IcedID使用ATSEngine注入面板攻擊電子商務網站
作為針對金融服務和電子商務使用者的網路犯罪工具的持續研究的一部分,IBM X-Force分析了有組織惡意軟體團伙的策略,技術和程式(TTP),暴露他們的內部工作,幫助將可靠的威脅情報傳播到安全社群。
在最近對 IcedID Trojan 攻擊的分析中,我們的團隊調查了IcedID運營商如何針對美國的電子商務供應商,這是該組織的典型攻擊。威脅策略是兩步注入攻擊,旨在竊取受害者的訪問憑據和支付卡資料。鑑於攻擊是單獨執行的,IcedID背後的人要麼正在研究不同的貨幣化方案,要麼將殭屍網路租給其他犯罪分子,將其轉變為網路犯罪即服務,類似於 Gozi Trojan’s 的商業模式。
一、起源
IBM Security於2017年9月發現IcedID併為其命名。該現代銀行特洛伊木馬程式具有與TrickBot和Gozi等惡意軟體類似的模組。它通常針對銀行、支付卡提供商、移動服務提供商、payroll、網路郵件和電子商務網站,其攻擊目標主要位於美國和加拿大。從他們的配置檔案中,顯而易見的是,IcedID的運營商尋找比消費者賬戶中常見的更高價值的商業賬戶。
IcedID能夠啟動不同的攻擊型別,包括通過其偵聽的埠對所有受害者流量進行web注入、重定向和代理重定向。
惡意軟體的分發和感染策略表明其運營商並不是網路犯罪領域的新手;自2017年以來它通過Emotet Trojan感染使用者,並在2018年中期通過TrickBot推出測試活動。在過去兩年中,Emotet一直是迎合東歐精英網路犯罪團體最出名的惡意服務之一。其可疑客戶包括經營 QakBot , Dridex ,IcedID和 TrickBot 的組織。
二、使用ATSEngine攻擊電子商務使用者
雖然目前的IcedID配置同時具備web注入和重定向攻擊,但讓我們關注其兩階段web注入方案。此策略與類似的特洛伊木馬不同,大多數特洛伊木馬從配置或動態部署整個注入。
為了部署注入並收集來自受害者輸入的資料,一些IcedID攻擊者使用 Yummba’s ATSEngine 的商業注入面板。在此,ATS代表自動交易系統。ATSEngine是一個基於Web的控制面板,可從攻擊/注入伺服器執行,而不是從惡意軟體的命令和控制(C&C)伺服器執行。它允許攻擊者編排注入過程,更靈活更快的更新攻擊伺服器上的注入,解析竊取資料以及管理欺詐性交易的操作。商業交易面板非常普遍,並且從2007年的Zeus Trojan時開始流行以來一直被廣泛使用。
三、針對特定電子商務供應商
在我們檢測的攻擊中,意識到一些IcedID運營商正在使用惡意軟體來定位電子商務領域中非常具體的品牌。我們的研究人員指出,這種攻擊可能是從主殭屍網路中劃分出來的,這些殭屍網路由專門從事欺詐性商品交易的犯罪分子運營。
讓我們看一下這些注入的示例程式碼。此特定示例取自旨在竊取憑據並接管瀏覽美國流行電子商務網站的使用者帳戶的攻擊。
作為第一步,要從攻擊伺服器接收任何資訊,受感染裝置上的常駐惡意軟體必須向殭屍網路的運營商驗證自己的身份。它使用配置檔案中的指令碼執行此操作。如果殭屍程式已通過伺服器驗證,則會從攻擊者的ATSEngine伺服器傳送惡意指令碼,在本例中通過URL home_link / gate.php傳送。
請注意,IcedID通過加密保護其配置的指令。因此,殭屍程式需要一個私鑰來驗證攻擊者的Web控制面板(例如,var pkey =“Ab1cd23”)。這意味著受感染的裝置不會與屬於其他犯罪分子或安全研究人員的其他C&C伺服器進行互動。
圖1:IcedID特洛伊木馬接收有關連線到攻擊伺服器的說明(來源:IBM Trusteer)
接下來,我們評估了與攻擊伺服器通訊時的eval(function(p, a, c, k, e, r))函式,並得到以下程式碼。編碼是打包程式碼的常用策略,使其更緊湊。
圖2:設計用於設定瀏覽器接受外部指令碼注入的IcedID程式碼(來源:IBM Trusteer)
在特洛伊木馬主動攻擊期間,此函式將受感染使用者的瀏覽器設定為接受從其運營商伺服器獲取外部指令碼注入。
以下程式碼段顯示了文件物件模型(DOM)指令碼元素的建立,其中包含Text / javascript型別和ID jsess_script_loader。 注入的開發人員使用這種技術將遠端指令碼注入合法網頁。它從攻擊者的C&C中獲取遠端指令碼,然後將其嵌入指令碼標記中,在原始網頁的頭部或者在其正文中。
仔細看看使用的函式,我們可以看到它從受感染使用者裝置ssid 的home_link載入指令碼,以及當前日期。
