Herdeiro de Zeus: por que o Trojan IcedID é perigoso para clientes de bancos

Os especialistas do Group-IB analisaram o Trojan que atacava os clientes bancários dos EUA e disponibilizaram publicamente os resultados de uma análise profunda do formato de dados de configuração dinâmica com scripts Python e informações nos servidores CnC.


Em novembro de 2017, uma equipe de pesquisadores da IBM X-Force publicou um relatório sobre um novo Trojan - IcedID , voltado principalmente para clientes de bancos dos EUA. O bot possui muitos recursos do famoso malware Zeus, incluindo: download e execução de módulos, coleta e transmissão de dados de autenticação para o servidor, informações sobre o dispositivo infectado e execução de um ataque MITB (man-in-the-browser). Apesar de, em sua funcionalidade, o novo Trojan ser semelhante a outros banqueiros populares - Trickbot, GOZI, Dridex, que atacam ativamente clientes de bancos, o IcedID usa um formato binário não padrão para armazenar dados de configuração. Outro recurso distintivo desse malware é a capacidade de implantar um servidor proxy diretamente na máquina infectada para realizar um ataque MITB.

Texto: Ivan Pisarev, Especialista em Análise de Malware do Grupo-IB

Imediatamente, o IcedID não é tão difundido em comparação com outros cavalos de Troia, mas agora possui funcionalidade suficiente para atingir seus objetivos, dos quais o roubo das credenciais da vítima é o principal. Isso pode ser conseguido de várias maneiras, começando com o roubo banal de arquivos e entradas do Registro de um computador infectado e terminando com a interceptação e alteração do tráfego criptografado do navegador (ataque do homem no navegador).

No caso do IcedID, os dados foram roubados das contas: Windows Live Mail, Windows Mail, RimArts, Poco Systems, IncrediMail, The Bat! e Outlook. O ataque MITB é realizado usando um servidor proxy, que captura um cavalo de Troia em um dispositivo infectado, passando todo o tráfego da rede e modificando-o. O IcedID também possui um módulo de processamento de comando do servidor que permite baixar e executar remotamente o arquivo (por exemplo, no caso em estudo, a amostra carregou o módulo VNC, cujo código do programa possui seções semelhantes de código com o IcedID).

O uso de um servidor proxy para MITB é um comportamento atípico para esse tipo de Trojan. Com mais freqüência, o malware é incorporado no contexto do navegador e as chamadas de função redirecionadas das bibliotecas padrão para suas funções de manipulador (exemplo: WinHttpConnect () , InternetConnect () , InternetReadFile () , WinHttpReadData () , etc.). Anteriormente, o truque do proxy já era usado no GootKit .

O IcedID foi distribuído usando outro malware, o Emotet (atualmente é frequentemente usado como um carregador de inicialização, embora tenha funcionalidade avançada) e já no início incluía uma extensa lista de métodos modernos de roubo de dados do usuário.

Agora, o cavalo de Troia possui mecanismos anti-análise bastante fracos (criptografia de string, cabeçalho corrompido) e não possui métodos de detecção de VM. Do ponto de vista do pesquisador, o malware ainda está em desenvolvimento e esses mecanismos de proteção serão adicionados posteriormente.

O sistema de inteligência cibernética do Group-IB Threat Intelligence não detectou vendas do IcedID em fóruns temáticos, o que significa o surgimento de um novo grupo na arena de trojans bancários ou a venda do trojan por canais privados. Os objetivos do bot, a julgar pelos dados dinâmicos da configuração (a seguir denominados configurações), estão localizados principalmente nos EUA.


Este artigo inclui uma análise detalhada do Trojan, uma análise profunda do formato de configurações dinâmicas com scripts Python e informações sobre o CnC.

Parte técnica

Descrição geral do trabalho do Trojan

Inicialmente, a seção .data do cavalo de Troia é criptografada. Primeiro, após iniciá-lo, descriptografa a seção de acordo com o algoritmo:


As variáveis initial_seed e size_seed estão localizadas no início da seção de dados (os primeiros 8 bytes da seção), após o qual são encontrados dados criptografados com tamanho de bytes de tamanho . A função make_seed () é uma função exclusiva de gerador de número pseudo-aleatório ( PRNG) para IcedID, à qual retornaremos mais de uma vez. Você pode encontrar a versão Python da função aqui .

Inicialmente, o bot contém seqüências de caracteres criptografadas. Para facilitar a análise, um script foi decodificado para o IDA Pro decodificar as seqüências de caracteres (você deve inserir o endereço da função de decodificação em sua amostra).

