IcedID 恶意软件

IcedID（又名 BokBot）是 2017 年首次发现的一种相对较新的恶意软件，被归类为银行木马和远程访问木马（RAT）。它被认为具有与 Zeus、Gozi 和Dridex 等其他复杂银行木马相媲美的能力。IcedID是一个第二阶段的恶意软件，依赖于其他第一阶段的恶意软件，如Emotet，来获得初始访问权限并进行部署。除了窃取受害者的金融信息外，IcedID还经常充当其他第二阶段恶意软件（包括勒索软件）的载体，并具有在网络中横向移动的高级能力。

IcedID主要被Shatak威胁分子（又名TA551）用于其恶意软件即服务（MaaS）犯罪企业。IcedID感染通常由臭名昭著的Emotet一级恶意软件或世界上最大的恶意垃圾邮件僵尸网络之一Cutwail恶意垃圾邮件僵尸网络安装。虽然IcedID未被列入CISA的2021年十大恶意软件，但它被认为是一种高级威胁，经常以新颖和先进的规避技术进行更新。

Shatak威胁者通常使用钓鱼邮件，通过含有宏的微软Office文档附件、.iso文件或加密的.zip压缩包来传播IcedID。感染后，IcedID的初始有效载荷会枚举目标主机系统，以确定最有效的感染路径。初始有效载荷会寻找一个隐蔽的注入点进行持久安装，然后等待系统重启后再启动主模块。通过等待系统重启，IcedID可确保更高的隐蔽性，每次系统重启时都会以合法进程的身份出现。

IcedID 结合使用第二阶段技术，包括

• 采用 "离地生存"（LOTL）方法，使用本地 Windows 工具收集目标系统的信息
• 利用 Windows Management Instrumentation (WMI) 工具检测目标系统上安装的防病毒软件和其他安全软件，并调整策略以提高成功概率
• 滥用 Windows 中的 WMI 功能与本地或远程系统交互，通过活动目录 (AD) 域文件共享进行发现和横向移动
• 使用多种注入方法劫持合法应用程序以逃避检测
• 通过几种方法建立持久性，包括计划任务和 Ru
• 挂钩多个应用程序接口 (API) 函数，将自身注入现有系统动态链接库 (DLL)
• 导入其他恶意软件，包括勒索软件和黑客工具，如 Cobalt Strike
• 导入经过包装、高度混淆的 DLL 文件，这些文件可以代替本地 Windows DLL 文件执行，这种技术被称为 "DLL 劫持"。
• 将配置文件和有效载荷存储为加密的 Blob，并使用其他文件类型（如PNG或ICO）隐藏有效载荷
• 在 Windows 安装程序（msiexec.exe）进程中注入命令，将其命令执行掩盖为典型的 MSI 应用程序

IcedID的窃取功能使用高效的 "浏览器中的人 "网络注入攻击来感染主要的浏览器应用程序，使攻击者能够看到受害者的网上活动，直接窃取登录信息，或将受害者的页面加载请求重定向到伪装成流行的合法网上银行和金融网络应用程序的恶意网站。这就有效地诱骗了IcedID的受害者提供网上银行登录凭证，然后再利用这些凭证进行欺诈交易。

IcedID是一种快速进化的恶意软件，其开发者不断寻求新的攻击技术来提高IcedID的隐蔽性和躲避能力。全面的企业级网络安全计划是防范这种威胁的最佳保障。企业可以通过采取适当的预防措施来降低成为IcedID受害者的几率。

以下是防御 IcedID 攻击的最有效方法：

• 安装和配置端点安全产品，在加密文档解密后立即对其进行扫描
• 尽可能实施零信任解决方案，优先考虑关键系统
• 定期对所有网络基础设施进行漏洞扫描和渗透测试，并尽快修复发现的任何漏洞
• 对所有关键服务，尤其是网上银行和加密货币账户，实施多因素身份验证
• 认识到加密文件带来的更大风险，并在打开此类文件前彻底核实其来龙去脉
• 确保 Office 应用程序配置为 在无通知的情况下禁用所有宏 或 禁用除数字签名宏以外的所有宏 设置
• 确保所有端点只安装经授权的数字签名软件，并定期扫描和阻止任何未经授权的软件执行
• 使用内容代理监控互联网使用情况，限制用户访问可疑或有风险的网站
• 考虑开展用户意识培训，让员工了解网络钓鱼技术，并制定处理可疑电子邮件和文件的标准操作程序 (SOP)。