Héritier de Zeus: pourquoi le cheval de Troie IcedID est dangereux pour les clients des banques

Les experts de Group-IB ont analysé le cheval de Troie attaquant les clients des banques américaines et rendu publics les résultats d'une analyse approfondie du format de données de configuration dynamique avec des scripts Python et des informations sur les serveurs CnC.


En novembre 2017, une équipe de chercheurs d'IBM X-Force a publié un rapport sur un nouveau cheval de Troie - IcedID , qui s'adresse principalement aux clients des banques américaines. Le bot possède de nombreuses fonctionnalités du célèbre logiciel malveillant Zeus, notamment: le téléchargement et l'exécution de modules, la collecte et la transmission de données d'authentification au serveur, des informations sur le périphérique infecté et la réalisation d'une attaque man-in-the-browser (MITB). Malgré le fait que dans sa fonctionnalité, le nouveau cheval de Troie s'est avéré similaire à d'autres banquiers populaires - Trickbot, GOZI, Dridex, qui attaquent activement les clients des banques, IcedID utilise un format binaire non standard pour stocker les données de configuration. Une autre caractéristique distinctive de ce logiciel malveillant est la possibilité de déployer un serveur proxy directement sur la machine infectée pour mener une attaque MITB.

Texte: Ivan Pisarev, spécialiste de l'analyse des malwares Group-IB

Immédiatement, IcedID n’est pas aussi répandu que les autres chevaux de Troie, mais il dispose désormais de suffisamment de fonctionnalités pour atteindre ses objectifs, dont le vol des informations d’identification de la victime est le principal. Cela peut être réalisé de plusieurs manières, à partir du vol banal de fichiers et d'entrées de registre sur un ordinateur infecté, et se terminant par l'interception et la modification du trafic du navigateur crypté (attaque man-in-the-browser).

Dans le cas d'IcedID, des données ont été volées dans des comptes: Windows Live Mail, Windows Mail, RimArts, Poco Systems Inc, IncrediMail, The Bat! et Outlook. L'attaque MITB est effectuée à l'aide d'un serveur proxy, qui récupère un cheval de Troie sur un appareil infecté, passant ainsi tout le trafic réseau par lui-même et le modifiant. IcedID dispose également d'un module de traitement des commandes du serveur qui vous permet de télécharger et d'exécuter le fichier à distance (par exemple, dans le cas à l'étude, l'échantillon a chargé le module VNC, dont le code de programme a des sections de code similaires avec IcedID).

L'utilisation d'un serveur proxy pour MITB est un comportement atypique pour ce type de cheval de Troie. Le plus souvent, les logiciels malveillants sont intégrés dans le contexte du navigateur et redirigent les appels de fonction des bibliothèques standard vers ses fonctions de gestionnaire (exemple: WinHttpConnect () , InternetConnect () , InternetReadFile () , WinHttpReadData () , etc.). Auparavant, l'astuce proxy était déjà utilisée dans GootKit .

IcedID a été distribué à l'aide d'un autre malware, Emotet (il est actuellement souvent utilisé comme chargeur de démarrage, bien qu'il possède des fonctionnalités avancées) et comprenait déjà au début une longue liste de méthodes modernes de vol de données utilisateur.

Le cheval de Troie a maintenant des mécanismes anti-analyse plutôt faibles (cryptage de chaîne, en-tête corrompu) et n'a pas de méthodes de détection de VM. Du point de vue du chercheur, les logiciels malveillants sont toujours en cours de développement et ces mécanismes de protection seront ajoutés ultérieurement.

Le système de cyberintelligence Threat Intelligence Group-IB n'a pas détecté de ventes IcedID sur les forums thématiques, ce qui signifie soit l'émergence d'un nouveau groupe dans le domaine des chevaux de Troie bancaires, soit la vente du cheval de Troie via des canaux privés. Les objectifs du bot, à en juger par les données de configuration dynamiques (ci-après dénommées configs), se trouvent principalement aux États-Unis.


