durante el funcionamiento de la aplicación, simplemente se reinicia.

Después de agregar un controlador de excepciones, el troyano recopila información sobre el sistema infectado:

1. Versión del sistema operativo
2. Número de compilación del sistema operativo
3. Versión del paquete de servicio
4. Capacidad del sistema
5. Tipo de sistema operativo

La aplicación crea un descriptor de seguridad: D: (A ;; GA ;;; WD) (A ;; GA ;;; AN) S: (ML ;; NW ;;; S-1-16-0) , y luego asigna memoria para registrar información durante la operación del troyano. Ejemplo de cadenas registradas (las cadenas se obtuvieron usando un script en la IDA):

1. E | C | IN | INS | ISF | CP% u
2. I | C | IN | INT | CI | % u
3. W | C | IN | INT | CI | CRLL

IcedID puede tomar varios parámetros. Entre ellos están:

• --svc = - guarda la cadena del parámetro en el registro mediante una clave con el nombre IcedID_reg ("* p *") , donde IcedID_reg (str) es la función de generar el nombre de la clave desde la cadena str (el algoritmo para generar nombres de clave de registro se describirá más adelante), después de lo cual el troyano accede a un evento con el nombre Global \ <% Cadena de caracteres aleatorios%> . En caso de error, el bot crea una copia de su proceso con el parámetro / w = . Si esto no se puede hacer, crea un valor en el registro:

HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ <% Una cadena de longitud 9 de caracteres aleatorios en el alfabeto [az]%>

asegurando así una persistencia en el sistema. Esta clave está destinada al lanzamiento inicial del troyano.

• / u : de forma predeterminada, el malware intenta ejecutarse como administrador de dominio (utilizando el programa runas ). Si este indicador está presente, el troyano no realiza esta operación y simplemente crea su copia en el directorio C: \ Users \ <% username%> \ AppData \ Local \ <% Una cadena de longitud 9 de caracteres aleatorios del alfabeto [az]%> con el nombre <% Una cadena de longitud 9 de caracteres aleatorios del alfabeto [az]%>. Exe , y escribe la ruta al archivo en el registro, asegurando así una persistencia en el sistema.

HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ <% Una cadena de longitud 9 de caracteres aleatorios en el alfabeto [az]%>

Parece que esta clave se usa al actualizar un banquero. Antes de reiniciar el troyano "se queda dormido" durante 5 segundos.

• / c - antes de ejecutar funciones maliciosas, el troyano "se queda dormido" durante 5 segundos
• / w = : guarda una cadena del parámetro en el registro mediante una clave con el nombre IcedID_reg ("* p *")

Después de procesar los parámetros, la aplicación accede al registro y obtiene los datos de configuración dinámica que contienen direcciones CnC, así como inyecciones web. El formato para almacenar datos en el registro se describe en las siguientes secciones.

Después de acceder al registro, el programa crea un hilo que, una vez cada 5 o 10 minutos (dependiendo del indicador interno), contacta a CnC para recibir comandos. Aquí vale la pena señalar el mecanismo no estándar de "quedarse dormido" del bot entre llamadas a CnC: los desarrolladores no usaron la función Sleep () estándar, en su lugar crearon un evento en un estado sin señal y sin llamarlo en el estado de señal, llamar a la función WaitForSingleObject () . Función de creación de flujo de llamadas CnC:


El análogo de la función Sleep () en IcedID:


El largo período de acceso al servidor, así como la "función de suspensión" no estándar probablemente estén diseñados para contrarrestar el análisis.

SSL se utiliza para ocultar el tráfico entre el servidor y la aplicación.

Después de iniciar el hilo, el bot "eleva" el servidor Proxy en la máquina local para procesar el tráfico en la máquina infectada.

El protocolo de comunicación del servidor y el dispositivo infectado se discutirá en las siguientes secciones. Sin embargo, vale la pena señalar que el malware en el comando del servidor puede actualizar las configuraciones, iniciar y detener el servidor VNC, ejecutar comandos cmd.exe, descargar archivos.

Interacción entre IcedID y el servidor CnC

La lista de direcciones CnC se almacena en el cuerpo del banquero en forma cifrada, así como en el registro en forma de una configuración dinámica. La interacción entre el servidor y el troyano se lleva a cabo utilizando el protocolo HTTPS. Envía datos al servidor con solicitudes POST, usa GET para recibir datos.