圖3:用於將遠端指令碼注入目標網站的IcedID程式碼(來源:IBM Trusteer)
四、第1步和第2步:JavaScript和HTML
要執行web注入,外部指令碼(惡意JavaScript程式碼段)負責將HTML程式碼注入受感染使用者的瀏覽器。使用此策略,惡意軟體不會從配置檔案中部署整個注入,這實際上會將其暴露給可以成功解密配置的研究人員。相反,它使用初始注入作為觸發器來實時從其攻擊伺服器獲取注入的第二部分。這樣,攻擊可以保持更加隱蔽,攻擊者可以更靈活的更新注入,而無需更新所有受感染裝置上的配置檔案。
在下面的示例中,名為ccgrab的HTML程式碼修改了受害者正在檢視的頁面,並顯示社交工程內容以竊取支付卡資料。頁面上的額外內容會提示受害者提供有關其身份的其他資訊以安全登入。
圖4:IcedID通過web注入欺騙受害者(來源:IBM Trusteer)
惡意軟體會自動獲取受害者的訪問憑據,並且web注入會請求以下與受害者支付卡相關的資料元素:
· 信用卡號;
· CVV2;
·受害者地址
一旦受害者輸入這些詳細資訊,資料就傳送給攻擊者的ATSEngine伺服器並解析成如下形式,允許犯罪分子通過控制面板檢視和搜尋資料。
圖5:傳送給攻擊者注入伺服器的被破解的竊取資料(來源:IBM Trusteer)
五、管理資料竊取和儲存
惡意軟體執行的惡意指令碼執行其他功能,從受害者的裝置和他或她的行為中獲取內容。內容獲取功能還會檢查使用者輸入的有效性,確保C&C不會隨時間累積垃圾資料並管理攻擊的變數。
圖6:惡意IcedID指令碼管理資料獲取(來源:IBM Trusteer)
驗證使用者的資料後,儲存到C&C:
圖7:將竊取資料儲存到攻擊伺服器的日誌(來源:IBM Trusteer)
六、注入攻擊伺服器的功能
攻擊伺服器使攻擊者能夠通過許多功能來命令受感染的bot。讓我們看一下解碼IcedID惡意指令碼後的函式列表:
攻擊伺服器使操作人員能夠使用在控制面板上切換到選項卡的不同功能:
· Accounts頁面功能 – 顯示受害者使用受感染使用者的憑據訪問的帳戶頁面。
·內容變數 – 包括報告生成、帳戶頁面控制、將HTML內容推送到受害者正在檢視的頁面,以及用於跟蹤活動的註釋模組。
· 私有函式以獲得HEX和解碼。
·主頁功能。
· 註釋。
· 報告。
下面的圖8顯示了攻擊者在使用ATSEngine控制面板時看到的給定受感染裝置的資訊佈局:
圖8:攻擊者控制面板檢視,用於管理被盜資料(來源:IBM Trusteer)
七、資料管理和檢視
ATSEngine控制面板使攻擊者能夠使用時間戳檢視活動(參見圖8)。從受害者的裝置獲取以下資訊並將其傳送到攻擊伺服器:
· 來自此受感染裝置的最後報告時間;
·受害者的IP地址;
· 受害者BotID;
· 受害者訪問過的或正在訪問的網站的登入憑據;
·從web注入到目標頁面的其他抓取資料,包括受害者的姓名、支付卡型別、卡號、CVV2以及居住地;
·攻擊者針對特定受害者及其帳戶插入的註釋部分。
控制面板中的檢視顯示錶中的基本資料,為攻擊者提供受害者登入目標站點的憑據:
圖9:在控制面板檢視中解析的被竊取帳戶資訊(來源:IBM Trusteer)
八、分段的IcedID殭屍網路
在分析了IcedID的注入和控制面板功能後,我們的研究人員認為,與其他特洛伊木馬運營團伙一樣,IcedID可能會將其基礎設施出租給其他專門從事各種欺詐行為的犯罪分子。
控制面板是線上欺詐操作中的一個常見元素,它揭示了IcedID運營商使用了自動化工具(ATS)。該商業面板有助於促進bot控制,資料管理和欺詐活動的管理。本文選擇的該組織在網路犯罪領域的主要工具食,稱為Yummba/ATSEngine。
欺詐場景因運營商而異,但IcedID的TTP保持不變,適用於特洛伊木馬所有的攻擊。因此,IcedID的web注入可應用於任何網站,其重定向方案可適用於任意目標。
九、2019年焦點
雖然一些特洛伊團伙選擇將攻擊範圍擴大到更多國家,但這需要資金、資源來構建適應的攻擊工具,與當地有組織犯罪團伙合作以及額外的洗錢活動。在IcedID的案例中,該團伙並未尋求擴充套件。自從首次出現以來,IcedID一直專注於北美地區,主要針對該地區的銀行和電子商務企業。
在2018年,IcedID在全球金融特洛伊木馬圖表上排名第四,惡意活動貫穿全年。
圖10:2018年十大金融特洛伊團伙(來源:IBM Trusteer)
在2019年,我們團隊希望看到這種趨勢繼續下去。為了跟上像IcedID這樣的威脅,請閱讀 X-Force 團隊的更多威脅研究,並加入,在那裡我們為安全專業人員釋出IoC和其他有價值的情報。