Cet article comprend une analyse détaillée du cheval de Troie, une analyse approfondie du format des configurations dynamiques avec des scripts Python et des informations sur CnC.

Partie technique

Description générale du travail du cheval de Troie

Initialement, la section .data du cheval de Troie est cryptée. Tout d'abord, après l'avoir démarré, il décrypte la section selon l'algorithme:


Les variables initial_seed et size_seed sont situées au début de la section de données (les 8 premiers octets de la section), après quoi des données chiffrées de taille octets de taille sont trouvées. La fonction make_seed () est une fonction unique de générateur de nombres pseudo-aléatoires ( PRNG) pour IcedID, à laquelle nous reviendrons plus d'une fois. Vous pouvez trouver la version Python de la fonction ici .

Initialement, le bot contient des chaînes cryptées. Pour faciliter l'analyse, un script a été décodé pour IDA Pro pour décrypter les chaînes (vous devez insérer l'adresse de la fonction de décryptage dans votre échantillon).

L'étape suivante consiste à ajouter un gestionnaire d'exceptions à l'aide de la fonction SetUnhandledExceptionFilter () . Si une exception se produit pendant le fonctionnement de l'application, elle redémarre simplement.

Après avoir ajouté un gestionnaire d'exceptions, le cheval de Troie collecte des informations sur le système infecté:

1. Version du système d'exploitation
2. Numéro de build du système d'exploitation
3. Version du Service Pack
4. Capacité du système
5. Type d'OS

L'application crée un descripteur de sécurité: D: (A ;; GA ;;; WD) (A ;; GA ;;; AN) S: (ML ;; NW ;;; S-1-16-0) , puis alloue de la mémoire pour l'enregistrement des informations pendant le fonctionnement du cheval de Troie. Exemple de chaînes enregistrées (les chaînes ont été obtenues à l'aide d'un script dans l'IDA):

1. E | C | IN | INS | ISF | CP% u
2. I | C | IN | INT | CI | % u
3. W | C | IN | INT | CI | CRLL

IcedID peut prendre plusieurs paramètres. Parmi eux:

• --svc = - enregistre la chaîne du paramètre dans le registre par clé avec le nom IcedID_reg ("* p *") , où IcedID_reg (str) est la fonction de génération du nom de la clé à partir de la chaîne str (l'algorithme de génération des noms de clé de registre sera décrit plus loin), après quoi le cheval de Troie accède à un événement avec le nom Global \ <% Chaîne de caractères aléatoires%> . En cas d'erreur, le bot crée une copie de son processus avec le paramètre / w = . Si cela n'a pas pu être fait, cela crée une valeur dans le registre:

HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ <% Une chaîne de longueur 9 à partir de caractères aléatoires de l'alphabet [az]%>

assurant ainsi une persistance dans le système. Cette clé est destinée au lancement initial du cheval de Troie.

• / u - par défaut, le malware essaie de s'exécuter en tant qu'administrateur de domaine (en utilisant le programme runas ). Si cet indicateur est présent, le cheval de Troie n'effectue pas cette opération et crée simplement sa copie dans le répertoire C: \ Users \ <% username%> \ AppData \ Local \ <% Une chaîne de longueur 9 à partir de caractères aléatoires de l'alphabet [az]%> avec le nom <% Une chaîne de longueur 9 à partir de caractères aléatoires de l'alphabet [az]%>. Exe , et écrit le chemin d'accès au fichier dans le registre, assurant ainsi une persistance dans le système.

HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ <% Une chaîne de longueur 9 à partir de caractères aléatoires de l'alphabet [az]%>

Il semble que cette clé soit utilisée lors de la mise à jour d'un banquier. Avant de redémarrer le cheval de Troie «s'endort» pendant 5 secondes.