La cadena de consulta del servidor es la siguiente:

<% CnC%> /forum/viewtopic.php?a=<%Integer%>&b=<%Long integer%> & d = <% Integer%> & e = <% Integer%> & <% Otros datos%>

Valor de campo:

• a - tipo de solicitud, este campo puede tomar valores:
  

  Valor	Acción
  0.1	Enviar información sobre una máquina infectada
  2,3	Enviar otros datos al servidor
  4 4	Obtenga la última versión de las configuraciones dinámicas y colóquelas en el registro utilizando la clave con el nombre IcedID_reg ("* cfg1")
  5 5	Obtenga la última versión de las configuraciones dinámicas y colóquelas en el registro utilizando la clave con el nombre IcedID_reg ("* cfg0")
  6 6	Obtenga la última versión de las configuraciones dinámicas y colóquelas en el registro utilizando la clave con el nombre IcedID_reg ("* rtd") (direcciones CnC)
  7 7	Obtenga la última versión del módulo VNC
  8	Obtenga la última versión de bot

• b - ID del bot
• d - bandera
• e - constante, ubicada directamente en el código bot

Además, los valores del campo dependen del campo "a". Si es 0 o 1, la consulta se ve así:

POST /forum/viewtopic.php?a=<%0 or 1%> & b = <% BotID%> & d = <% Integer%> & e = <% Constant%> & f = <% Cfg1 Checksum%> & g = <% Cfg0 Checksum%> & h = <% Rtd Checksum%> & r = <% VNC Checksum%> & i = <% Tiempo de solicitud%> HTTP / 1.1
Conexión: cerrar
Tipo de contenido: application / x-www-form-urlencoded
Longitud del contenido:

El cuerpo de la solicitud contiene información sobre la máquina infectada. La información se proporciona en forma de:

k = <% String%> & l = <% String%>% j = <% Integer%> & n = <% Integer%> & m = <% String%>

Donde:

• k - nombre de la computadora en UNICODE
• l - miembro de dominio en UNICODE
• m - Información del sistema:
  
  1. Versión del sistema operativo
  2. Número de compilación del sistema operativo
  3. Versión del paquete de servicio
  4. Capacidad del sistema
  5. Tipo de sistema operativo

Si el campo es 2 o 3, la consulta se ve así:

POST /forum/viewtopic.php?a=<%3 or 2%> & b = <% BotID%> & d = <% Integer%> & e = <% Constant%> HTTP / 1.1
Conexión: cerrar
Tipo de contenido: aplicación / octeto-flujo
Longitud del contenido:

De lo contrario, la solicitud es la siguiente:

OBTENER /forum/viewtopic.php?a=<%4-8%>&b=<%BotID%>&d=<%Integer%>&e=<%Constant%>&o=<%Object Checkum%>
HTTP / 1.1
Conexión: cerrar

Tipo de contenido: application / x-www-form-urlencoded
Longitud del contenido:

Ejemplos de consultas se presentan en las siguientes figuras. Encabezado del paquete al acceder al servidor:


Cuerpo del mensaje:


El troyano puede recibir comandos del servidor. Los comandos se representan como valores enteros. Todos los comandos llegan al bot en forma de cadenas, cuyos parámetros están separados por el símbolo ";". El programa puede procesar 23 comandos:


Si el comando se ejecuta con éxito, el troyano envía la cadena "Verdadero" al servidor, de lo contrario, "Falso".

En el caso de recibir un comando para iniciar el módulo de comandos avanzados, la aplicación envía dos bytes al servidor, luego de lo cual espera una respuesta. El primer byte recibido del servidor corresponde al comando extendido de la tabla:


Un servidor VNC se puede iniciar de dos formas posibles (dependiendo del indicador interno):

1. Usando la función CreateProcessA () con el parámetro rundll32.exe kernel32, Sleep -s <% param%>
2. Uso de la función CreateProcessA () con el parámetro svchost.exe -s <% param%>

donde <% param%> es 16 bytes en la representación de cadena, llenada de la siguiente manera:


Inmediatamente después de comenzar, el módulo VNC verifica la presencia del modificador -s , después de lo cual lee el parámetro pasado y verifica la condición:

paramValue[0] == paramValue[1] ^ (paramValue[3] | (paramValue[2] << 16)) 

y el uso de la función DuplicateHandle () crea una copia del controlador de socket para una mayor interacción con el servidor.