A próxima etapa é adicionar um manipulador de exceções usando a função SetUnhandledExceptionFilter () . Se ocorrer alguma exceção durante a operação do aplicativo, ela simplesmente será reiniciada.

Depois de adicionar um manipulador de exceções, o trojan coleta informações sobre o sistema infectado:

1. Versão do SO
2. Número de compilação do SO
3. Versão do Service Pack
4. Capacidade do sistema
5. Tipo de SO

O aplicativo cria um descritor de segurança: D: (A ;; GA ;;; WD) (A ;; GA ;;; AN) S: (ML ;; NW ;;; S-1-16-0) e depois aloca memória para registrar informações durante a operação do Trojan. Exemplo de strings registradas (as strings foram obtidas usando um script no IDA):

1. E | C | IN | INS | ISF | CP% u
2. I | C | IN | INT | CI | % u
3. W | C | IN | INT | CI | CRLL

O IcedID pode levar vários parâmetros. Entre eles estão:

• --svc = - salva a string do parâmetro no registro por chave com o nome IcedID_reg ("* p *") , em que IcedID_reg (str) é a função de gerar o nome da chave a partir da string str (o algoritmo para gerar nomes de chave do Registro será descrito posteriormente), após o que o trojan acessa um evento com o nome Global \ <% String de caracteres aleatórios%> . Em caso de erro, o bot cria uma cópia do seu processo com o parâmetro / w = . Se isso não puder ser feito, ele cria um valor no registro:

HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ <% Uma cadeia de comprimento 9 de caracteres aleatórios no alfabeto [az]%>

garantindo assim uma persistência no sistema. Esta chave é destinada ao lançamento inicial do Trojan.

• / u - por padrão, o malware tenta executar-se como administrador de domínio (usando o programa runas ). Se esse sinalizador estiver presente, o trojan não executa esta operação e simplesmente cria sua cópia no diretório C: \ Users \ <% username%> \ AppData \ Local \ <% Uma cadeia de comprimento 9 de caracteres aleatórios do alfabeto [az]%> com o nome <% Uma cadeia de comprimento 9 de caracteres aleatórios do alfabeto [az]%>. Exe e grava o caminho para o arquivo no registro, garantindo assim uma persistência no sistema.

HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ <% Uma cadeia de comprimento 9 de caracteres aleatórios no alfabeto [az]%>

Parece que essa chave é usada ao atualizar um banqueiro. Antes de reiniciar, o Trojan "adormece" por 5 segundos.

• / c - antes de executar funções maliciosas, o Trojan "adormece" por 5 segundos
• / w = - salva uma string do parâmetro no registro por chave com o nome IcedID_reg ("* p *")

Após o processamento dos parâmetros, o aplicativo acessa o registro e obtém os dados de configuração dinâmica que contêm endereços CnC, além de injeções na Web. O formato para armazenar dados no registro é descrito nas seções a seguir.

Após acessar o registro, o programa cria um encadeamento que, uma vez a cada 5 ou 10 minutos (dependendo do sinalizador interno), entra em contato com o CnC para receber comandos. Vale a pena observar o mecanismo não padrão do bot "adormecer" entre as chamadas para o CnC: os desenvolvedores não usaram a função Sleep () padrão; em vez disso, criaram um evento em um estado sem sinal e, sem convertê-lo em um estado de sinal, chame a função WaitForSingleObject () . Função de criação de fluxo de chamadas CnC:


O análogo da função Sleep () no IcedID:


O longo período de acesso ao servidor, bem como a "função de suspensão" não padrão, são provavelmente projetados para neutralizar a análise.

O SSL é usado para ocultar o tráfego entre o servidor e o aplicativo.

Depois de iniciar o encadeamento, o bot "gera" o servidor Proxy na máquina local para processar o tráfego na máquina infectada.

O protocolo de comunicação do servidor e do dispositivo infectado será discutido nas seções a seguir. No entanto, vale ressaltar que o malware sob o comando do servidor pode atualizar as configurações, iniciar e parar o servidor VNC, executar comandos cmd.exe, baixar arquivos.

Interação entre IcedID e CnC Server

A lista de endereços CnC é armazenada no corpo do banqueiro na forma criptografada, bem como no registro na forma de uma configuração dinâmica. A interação entre o servidor e o Trojan é realizada usando o protocolo HTTPS. Envia dados para o servidor com solicitações POST, usa GET para receber dados.

