译者:知道创宇404实验室翻译组
原文链接:https://www.intezer.com/blog/research/conversation-hijacking-campaign-delivering-icedid/

img

这篇文章描述了 Intezer 研究小组发现的一个新的攻击活动的技术分析,黑客通过一个钓鱼邮件发起攻击,利用会话劫持来传输 IcedID。

地下经济不断演变,攻击者专攻特定领域。最近几年蓬勃发展的一个领域是初始访问代理。初始访问代理业务专注于获得组织的初始登陆点访问权,一旦实现,访问权会被卖给其他黑客,进一步将其转化成金钱。

一些初始访问代理的客户购买访问权限来部署勒索软件。Proofpoint 已经识别了十个向勒索软件组织出售访问权限的访问代理商。这些访问代理主要通过银行木马感染受害者,之后,这些木马被用来应“购买者的要求”部署其他的恶意软件。

其中一个用于部署勒索软件的银行木马是 IcedID (BokBot)。2017年11月,IBM X-Force首次报道了 IcedID,该恶意软件与 Pony 的一些代码是相同的。这个恶意软件最初设计用于盗取银行凭证,就像许多其他银行木马一样,现在,它已经被重新设计用于在受感染的机器上部署其他恶意软件。

IcedID感染设备的一种方式是通过网络钓鱼邮件。感染链,通常使用的是一个附有密码保护“ zip”文档的电子邮件。在归档文件中有一个宏启用的办公文档,它执行 IcedID 安装程序。一些钓鱼电子邮件重复使用以前被盗的电子邮件,使诱惑更有说服力。

在新的 IcedID 攻击中,我们发现了攻击者技术的进一步发展。攻击者现在使用已被感染的 microsoft Exchange 服务器从他们窃取的账户发送钓鱼邮件。有效负载还从使用office文档转向使用带有 Windows LNK 文件和 DLL 文件的 ISO 文件。使用 ISO 文件方便了黑客绕过Mark-of-the-Web控制,导致恶意软件在没有警告用户的情况下执行。关于受害者,我们已经发现了能源、医疗、法律和制药行业的组织。

传染链

攻击链从钓鱼邮件开始。该电子邮件包括一些重要文件的消息,并有一个密码保护的“ zip”档案文件附件。文档的密码在邮件正文中给出,如下面的截图所示。使钓鱼电子邮件更有说服力的是它使用了对话劫持(线程劫持)。一个伪造的对以前被盗的电子邮件的回复正在使用。此外,这封电子邮件也是从被盗邮件的邮箱账户发出的。

压缩文件的内容如下面的截图所示。它包括一个“ ISO”文件,其文件名与 zip 归档文件相同。还可以看到,该文件是在电子邮件发送前不久创建的。

ISO 文件包括两个文件,一个名为“ document”的 LNK 文件和一个名为“ main”的 DLL 文件。从时间戳可以发现,DLL 文件是前一天准备的,而 LNK 文件是大约一周前准备的。LNK 文件可能已经在早期的网络钓鱼邮件中使用过。

LNK 文件通过其嵌入的图标文件看起来像一个文档文件。从下面的截图可以看出,当用户双击链接文件时,它使用“ regsvr32”来执行 DLL 文件。

regsvr32的使用允许代理执行main.dll 中的恶意代码同时避开防御。DLL 文件是 IcedID 负载的加载程序。它包含许多导出,其中大部分是垃圾代码。

加载程序将定位存储在二进制文件的资源部分中的加密有效负载。它通过 API hashing技术实现这一点。下面显示了哈希函数的反编译。

然后将生成的哈希与硬编码哈希进行比较,以定位对FindResourceA.的调用。动态调用该函数来获取有效负载。

使用VirtualAlloc分配内存以保存解密的有效负载。

IcedID “Gziploader” 负载被解码并放在内存中,然后执行。GZiploader 对机器进行指纹识别,并向命令和控制服务器发送一个信标,其中包含关于被感染主机的信息。信息是通过一个 HTTP GET 请求通过 cookies 头偷偷传输的。

C2位于yourgroceries[.]top。C2可以响应更进一步的阶段来植入和执行。在我们的分析过程中,C2没有回应任何有效载荷。

作为网络钓鱼技术的会话劫持

通过电子邮件劫持一个已经存在的会话来传播恶意软件的技术,黑客已经使用了一段时间了。通常,电子邮件信息在感染过程中被盗取,并用于下一步的攻击,使钓鱼电子邮件看起来更加合法。在过去的六个月里,攻击者进一步发展了这项技术,使其更具说服力。现在,攻击者不再使用“伪造”的电子邮件地址向受害者发送被盗对话,而是使用他们盗取原始电子邮件的受害者的电子邮件地址,使钓鱼邮件更有说服力。

2021年11月,Kevin Beaumont报道这种会话劫持技术被用于分发 Qakbot。通过调查,他认为,发送邮件的微软 Exchange 服务器有被 ProxyShell 利用的可能。

