6

黑客利用钓鱼邮件来分发 IcedID 恶意软件

 3 years ago
source link: https://paper.seebug.org/1866/
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
neoserver,ios ssh client

黑客利用钓鱼邮件来分发 IcedID 恶意软件

17小时之前 2022年03月29日 威胁情报

译者:知道创宇404实验室翻译组
原文链接:https://www.intezer.com/blog/research/conversation-hijacking-campaign-delivering-icedid/

img

这篇文章描述了 Intezer 研究小组发现的一个新的攻击活动的技术分析,黑客通过一个钓鱼邮件发起攻击,利用会话劫持来传输 IcedID。

地下经济不断演变,攻击者专攻特定领域。最近几年蓬勃发展的一个领域是初始访问代理。初始访问代理业务专注于获得组织的初始登陆点访问权,一旦实现,访问权会被卖给其他黑客,进一步将其转化成金钱。

一些初始访问代理的客户购买访问权限来部署勒索软件。Proofpoint 已经识别了十个向勒索软件组织出售访问权限的访问代理商。这些访问代理主要通过银行木马感染受害者,之后,这些木马被用来应“购买者的要求”部署其他的恶意软件。

其中一个用于部署勒索软件的银行木马是 IcedID (BokBot)。2017年11月,IBM X-Force首次报道了 IcedID,该恶意软件与 Pony 的一些代码是相同的。这个恶意软件最初设计用于盗取银行凭证,就像许多其他银行木马一样,现在,它已经被重新设计用于在受感染的机器上部署其他恶意软件。

IcedID感染设备的一种方式是通过网络钓鱼邮件。感染链,通常使用的是一个附有密码保护“ zip”文档的电子邮件。在归档文件中有一个宏启用的办公文档,它执行 IcedID 安装程序。一些钓鱼电子邮件重复使用以前被盗的电子邮件,使诱惑更有说服力。

在新的 IcedID 攻击中,我们发现了攻击者技术的进一步发展。攻击者现在使用已被感染的 microsoft Exchange 服务器从他们窃取的账户发送钓鱼邮件。有效负载还从使用office文档转向使用带有 Windows LNK 文件和 DLL 文件的 ISO 文件。使用 ISO 文件方便了黑客绕过Mark-of-the-Web控制,导致恶意软件在没有警告用户的情况下执行。关于受害者,我们已经发现了能源、医疗、法律和制药行业的组织。

cbee922e-6f8d-4e1b-981d-a9e3c03d4b7e.png-w331s

攻击链从钓鱼邮件开始。该电子邮件包括一些重要文件的消息,并有一个密码保护的“ zip”档案文件附件。文档的密码在邮件正文中给出,如下面的截图所示。使钓鱼电子邮件更有说服力的是它使用了对话劫持(线程劫持)。一个伪造的对以前被盗的电子邮件的回复正在使用。此外,这封电子邮件也是从被盗邮件的邮箱账户发出的。

c3685b04-7958-4074-b7f4-e4ddafbbf97c.png-w331s

压缩文件的内容如下面的截图所示。它包括一个“ ISO”文件,其文件名与 zip 归档文件相同。还可以看到,该文件是在电子邮件发送前不久创建的。

7b45f2f4-5178-4cf7-9505-6d3277e71d02.png-w331s

ISO 文件包括两个文件,一个名为“ document”的 LNK 文件和一个名为“ main”的 DLL 文件。从时间戳可以发现,DLL 文件是前一天准备的,而 LNK 文件是大约一周前准备的。LNK 文件可能已经在早期的网络钓鱼邮件中使用过。

a1650b82-0dfb-458d-bbe4-dffdeaf138a4.png-w331s

LNK 文件通过其嵌入的图标文件看起来像一个文档文件。从下面的截图可以看出,当用户双击链接文件时,它使用“ regsvr32”来执行 DLL 文件。

ebc7a88d-fc7b-484d-a6f0-9b1f83747524.png-w331s

regsvr32的使用允许代理执行main.dll 中的恶意代码同时避开防御。DLL 文件是 IcedID 负载的加载程序。它包含许多导出,其中大部分是垃圾代码。

5c0531a1-a203-41cf-b7ce-3e1e9f6ea05c.png-w331s

加载程序将定位存储在二进制文件的资源部分中的加密有效负载。它通过 API hashing技术实现这一点。下面显示了哈希函数的反编译。

d8309bcc-5896-487c-886e-0379493f96ee.png-w331s

然后将生成的哈希与硬编码哈希进行比较,以定位对FindResourceA.的调用。动态调用该函数来获取有效负载。 b515a1ab-ad76-4964-912c-d1749c12b3c3.png-w331s

4cd78c0b-9f6c-49c9-a282-6113f96c9b7c.png-w331s

使用VirtualAlloc分配内存以保存解密的有效负载。

eda272dc-a82c-4eab-a137-c42f66b34dab.png-w331s

IcedID “Gziploader” 负载被解码并放在内存中,然后执行。GZiploader 对机器进行指纹识别,并向命令和控制服务器发送一个信标,其中包含关于被感染主机的信息。信息是通过一个 HTTP GET 请求通过 cookies 头偷偷传输的。

4a7ac8d3-bffe-4408-91b8-e9dae0339e68.png-w331s

C2位于yourgroceries[.]top。C2可以响应更进一步的阶段来植入和执行。在我们的分析过程中,C2没有回应任何有效载荷。

57c18488-c824-4884-bdf5-a1ae5edc8f2e.png-w331s

作为网络钓鱼技术的会话劫持

通过电子邮件劫持一个已经存在的会话来传播恶意软件的技术,黑客已经使用了一段时间了。通常,电子邮件信息在感染过程中被盗取,并用于下一步的攻击,使钓鱼电子邮件看起来更加合法。在过去的六个月里,攻击者进一步发展了这项技术,使其更具说服力。现在,攻击者不再使用“伪造”的电子邮件地址向受害者发送被盗对话,而是使用他们盗取原始电子邮件的受害者的电子邮件地址,使钓鱼邮件更有说服力。