A sequência de consultas do servidor é a seguinte:

<% CnC%> /forum/viewtopic.php?a=<%Integer%>&b=<%Inteiro longo%> & d = <% Integer%> & e = <% Integer%> & <% Other data%>

Valor do campo:

• a - tipo de solicitação, este campo pode assumir valores:
  

  Valor	Acção
  0,1	Enviar informações sobre uma máquina infectada
  2,3	Envie outros dados para o servidor
  4	Obtenha a versão mais recente das configurações dinâmicas e coloque-as no registro usando a chave com o nome IcedID_reg ("* cfg1")
  5	Obtenha a versão mais recente das configurações dinâmicas e coloque-as no registro usando a chave com o nome IcedID_reg ("* cfg0")
  6	Obtenha a versão mais recente das configurações dinâmicas e coloque-as no registro usando a chave com o nome IcedID_reg ("* rtd") (endereços CnC)
  7	Obtenha a versão mais recente do módulo VNC
  8	Obtenha a versão mais recente do bot

• b - ID do bot
• d - flag
• e - constante, localizado diretamente no código bot

Além disso, os valores do campo dependem do campo "a". Se for 0 ou 1, a consulta será assim:

POST /forum/viewtopic.php?a=<%0 ou 1%> & b = <% BotID%> & d = <%% inteiro> & e = <% Constante%> & f = <% Cfg1% de soma de verificação> & g = <% Cfg0% de soma de verificação> & h = <% de soma de verificação Rtd%> & r = <% de soma de verificação VNC%> & i = <% de tempo de solicitação%> HTTP / 1.1
Conexão: fechar
Tipo de conteúdo: application / x-www-form-urlencoded
Comprimento do conteúdo:

O corpo da solicitação contém informações sobre a máquina infectada. As informações são fornecidas na forma de:

k = <% String%> & l = <% String%>% j = <%% inteiro> & n = <%% inteiro> & m = <% String%>

Onde:

• k - nome do computador em UNICODE
• l - membro do domínio em UNICODE
• m - Informações do sistema:
  
  1. Versão do SO
  2. Número de compilação do SO
  3. Versão do Service Pack
  4. Capacidade do sistema
  5. Tipo de SO

Se o campo for 2 ou 3, a consulta será assim:

POST /forum/viewtopic.php?a=<%3 ou 2%> & b = <% BotID%> & d = <%% inteiro> & e = <%% constante> HTTP / 1.1
Conexão: fechar
Tipo de Conteúdo: application / octet-stream
Comprimento do conteúdo:

Caso contrário, a solicitação é a seguinte:

GET /forum/viewtopic.php?a=<%4-8%>&b=<%BotID%>&d=<%Integer%>&e=<%Constant%>&o=<%Objeto% de soma de verificação>
HTTP / 1.1
Conexão: fechar

Tipo de conteúdo: application / x-www-form-urlencoded
Comprimento do conteúdo:

Exemplos de consultas são apresentados nas figuras abaixo. Cabeçalho do pacote ao acessar o servidor:


Corpo da mensagem:


O trojan pode receber comandos do servidor. Os comandos são representados como valores inteiros. Todos os comandos chegam ao bot na forma de strings, cujos parâmetros são separados pelo símbolo ";". O programa pode processar 23 comandos:


Se o comando for executado com sucesso, o trojan envia a string "True" para o servidor, caso contrário, "False".

No caso de receber um comando para iniciar o módulo de comandos avançados, o aplicativo envia dois bytes para o servidor, após o que aguarda uma resposta. O primeiro byte recebido do servidor corresponde ao comando estendido da tabela:


Um servidor VNC pode ser iniciado de duas maneiras possíveis (dependendo do sinalizador interno):

1. Usando a função CreateProcessA () com o parâmetro rundll32.exe kernel32, Sleep -s <% param%>
2. Usando a função CreateProcessA () com o parâmetro svchost.exe -s <% param%>

em que <% param%> tem 16 bytes na representação de sequência, preenchida da seguinte maneira:


Imediatamente após o início, o módulo VNC verifica a presença do comutador -s , após o qual lê o parâmetro passado e a condição:

paramValue[0] == paramValue[1] ^ (paramValue[3] | (paramValue[2] << 16)) 

e o uso da função DuplicateHandle () cria uma cópia do identificador de soquete para interação adicional com o servidor.