• / c - avant d'exécuter des fonctions malveillantes, le cheval de Troie «s'endort» pendant 5 secondes
• / w = - enregistre une chaîne du paramètre dans le registre par clé avec le nom IcedID_reg ("* p *")

Après avoir traité les paramètres, l'application accède au registre et extrait les données de configuration dynamiques qui contiennent des adresses CnC, ainsi que des injections Web. Le format de stockage des données dans le registre est décrit dans les sections suivantes.

Après avoir accédé au registre, le programme crée un thread qui, une fois toutes les 5 ou 10 minutes (selon l'indicateur interne), contacte CnC afin de recevoir des commandes. Ici, il convient de noter le mécanisme non standard de «s'endormir» du bot entre les appels à CnC: les développeurs n'ont pas utilisé la fonction Sleep () standard, ils ont plutôt créé un événement dans un état sans signal et sans l'appeler dans l'état signal, appelez la fonction WaitForSingleObject () . Fonction de création de flux d'appels CnC:


L'analogue de la fonction Sleep () dans IcedID:


La longue période d'accès au serveur, ainsi que la «fonction sommeil» non standard sont très probablement conçues pour contrecarrer l'analyse.

SSL est utilisé pour masquer le trafic entre le serveur et l'application.

Après avoir démarré le thread, le bot «lève» le serveur proxy sur la machine locale afin de traiter le trafic sur la machine infectée.

Le protocole de communication du serveur et du périphérique infecté sera abordé dans les sections suivantes. Cependant, il convient de noter que le malware à la commande du serveur peut mettre à jour les configurations, démarrer et arrêter le serveur VNC, exécuter les commandes cmd.exe, télécharger des fichiers.

Interaction entre IcedID et le serveur CnC

La liste des adresses CnC est stockée dans le corps du banquier sous forme cryptée, ainsi que dans le registre sous forme de configuration dynamique. L'interaction entre le serveur et le cheval de Troie est réalisée à l'aide du protocole HTTPS. Envoie des données au serveur avec des requêtes POST, utilise GET pour recevoir des données.

La chaîne de requête du serveur est la suivante:

<% CnC%> /forum/viewtopic.php?a=<%Integer%>&b=<%Long integer%> & d = <% Integer%> & e = <% Integer%> & <% Autres données%>

Valeur du champ:

• a - type de demande, ce champ peut prendre des valeurs:
  

  Valeur	Action
  0,1	Envoyer des informations sur une machine infectée
  2,3	Envoyer d'autres données au serveur
  4	Obtenez la dernière version des configurations dynamiques et mettez-les dans le registre en utilisant la clé avec le nom IcedID_reg ("* cfg1")
  5	Obtenez la dernière version des configurations dynamiques et mettez-les dans le registre en utilisant la clé avec le nom IcedID_reg ("* cfg0")
  6	Obtenez la dernière version des configurations dynamiques et mettez-les dans le registre en utilisant la clé avec le nom IcedID_reg ("* rtd") (adresses CnC)
  7	Obtenez la dernière version du module VNC
  8	Obtenez la dernière version du bot

• b - ID de bot
• d - drapeau
• e - constante, située directement dans le code bot

De plus, les valeurs de champ dépendent du champ "a". Si c'est 0 ou 1, alors la requête ressemble à ceci:

POST /forum/viewtopic.php?a=<%0 ou 1%> & b = <% BotID%> & d = <% Integer%> & e = <% Constant%> & f = <% Cfg1 Checksum%> & g = <% Cfg0 Somme de contrôle%> & h = <% Rtd Somme de contrôle%> & r = <% VNC Somme de contrôle%> & i = <% Temps de demande%> HTTP / 1.1
Connexion: fermer
Type de contenu: application / x-www-form-urlencoded
Longueur du contenu:

Le corps de la demande contient des informations sur la machine infectée. Les informations sont fournies sous forme de:

k = <% String%> & l = <% String%>% j = <% Integer%> & n = <% Integer%> & m = <% String%>

Où:

• k - nom de l'ordinateur en UNICODE
• l - membre de domaine dans UNICODE
• m - Informations système:
  