2021年11月,Kevin Beaumont报道这种会话劫持技术被用于分发 Qakbot。通过调查,他认为,发送邮件的微软 Exchange 服务器有被 ProxyShell 利用的可能。

2022年3月发现的新攻击

在目前的三月中旬的攻击中,我们发现,相同的被盗对话现在是从收到最新电子邮件的电子邮件地址发送的。回到一月份,当这个对话也被使用时,发件地址是“webmaster@[REDACTED].com”,其中包含对话中最后一封电子邮件的收件人姓名。通过使用这种方法,电子邮件看起来更合理,它通过正常渠道传输。

我们观察到的大多数原始 Exchange 服务器似乎也没有打补丁并公开,这使得 ProxyShell 成为一个很好的犯罪工具。虽然大多数用于发送钓鱼邮件的 Exchange 服务器可以通过互联网被任何人访问,但我们也发现一封似乎是“内部”Exchange 服务器发送的内部钓鱼邮件。

下面的代码片段显示了邮件标题的一小部分。Exchange 服务器的 IP 地址是一个本地 IP 地址(172.29.0.12) ,top域名称为“ local”。我们还可以看到Exchange将其标记为内部电子邮件而添加的标题。Exchange 服务器还添加了通过MAPI连接到 Exchange 服务器的原始客户端头(172.29.5.131,也是本地 IP 地址)。

applescript
Received: from ExchSrv01.[REDACTED].local (172.29.0.12) by
 ExchSrv01.[REDACTED].local (172.29.0.12) with Microsoft SMTP Server
 (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id 15.2.464.5
 via Mailbox Transport; Thu, 10 Mar 2022 14:34:29 +0100
Received: from ExchSrv01.[REDACTED].local (172.29.0.12) by
 ExchSrv01.[REDACTED].local (172.29.0.12) with Microsoft SMTP Server
 (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id 15.2.464.5;
 Thu, 10 Mar 2022 14:34:29 +0100
Received: from ExchSrv01.[REDACTED].local ([fe80::b148:8e7:61f8:61b4]) by
 ExchSrv01.[REDACTED].local ([fe80::b148:8e7:61f8:61b4%6]) with mapi id
 15.02.0464.005; Thu, 10 Mar 2022 14:34:29 +0100
…
X-MS-Exchange-Organization-AuthAs: Internal
X-MS-Exchange-Organization-AuthMechanism: 04
X-MS-Exchange-Organization-AuthSource: ExchSrv01.[REDACTED].local
X-MS-Has-Attach: yes
X-MS-Exchange-Organization-SCL: -1
X-MS-Exchange-Organization-RecordReviewCfmType: 0
x-ms-exchange-organization-originalclientipaddress: 172.29.5.131
x-ms-exchange-organization-originalserveripaddress: fe80::b148:8e7:61f8:61b4%6

我们没能为这台 Exchange 服务器找到对应的公共 IP 地址,而且我们也不知道这台服务器是如何被黑客访问的。我们唯一能找到的是一个roundcubewebmail 实例。登录页面如下图所示。

302e6d40-7622-49ff-a3bf-0ba333752d75.png-w331s

上面的代码片段中的一个头文件报告说,客户机通过 MAPI 连接到服务器。MAPI是用于访问 Exchange 服务器上的邮箱的协议(例如,由 Outlook 使用)。这表明攻击者使用 Exchange 客户端而不是使用 SMTP 发送电子邮件。我们还在多封钓鱼邮件中看到了标题“ X-Mailer: Microsoft Outlook 16.0”。在其他网络钓鱼邮件中,可以发现一个“X-Originating-IP”标题。这是 Exchange 服务器在使用 web 界面时添加的标题。标题中的 IP 地址是连接到服务器的客户端的 IP 地址。我们观察了客户端 IP 的主机提供商和非商业 IP 地址。

2021年6月,Proofpoint 发布了一份关于不同访问代理商的报告,这些代理商为勒索软件组织提供了访问便利。根据 Proofpoint,在不同的黑客中,有两个(TA577和 TA551)使用了 IcedID 作为他们的恶意软件。TA551使用的技术包括对话劫持密码 保护 zip文件。该组织还使用 regsvr32.exe 对恶意 dll 执行有签名的二进制代理。

会话劫持的使用是一个强大的社会工程技术,可以提高钓鱼的成功率。有效载荷已经从office文件转移到使用 ISO 文件,利用商用打包软件和多个阶段隐藏踪迹。能够检测内存中的恶意文件来检测这种类型的攻击非常重要。

77fad02c-e52e-4a92-842e-481ff8031a06.png-w331s

  1. ISO File:
    3542d5179100a7644e0a747139d775dbc8d914245292209bc9038ad2413b3213
  2. Loader DLL:
    698a0348c4bb8fffc806a1f915592b20193229568647807e88a39d2ab81cb4c2
  3. LNK File:
    a17e32b43f96c8db69c979865a8732f3784c7c42714197091866473bcfac8250
  4. IcedID GZiploader Network:
    yourgroceries[.]top

Paper 本文由 Seebug Paper 发布,如需转载请注明来源。本文地址:https://paper.seebug.org/1866/


report

Recommend

About Joyk


Aggregate valuable and interesting links.
Joyk means Joy of geeK