El parámetro StartupInfo de la función CreateProcessA () contiene el nombre del Desktop'a especialmente generado: Predeterminado <% flag%> . Además, antes de la llamada a la función, la dirección del módulo VNC se coloca en el parámetro ProcessInformation :



Como se puede ver en la lista, IcedID tiene una amplia gama de capacidades para el control completo de la máquina infectada. Incluso si el operador encuentra el problema de la falta de alguna función, simplemente descargará otro programa con la ayuda de un troyano y realizará las tareas que se le asignen. Por ejemplo, a fines de diciembre de 2017, registramos la distribución de TrickBot por parte de este banquero.

Información de configuración

Generación de nombres para entradas de registro.

Todos los datos de configuración que el programa recibe del servidor se almacenan en el registro del dispositivo infectado (excepto el módulo VNC, que se almacena en el directorio% TEMP% en el formato tmp% 0.8X01.dat ).

Los nombres de las claves de registro que almacenan los datos de configuración que nos interesan se calculan mediante la siguiente función:


Como puede ver en la figura, el nombre de la clave es un valor hash MD5 de dos variables: str y computerSeed . El tipo de datos almacenados en la variable de registro depende del valor de la primera variable. Por ejemplo, con un valor variable de * cfg0 o * cfg1, la clave de registro almacena las inyecciones web, con un valor de * rtd, la clave almacena una lista de CnC.

computerSeed es una variable exclusiva del usuario. Se calcula en función del SID del usuario. El script proporciona una versión en python del cálculo de esta variable.

Ruta completa a las entradas de configuración en el registro:

HKEY_CLASSES_ROOT \ CLSID \ <% MD5 valor en el formato: {% 0.8X-% 0.4X-% 0.4X-% 0.4X-% 0.4X% 0.8X}%>

El algoritmo descrito anteriormente es precisamente el algoritmo para generar el nombre IcedID_reg () , que se mencionó repetidamente anteriormente.

Encontramos los siguientes valores de cadena que están involucrados en la generación de nombres de registro de información importante para el banquero:

• * cfg0 : contiene una lista común de inyecciones web
• * cfg1 : contiene una lista de direcciones y cadenas para robar completamente los datos de la página
• * rtd : una lista de direcciones CnC
• * bc * : notifica el estado del módulo para procesar comandos extendidos desde el servidor. Si esta entrada está en el registro, el módulo se está ejecutando
• * p * - guarda los parámetros de inicio con las teclas --svc = y / w =

Estructura de almacenamiento de archivos de configuración dinámica.

Las configuraciones dinámicas se almacenan en el registro en forma cifrada. El servidor VNC, que se encuentra en el directorio% TEMP%, se cifra de la misma manera.

Se utilizan dos algoritmos para el cifrado de datos: algoritmo troyano patentado y RC4. Esquema de algoritmo de descifrado:


Pasemos de la teoría a la práctica. Inicialmente datos cifrados después de leer del registro:


Después de recibir los datos, el malware los descifra usando su propio algoritmo:


Y de nuevo nos encontramos con la función make_seed () !

Después del descifrado que tenemos (preste atención a las direcciones, se descifra en la misma sección de la memoria):


Después del segundo descifrado en la memoria, vemos lo siguiente:


Después de descomprimir y analizar los datos. Cabe destacar que antes de liberar los datos, los datos se vuelven a cifrar utilizando RC4, protección contra el análisis dinámico de la aplicación.

La estructura de datos adicional depende del tipo de datos de configuración. Por ejemplo, los datos de configuración con el prefijo rtd se almacenan en el formato:

 typedef struct CNCStruct { char signedMD5sum[128]; int checksum; BStrings cnc[N]; } CNCStruct; typedef struct BStrings { int length; char str[length]; } BStrings; 

Lista de direcciones CnC en un estudio:


Antes de acceder a las direcciones CnC de la lista recibida, el bot verifica la firma digital. La clave pública para verificar la firma se almacena en el cuerpo del bot en forma cifrada. Después del procedimiento de verificación de firma, la aplicación "sobrescribe" la clave pública, primero con datos aleatorios y luego con ceros:


Las configuraciones con el prefijo cfg se almacenan en el formato:

 typedef struct CfgStruct { int checksum; int elements_count; char config[]; } CfgStruct; 

En el caso estudiado, vimos los siguientes datos:


Los datos se almacenan en un formato binario único, que se discutirá más adelante.

Puede ver el algoritmo para generar claves de registro y descifrar datos de configuración en un script .