  1. Version du système d'exploitation
  2. Numéro de build du système d'exploitation
  3. Version du Service Pack
  4. Capacité du système
  5. Type d'OS

Si le champ est 2 ou 3, la requête ressemble à ceci:

POST /forum/viewtopic.php?a=<%3 ou 2%> & b = <% BotID%> & d = <% Integer%> & e = <% Constant%> HTTP / 1.1
Connexion: fermer
Type de contenu: application / octet-stream
Longueur du contenu:

Sinon, la demande est la suivante:

GET /forum/viewtopic.php?a=<%4-8%>&b=<%BotID%>&d=<%Integer%>&e=<%Constant%>&o=<%Object checksum%>
HTTP / 1.1
Connexion: fermer

Type de contenu: application / x-www-form-urlencoded
Longueur du contenu:

Des exemples de requêtes sont présentés dans les figures ci-dessous. En-tête du package lors de l'accès au serveur:


Corps du message:


Le cheval de Troie peut recevoir des commandes du serveur. Les commandes sont représentées sous forme de valeurs entières. Toutes les commandes arrivent au bot sous forme de chaînes dont les paramètres sont séparés par le symbole «;». Le programme peut traiter 23 commandes:


Si la commande est exécutée avec succès, le cheval de Troie envoie la chaîne "True" au serveur, sinon "False".

Dans le cas de la réception d'une commande pour lancer le module de commandes avancées, l'application envoie deux octets au serveur, après quoi elle attend une réponse. Le premier octet reçu du serveur correspond à la commande étendue de la table:


Un serveur VNC peut être démarré de deux manières possibles (selon l'indicateur interne):

1. Utilisation de la fonction CreateProcessA () avec le paramètre kernel32 rundll32.exe, Sleep -s <% param%>
2. Utilisation de la fonction CreateProcessA () avec le paramètre svchost.exe -s <% param%>

où <% param%> est 16 octets dans la représentation sous forme de chaîne, remplis comme suit:


Immédiatement après le démarrage, le module VNC vérifie la présence du commutateur -s , après quoi il lit le paramètre passé et vérifie la condition:

paramValue[0] == paramValue[1] ^ (paramValue[3] | (paramValue[2] << 16)) 

et l'utilisation de la fonction DuplicateHandle () crée une copie du handle de socket pour une interaction supplémentaire avec le serveur.

Le paramètre StartupInfo de la fonction CreateProcessA () contient le nom du Desktop'a: Default <% flag%> par défaut . De plus, avant l'appel de fonction, l'adresse du module VNC est placée dans le paramètre ProcessInformation :



Comme le montre la liste, IcedID dispose d'une large gamme de capacités pour un contrôle complet de la machine infectée. Même si l'opérateur rencontre le problème de l'absence de toute fonction, il va simplement télécharger un autre programme à l'aide d'un cheval de Troie et effectuer les tâches qui lui sont assignées. Par exemple, fin décembre 2017, nous avons enregistré la distribution de TrickBot par ce banquier.

Informations de configuration

Génération de noms pour les entrées de registre

Toutes les données de configuration que le programme reçoit du serveur sont stockées dans le registre du périphérique infecté (à l'exception du module VNC, qui est stocké dans le répertoire% TEMP% au format tmp% 0.8X01.dat ).

Les noms des clés de registre qui stockent les données de configuration qui nous intéressent sont calculés à l'aide de la fonction suivante:


Comme vous pouvez le voir sur la figure, le nom de la clé est une valeur de hachage MD5 provenant de deux variables - str et computerSeed . Le type de données stockées dans la variable de registre dépend de la valeur de la première variable. Par exemple, avec une valeur variable de * cfg0 ou * cfg1, la clé de registre stocke les injections Web, avec une valeur de * rtd la clé stocke une liste CnC.

computerSeed est une variable unique à l'utilisateur. Il est calculé en fonction du SID de l'utilisateur. Le script fournit une version python du calcul de cette variable.