O parâmetro StartupInfo da função CreateProcessA () contém o nome da área de trabalho especialmente gerada'a: Padrão <% flag%> . Além disso, antes da chamada da função, o endereço do módulo VNC é colocado no parâmetro ProcessInformation :



Como pode ser visto na lista, o IcedID possui uma ampla variedade de recursos para controle completo da máquina infectada. Mesmo que o operador encontre o problema da falta de qualquer função, ele simplesmente fará o download de outro programa com a ajuda de um trojan e executará as tarefas atribuídas a ele. Por exemplo, no final de dezembro de 2017, registramos a distribuição do TrickBot por esse banqueiro.

Informações de configuração

Geração de nomes para entradas do Registro

Todos os dados de configuração que o programa recebe do servidor são armazenados no registro do dispositivo infectado (exceto o módulo VNC, que é armazenado no diretório% TEMP% no formato tmp% 0.8X01.dat ).

Os nomes das chaves do registro que armazenam os dados de configuração de nosso interesse são calculados usando a seguinte função:


Como você pode ver na figura, o nome da chave é um valor de hash MD5 de duas variáveis ​​- str e computerSeed . Que tipo de dados é armazenado na variável de registro depende do valor da primeira variável. Por exemplo, com um valor variável de * cfg0 ou * cfg1, a chave do registro armazena injeção da Web, com um valor de * rtd, a chave armazena uma lista CnC.

computerSeed é uma variável exclusiva do usuário. É calculado com base no SID do usuário. O script fornece uma versão python do cálculo dessa variável.

Caminho completo para as entradas de configuração no registro:

Valor HKEY_CLASSES_ROOT \ CLSID \ <% MD5 no formato: {% 0.8X-% 0.4X-% 0.4X-% 0.4X-% 0.4X% 0.8X}%>

O algoritmo descrito acima é precisamente o algoritmo para gerar o nome IcedID_reg () , mencionado várias vezes acima.

Encontramos os seguintes valores de sequência envolvidos na geração de nomes de registro de informações importantes para o banqueiro:

• * cfg0 - contém uma lista comum de injeções na web
• * cfg1 - contém uma lista de endereços e sequências para roubar completamente os dados da página
• * rtd - uma lista de endereços CnC
• * bc * - notifica o status do módulo para processar comandos estendidos do servidor. Se esta entrada estiver no registro - o módulo está sendo executado
• * p * - salva os parâmetros de inicialização com as teclas --svc = e / w =

Estrutura de armazenamento de arquivos de configuração dinâmica

As configurações dinâmicas são armazenadas no registro em formato criptografado. O servidor VNC, localizado no diretório% TEMP%, é criptografado da mesma maneira.

Dois algoritmos são usados ​​para criptografia de dados: algoritmo de Trojan proprietário e RC4. Esquema do algoritmo de descriptografia:


Vamos passar da teoria para a prática. Dados inicialmente criptografados após a leitura do registro:


Depois de receber os dados, o malware os descriptografa usando seu próprio algoritmo:


E, novamente, encontramos a função make_seed () !

Após a descriptografia, temos (preste atenção aos endereços - eles são descriptografados na mesma seção da memória):


Após a segunda descriptografia na memória, vemos o seguinte:


Após os dados serem descompactados e analisados. Vale ressaltar que antes de liberar os dados, os dados são criptografados novamente usando a proteção RC4 - contra a análise dinâmica do aplicativo.

A estrutura de dados adicional depende do tipo de dados de configuração. Por exemplo, os dados de configuração com o prefixo rtd são armazenados no formato:

 typedef struct CNCStruct { char signedMD5sum[128]; int checksum; BStrings cnc[N]; } CNCStruct; typedef struct BStrings { int length; char str[length]; } BStrings; 

Lista de endereços CnC em um estudo:


Antes de acessar os endereços CnC da lista recebida, o bot verifica a assinatura digital. A chave pública para verificar a assinatura é armazenada no corpo do bot em forma criptografada. Após o procedimento de verificação da assinatura, o aplicativo "substitui" a chave pública, primeiro com dados aleatórios e depois com zeros:


As configurações com o prefixo cfg são armazenadas no formato:

 typedef struct CfgStruct { int checksum; int elements_count; char config[]; } CfgStruct; 

No caso estudado, vimos os seguintes dados:


Os dados são armazenados em um formato binário exclusivo, que será discutido posteriormente.

Você pode ver o algoritmo para gerar chaves do Registro e descriptografar dados de configuração em um script .

