トップ > マルウェア > バンキングトロイ”IcedID”が発見された。Emotetを使って拡散か

バンキングトロイ”IcedID”が発見された。Emotetを使って拡散か

マルウェア

f:id:nanashi0x:20171113215444p:plain

IBMのセキュリティ研究チーム、IBM X-Forceによって、新たなトロイの木馬”IcedID”が発見された。

発見された時期

最初にIceIdIDが確認されたのは、2017年9月の事だと言われている。

その後、詳細な調査が行われ、今日(2017/11/12)にIBM X-Forceによって公開された。

ターゲットは英・米の金融企業

IcedIDは、主に金融企業をターゲットにして拡散される。例えば、銀行や、クレジットカード会社、モバイルペイメント、Eコマースサイトなどが標的にされているという。

IcedIDが主にターゲットにしているのは、アメリカ、カナダ、イギリスの3カ国のようだ。

Emotetによるボットネットを使って拡散

IBM X-Forceによれば、Iced IDを拡散しているクラッカー集団は、過去に拡散されたEmotetを利用している。

Emotetとは、過去に、世界中の金融機関を狙って拡散したトロイの木馬であった。

Emotetを操る攻撃者は、感染端末の地理情報やシステム情報を使って、新たなサービスを始めた。

実はEmotetは、「バンキングトロイ」としてではなく、マルウェア拡散用インフラ」として使用されているというのだ。

つまりIcedIDは、Emotetが所有するボットネットをプラットフォームにして拡散しているという事だ。

新種のバンキングトロイの可能性

IBM X-Forceの調査によると、IcedIDは、これまで確認済みのトロイの木馬で使われていたコードを使用しておらず、新たに作成された可能性が高いようだ。

過去にバンキングトロイとして確認されているZeus、Gozi、Dridex等と同様の機能を既に兼ね備えおり、今後更にIcedIDの機能がアップデートされているとIBM X-Forceは予想する。

リダイレクトとインジェクションの両方可能

IcedIDは以下の2パターンの動作をするようだ。

ターゲットの金融情報の盗み取り

ターゲットを攻撃者のサーバーへリダイレクト

 

まず、IcedIDは、ユーザーのブラウザ上でconfファイルをC&Cサーバーからダウンロードする。

このconfファイルには、エクスプロイト用のコードが記述されており、ターゲットによってエクスプロイト方法を変更する。

例えば、金融機関の場合、コード・インジェクション攻撃のコードを実行して、オンラインバンキングのサイトをエクスプロイトする。

一方、感染端末が金融機関以外の場合は、リダイレクト攻撃を起こして、ターゲットのカード情報や、Webメールアカウント情報を盗み取る。

ちなみに、過去に拡散されたバンキングトロイの内、Dridexというバンキングトロイしか、2種類の動作が実装されているものは確認されていない。

Technical Details

X-Forceのセキュリティ研究者は、IcedIDのサンプルを分析。

IcedIDは、主にWindowsPCHROME上で動作することが確認されている。

尚、anti-virtual machine(VM上での動作が出来ない状態)、anti-research(コード分析が出来ない状態)等の機能は実装されていないようだ。

その代わり、IcedIDには以下の機能制限がされている。

・再起動の必要性

完全にディプロイされるためには、再起動を必要とする。これは、再起動をエミュレートできないサンドボックス環境を避ける為だと推測されている。

SSLの使用

IcedIDは、C&Cサーバーと通信を行う際に、SSL通信を使って暗号化する。そうすることで、ファイアウォールやIDS/IPSで検知する事が難しくなる。

IBM X-Forceは、以上の機能を鑑みると、「今後、anti-forensic(フォレンジック調査が出来ない又は難しい機能)が実装される可能性が高い」と予測する。

 

ペイロード・ディプロイメント

IcedIDは、EmotetをDropperとしてディプロイされる。

Emotetに感染した端末が再起動されると、ペイロードWindowsの%LocalAppData%フォルダに書き出される。

フォルダ名に使用される値は、ターゲット端末のOSからパラメータ値を取り出し、以下のような名称で保存する。

%LOCALAPPDATA%\[a-z]{9}\[a-z]{9}.exe

・C:\Users\User\AppData\Local\ewonliarl\ewonliarl.exe

・HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ewonliarl

 

以上の例からも分かる通り、IcedIDは、再起動後も問題なく実行される目的で、レジストリキーにRunKeyを作成するようだ。

次に、IcedIDは、RSAキーを使ってAppDataフォルダにシステムを保存する。(この時RSAキーがどのように使用されているかは調査中)

Tempファイルは、以下のファイル規則に従って保存される。

%TEMP%\[A-F0-9]{8}.tmp

・C:\Users\User\AppData\Roaming\Microsoft\Crypto\RSA\S-1-5-21-2137145731-2486784493-1554833299-1000\fdbe618fb7eb861d65554863fc5da9a0_883f9a43-a12c-410f-b47d-bb7275830b53

・C:\Users\User\AppData\Local\Temp\CACCEF19.tmp

 

ここでディプロイメントのプロセスは終了し、DropperはExplorerのプロセス配下で、感染端末が再起動されるまで実行され続ける。

感染端末が再起動された際には、ペイロードが実行されIcedIDの端末へのインストールが完了する。

この時点でIcedIDは、攻撃者が用意したProxyを使って、感染端末を偽のオンラインバンキングサイトへリダイレクトする。

(※IBM X-Force並びに他のメディアから追加情報が入り次第、当記事に追記していく。)

Reference