Chemin d'accès complet aux entrées de configuration dans le registre:

HKEY_CLASSES_ROOT \ CLSID \ <% Valeur MD5 au format: {% 0.8X-% 0.4X-% 0.4X-% 0.4X-% 0.4X% 0.8X}%>

L'algorithme décrit ci-dessus est précisément l'algorithme de génération du nom IcedID_reg () , qui a été mentionné à plusieurs reprises ci-dessus.

Nous avons trouvé les valeurs de chaîne suivantes qui sont impliquées dans la génération de noms de registre d'informations importantes pour le banquier:

• * cfg0 - contient une liste commune d' injections Web
• * cfg1 - contient une liste d'adresses et de chaînes pour voler complètement les données de la page
• * rtd - une liste d'adresses CnC
• * bc * - notifie l'état du module pour le traitement des commandes étendues à partir du serveur. Si cette entrée est dans le registre - le module est en cours d'exécution
• * p * - enregistre les paramètres de démarrage avec les touches --svc = et / w =

Structure de stockage des fichiers de configuration dynamiques

Les configurations dynamiques sont stockées dans le registre sous forme cryptée. Le serveur VNC, qui se trouve dans le répertoire% TEMP%, est chiffré de la même manière.

Deux algorithmes sont utilisés pour le chiffrement des données: l'algorithme de cheval de Troie propriétaire et le RC4. Schéma d'algorithme de déchiffrement:


Passons de la théorie à la pratique. Données initialement chiffrées après lecture du registre:


Après avoir reçu les données, le malware les déchiffre en utilisant son propre algorithme:


Et encore une fois, nous rencontrons la fonction make_seed () !

Après le décryptage, nous avons (faites attention aux adresses - il est décrypté dans la même section de la mémoire):


Après le deuxième déchiffrement en mémoire, nous voyons ce qui suit:


Une fois les données décompressées et analysées. Il est à noter qu'avant de libérer des données, les données sont à nouveau cryptées à l'aide de RC4 - protection contre l'analyse dynamique de l'application.

La structure de données supplémentaire dépend du type de données de configuration. Par exemple, les données de configuration avec le préfixe rtd sont stockées au format:

 typedef struct CNCStruct { char signedMD5sum[128]; int checksum; BStrings cnc[N]; } CNCStruct; typedef struct BStrings { int length; char str[length]; } BStrings; 

Liste des adresses CnC dans une étude:


Avant d'accéder aux adresses CnC à partir de la liste reçue, le bot vérifie la signature numérique. La clé publique pour vérifier la signature est stockée dans le corps du bot sous forme cryptée. Après la procédure de vérification de signature, l'application «écrase» la clé publique, d'abord avec des données aléatoires, puis avec des zéros:


Les configurations avec le préfixe cfg sont stockées au format:

 typedef struct CfgStruct { int checksum; int elements_count; char config[]; } CfgStruct; 

Dans le cas étudié, nous avons vu les données suivantes:


Les données sont stockées dans un format binaire unique, qui sera discuté plus tard.

Vous pouvez voir l'algorithme pour générer des clés de registre et décrypter les données de configuration dans un script .

Algorithme d'analyse des données de configuration

Après avoir déchiffré les données, le programme les analyse et les enregistre sous la forme d'une liste liée, qui participe ensuite à l'analyse du trafic sur le périphérique infecté (MITB). Tout d'abord, les données sont divisées en blocs qui ont une structure:

 typedef struct BaseBlock { int size; char type; char global_flag; char data[size - 6]; } BaseBlock; 

La structure du champ de données dépend de l'indicateur de type . L'indicateur dans cette structure indique ce qui se passe lorsqu'une chaîne est trouvée dans l'URL / le corps de la demande. Le champ peut prendre les valeurs suivantes:

La structure du champ de données si le type est 0x40 ou 0x41:

 typedef struct ConfigBlock { BStrings patterns[N]; int(0); } ConfigBlock; 