Algoritmo de análise de dados de configuração

Após descriptografar os dados, o programa os analisa e os salva na forma de uma lista vinculada, que posteriormente participa da análise do tráfego no dispositivo infectado (MITB). Primeiro de tudo, os dados são divididos em blocos que possuem a estrutura:

 typedef struct BaseBlock { int size; char type; char global_flag; char data[size - 6]; } BaseBlock; 

A estrutura do campo de dados depende do sinalizador de tipo . O sinalizador nesta estrutura indica o que acontece quando uma string é encontrada no URL / corpo da solicitação. O campo pode assumir os seguintes valores:

A estrutura do campo de dados se o tipo for 0x40 ou 0x41:

 typedef struct ConfigBlock { BStrings patterns[N]; int(0); } ConfigBlock; 

Caso contrário, a estrutura do campo:

 typedef struct BaseBlock { int typeSizeStr; string urlStr; int flagSize; char flag[flagSize]; int firstOptStrSize; char firstOptStr[firstOptStrSize]; int secondOptStrSize; char secondOptStr[secondOptStrSize]; int thirdOptStrSize; char thirdOptStr[thirdOptStrSize]; } BaseBlock; 

Vamos dar uma olhada em um dos blocos de amostra:


Antes de tudo, preste atenção ao campo "Tipo de bloco de configuração" no bloco "Informações comuns do bloco de configuração". É 0x11, o que significa que, quando um usuário carrega uma página cujo URL se enquadra na regra de expressão regular ^ [^ =] * \ / wcmfd \ / wcmpw \ / CustomerLogin $ , a linha <body (segundo argumento) é substituída pela linha < estilo do corpo = "display: none;" (terceiro argumento).

Na memória do aplicativo, uma lista vinculada é criada para cada tipo. O algoritmo de análise para listas vinculadas é apresentado na figura abaixo como uma tela do IDA Pro. Você pode ver o script Python para os dados de configuração analisados aqui .

Informação CnC

Após vários meses de monitoramento do desenvolvimento do IcedID, encontramos muitos domínios que o cavalo de Troia incluiu na lista de configurações dinâmicas na seção CnC. Representaremos domínios na forma de correspondência (e-mail a partir do qual o registro ocorreu → domínio):

Vamos agora dar uma olhada nos usuários para os quais os domínios foram registrados:


Por fim, considere a cronologia da alteração dos endereços IP do domínio. Todos os endereços IP foram adicionados à tabela desde novembro de 2017:


Depois de estudar os dados apresentados, podemos resumir que todos os domínios estão registrados no correio gerado usando o serviço de correio temporário. A localização do registrante fictício fica nos Estados Unidos, enquanto os próprios domínios estão localizados na Rússia, Ucrânia, Holanda, China, Cazaquistão e Alemanha (recentemente houve uma tendência de "mover" domínios para a Ucrânia e a Alemanha). Todos os domínios estão nas zonas de domínio "com" e "net". O alfabeto em que o domínio consiste inclui apenas as letras do alfabeto em inglês. No lado CnC, o servidor da Web OpenResty é gerado.

Conclusão

Apesar da "antiguidade" dos cavalos de Troia semelhantes a Zeus, sua relevância não diminui. Como resultado, o IcedID aparece na arena de trojans destinados a clientes bancários. Embora o banqueiro já tivesse uma extensa lista de oportunidades no início, ele ainda está melhorando: os métodos de desempacotamento estão se tornando mais complicados e a lista de objetivos está se expandindo. Muito provavelmente, no futuro, o programa malicioso adquirirá mecanismos anti-análise e o servidor CnC dará seletivamente injeções na Web a dispositivos infectados. Enquanto isso, os Trojans não atendem a todos os requisitos de seus "usuários", como evidenciado pelo uso do TrickBot em dezembro do ano passado, juntamente com o IcedID.

O Grupo IB sabe tudo sobre crimes cibernéticos, mas conta as coisas mais interessantes.

O canal do Telegram, repleto de ação (https://t.me/Group_IB), sobre segurança da informação, hackers e ataques cibernéticos, hacktivistas e piratas da Internet. Investigações do crime cibernético sensacional por etapas, casos práticos usando as tecnologias do Grupo-IB e, é claro, recomendações sobre como evitar se tornar uma vítima na Internet.

Grupo de Canais do YouTube -IB
Grupo-IB Photowire no Instagram www.instagram.com/group_ib
Notícias curtas do Twitter twitter.com/GroupIB

O Group-IB é um dos principais desenvolvedores de soluções para detectar e prevenir ataques cibernéticos, detectar fraudes e proteger a propriedade intelectual em uma rede sediada em Cingapura.