2022年3月发现的新攻击

在目前的三月中旬的攻击中,我们发现,相同的被盗对话现在是从收到最新电子邮件的电子邮件地址发送的。回到一月份,当这个对话也被使用时,发件地址是“webmaster@[REDACTED].com”,其中包含对话中最后一封电子邮件的收件人姓名。通过使用这种方法,电子邮件看起来更合理,它通过正常渠道传输。

我们观察到的大多数原始 Exchange 服务器似乎也没有打补丁并公开,这使得 ProxyShell 成为一个很好的犯罪工具。虽然大多数用于发送钓鱼邮件的 Exchange 服务器可以通过互联网被任何人访问,但我们也发现一封似乎是“内部”Exchange 服务器发送的内部钓鱼邮件。

下面的代码片段显示了邮件标题的一小部分。Exchange 服务器的 IP 地址是一个本地 IP 地址(172.29.0.12) ,top域名称为“ local”。我们还可以看到Exchange将其标记为内部电子邮件而添加的标题。Exchange 服务器还添加了通过MAPI连接到 Exchange 服务器的原始客户端头(172.29.5.131,也是本地 IP 地址)。

applescript
Received: from ExchSrv01.[REDACTED].local (172.29.0.12) by
 ExchSrv01.[REDACTED].local (172.29.0.12) with Microsoft SMTP Server
 (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id 15.2.464.5
 via Mailbox Transport; Thu, 10 Mar 2022 14:34:29 +0100
Received: from ExchSrv01.[REDACTED].local (172.29.0.12) by
 ExchSrv01.[REDACTED].local (172.29.0.12) with Microsoft SMTP Server
 (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id 15.2.464.5;
 Thu, 10 Mar 2022 14:34:29 +0100
Received: from ExchSrv01.[REDACTED].local ([fe80::b148:8e7:61f8:61b4]) by
 ExchSrv01.[REDACTED].local ([fe80::b148:8e7:61f8:61b4%6]) with mapi id
 15.02.0464.005; Thu, 10 Mar 2022 14:34:29 +0100
…
X-MS-Exchange-Organization-AuthAs: Internal
X-MS-Exchange-Organization-AuthMechanism: 04
X-MS-Exchange-Organization-AuthSource: ExchSrv01.[REDACTED].local
X-MS-Has-Attach: yes
X-MS-Exchange-Organization-SCL: -1
X-MS-Exchange-Organization-RecordReviewCfmType: 0
x-ms-exchange-organization-originalclientipaddress: 172.29.5.131
x-ms-exchange-organization-originalserveripaddress: fe80::b148:8e7:61f8:61b4%6

我们没能为这台 Exchange 服务器找到对应的公共 IP 地址,而且我们也不知道这台服务器是如何被黑客访问的。我们唯一能找到的是一个roundcubewebmail 实例。登录页面如下图所示。

上面的代码片段中的一个头文件报告说,客户机通过 MAPI 连接到服务器。MAPI是用于访问 Exchange 服务器上的邮箱的协议(例如,由 Outlook 使用)。这表明攻击者使用 Exchange 客户端而不是使用 SMTP 发送电子邮件。我们还在多封钓鱼邮件中看到了标题“ X-Mailer: Microsoft Outlook 16.0”。在其他网络钓鱼邮件中,可以发现一个“X-Originating-IP”标题。这是 Exchange 服务器在使用 web 界面时添加的标题。标题中的 IP 地址是连接到服务器的客户端的 IP 地址。我们观察了客户端 IP 的主机提供商和非商业 IP 地址。

归因

2021年6月,Proofpoint 发布了一份关于不同访问代理商的报告,这些代理商为勒索软件组织提供了访问便利。根据 Proofpoint,在不同的黑客中,有两个(TA577和 TA551)使用了 IcedID 作为他们的恶意软件。TA551使用的技术包括对话劫持密码 保护 zip文件。该组织还使用 regsvr32.exe 对恶意 dll 执行有签名的二进制代理。

总结

会话劫持的使用是一个强大的社会工程技术,可以提高钓鱼的成功率。有效载荷已经从office文件转移到使用 ISO 文件,利用商用打包软件和多个阶段隐藏踪迹。能够检测内存中的恶意文件来检测这种类型的攻击非常重要。

IoCs

  1. ISO File:
    3542d5179100a7644e0a747139d775dbc8d914245292209bc9038ad2413b3213
  2. Loader DLL:
    698a0348c4bb8fffc806a1f915592b20193229568647807e88a39d2ab81cb4c2
  3. LNK File:
    a17e32b43f96c8db69c979865a8732f3784c7c42714197091866473bcfac8250
  4. IcedID GZiploader Network:
    yourgroceries[.]top

Paper 本文由 Seebug Paper 发布,如需转载请注明来源。本文地址:https://paper.seebug.org/1866/