Sinon, la structure du champ:

 typedef struct BaseBlock { int typeSizeStr; string urlStr; int flagSize; char flag[flagSize]; int firstOptStrSize; char firstOptStr[firstOptStrSize]; int secondOptStrSize; char secondOptStr[secondOptStrSize]; int thirdOptStrSize; char thirdOptStr[thirdOptStrSize]; } BaseBlock; 

Examinons de plus près l'un des exemples de blocs:


Tout d'abord, faites attention au champ "Type de bloc de configuration" dans le bloc "Informations communes du bloc de configuration". Il s'agit de 0x11, ce qui signifie que lorsqu'un utilisateur charge une page dont l'URL relève de la règle d'expression régulière ^ [^ =] * \ / wcmfd \ / wcmpw \ / CustomerLogin $ , la ligne <body (deuxième argument) est remplacée par la ligne < body style = "display: none;" (troisième argument).

Dans la mémoire de l'application, une liste liée est créée pour chaque type. L'algorithme d'analyse des listes chaînées est présenté dans la figure ci-dessous sous la forme d'un écran IDA Pro. Vous pouvez voir le script Python pour les pars des données de configuration ici .

Informations CnC

Après plusieurs mois de suivi du développement d'IcedID, nous avons trouvé de nombreux domaines que le cheval de Troie a inclus dans la liste des configurations dynamiques de la section CnC. Nous représentons les domaines sous forme de correspondance (e-mail à partir duquel l'enregistrement a eu lieu → domaine):

Examinons maintenant de plus près les utilisateurs auprès desquels les domaines ont été enregistrés:


Enfin, considérez la chronologie du changement des adresses IP de domaine. Toutes les adresses IP ont été ajoutées au tableau depuis novembre 2017:


Après avoir étudié les données présentées, nous pouvons résumer que tous les domaines sont enregistrés pour le courrier généré à l'aide du service de courrier temporaire. Le titulaire fictif est situé aux États-Unis, tandis que les domaines eux-mêmes sont situés en Russie, en Ukraine, aux Pays-Bas, en Chine, au Kazakhstan et en Allemagne (récemment, il y a eu une tendance à «déplacer» les domaines en Ukraine et en Allemagne). Tous les domaines se trouvent dans les zones de domaine "com" et "net". L'alphabet qui compose le domaine comprend uniquement les lettres de l'alphabet anglais. Côté CnC, le serveur Web OpenResty est levé.

Conclusion

Malgré «l'antiquité» des chevaux de Troie de type Zeus, leur pertinence ne tombe pas. En conséquence, IcedID apparaît dans l'arène des chevaux de Troie destinés aux clients des banques. Bien que le banquier disposait déjà d'une longue liste d'opportunités au départ, il continue de s'améliorer: les méthodes de déballage deviennent de plus en plus compliquées et la liste des objectifs s'allonge. Très probablement, à l'avenir, le programme malveillant acquerra des mécanismes anti-analyse, et le serveur CnC donnera sélectivement des injections Web aux appareils infectés. Dans l'intervalle, les chevaux de Troie ne satisfont pas à toutes les exigences de leurs «utilisateurs», comme en témoigne l'utilisation de TrickBot en décembre dernier avec IcedID.

Group-IB sait tout sur la cybercriminalité, mais raconte les choses les plus intéressantes.

La chaîne Telegram pleine d'action (https://t.me/Group_IB) sur la sécurité des informations, les pirates et les cyberattaques, les hacktivistes et les pirates Internet. Enquêtes sur la cybercriminalité sensationnelle par étapes, cas pratiques utilisant les technologies du Groupe IB et, bien sûr, recommandations sur la façon d'éviter de devenir une victime sur Internet.

Groupe de chaînes YouTube -IB
Photowire Group-IB sur Instagram www.instagram.com/group_ib
Nouvelles brèves Twitter twitter.com/GroupIB

Group-IB est l'un des principaux développeurs de solutions pour détecter et prévenir les cyberattaques, détecter les fraudes et protéger la propriété intellectuelle dans un réseau dont le siège est à Singapour.