Algoritmo de análisis de datos de configuración

Después de descifrar los datos, el programa los analiza y los guarda en forma de una lista vinculada, que luego participa en el análisis del tráfico en el dispositivo infectado (MITB). En primer lugar, los datos se dividen en bloques que tienen la estructura:

 typedef struct BaseBlock { int size; char type; char global_flag; char data[size - 6]; } BaseBlock; 

La estructura del campo de datos depende del indicador de tipo . El indicador en esta estructura indica lo que sucede cuando se encuentra una cadena en la URL / cuerpo de la solicitud. El campo puede tomar los siguientes valores:

La estructura del campo de datos si el tipo es 0x40 o 0x41:

 typedef struct ConfigBlock { BStrings patterns[N]; int(0); } ConfigBlock; 

De lo contrario, la estructura del campo:

 typedef struct BaseBlock { int typeSizeStr; string urlStr; int flagSize; char flag[flagSize]; int firstOptStrSize; char firstOptStr[firstOptStrSize]; int secondOptStrSize; char secondOptStr[secondOptStrSize]; int thirdOptStrSize; char thirdOptStr[thirdOptStrSize]; } BaseBlock; 

Echemos un vistazo más de cerca a uno de los bloques de muestra:


En primer lugar, preste atención al campo "Tipo de bloque de configuración" en el bloque "Información común del bloque de configuración". Es 0x11, lo que significa que cuando un usuario carga una página cuya URL cae bajo la regla de expresión regular ^ [^ =] * \ / wcmfd \ / wcmpw \ / CustomerLogin $ , la línea <cuerpo (segundo argumento) se reemplaza por la línea < body style = "display: none;" (tercer argumento).

En la memoria de la aplicación, se crea una lista vinculada para cada tipo. El algoritmo de análisis para listas vinculadas se presenta en la figura a continuación como una pantalla IDA Pro. Puede ver el script de Python para los pares de datos de configuración aquí .

Información de CnC

Después de varios meses de monitorear el desarrollo de IcedID, encontramos muchos dominios que el troyano incluyó en la lista de configuraciones dinámicas en la sección CnC. Representaremos dominios en forma de correspondencia (correo electrónico desde el cual se realizó el registro → dominio):

Echemos un vistazo más de cerca a los usuarios para los que se han registrado los dominios:


Finalmente, considere la cronología de cambiar las direcciones IP de dominio. Todas las direcciones IP se han agregado a la tabla desde noviembre de 2017:


Después de estudiar los datos presentados, podemos resumir que todos los dominios están registrados en el correo generado mediante el servicio de correo temporal. La ubicación del solicitante de registro ficticio se encuentra en los Estados Unidos, mientras que los dominios se encuentran en Rusia, Ucrania, los Países Bajos, China, Kazajstán y Alemania (recientemente ha habido una tendencia a "mover" los dominios a Ucrania y Alemania). Todos los dominios están en las zonas de dominio "com" y "net". El alfabeto en el que consiste el dominio incluye solo las letras del alfabeto inglés. En el lado de CnC, se abre el servidor web OpenResty.

Conclusión

A pesar de la "antigüedad" de los troyanos tipo Zeus, su relevancia no cae. Como resultado, IcedID aparece en la arena de los troyanos destinados a clientes bancarios. Aunque el banquero ya tenía una extensa lista de oportunidades al principio, todavía está mejorando: los métodos de desempaque se están volviendo más complicados y la lista de objetivos se está expandiendo. Lo más probable es que, en el futuro, el malware adquiera mecanismos antianálisis y el servidor CnC administre inyecciones web selectivas a los dispositivos infectados. Mientras tanto, los troyanos no satisfacen todos los requisitos de sus "usuarios", como lo demuestra el uso de TrickBot en diciembre junto con IcedID.

Group-IB sabe todo sobre el cibercrimen, pero cuenta las cosas más interesantes.

El canal Telegram lleno de acción (https://t.me/Group_IB) sobre seguridad de la información, piratas informáticos y ataques cibernéticos, piratas informáticos y piratas de Internet. Investigaciones del cibercrimen sensacionalista por pasos, casos prácticos utilizando tecnologías del Grupo IB y, por supuesto, recomendaciones sobre cómo no convertirse en una víctima en Internet.

Grupo de canales de YouTube -IB
Grupo-IB Photowire en Instagram www.instagram.com/group_ib
Noticias breves de Twitter twitter.com/GroupIB

Group-IB es uno de los desarrolladores líderes de soluciones para detectar y prevenir ataques cibernéticos, detectar fraudes y proteger la propiedad intelectual en una red con sede en Singapur.