在最近的網(wǎng)絡(luò)安全觀察中發(fā)現(xiàn),惡意軟件 IcedID 的攻擊可以使攻擊者在獲得初始訪問權(quán)限后不到 24 小時(shí)內(nèi)破壞目標(biāo)的AD(Active Directory )域控,在整個(gè)攻擊過程中,攻擊者遵循了偵察命令、憑證盜竊、濫用 windows 協(xié)議橫向移動(dòng)以及在新受感染的主機(jī)上執(zhí)行 Cobalt Strike 的例行程序。
根據(jù)中國網(wǎng)絡(luò)安全行業(yè)門戶極牛網(wǎng)(GeekNB.com)的梳理,IcedID,也被稱為 BokBot,于 2017 年開始作為銀行木馬,之后演變?yōu)槠渌麗阂廛浖闹踩氤绦颍尤肓薊motet、TrickBot、Qakbot、Bumblebee和Raspberry Robin等惡意軟件的行列。
在分發(fā)部署 IcedID 的攻擊利用了多種方法,尤其是在微軟決定阻止從 Web 下載的 office 文件中使用宏之后。
因?yàn)楦腥炬準(zhǔn)加?ZIP 存檔中包含的 ISO 映像文件,最終執(zhí)行 IcedID 有效負(fù)載。然后,惡意軟件通過計(jì)劃任務(wù)在主機(jī)上建立持久性,并與遠(yuǎn)程服務(wù)器通信以下載下一階段的有效載荷,包括用于后續(xù)偵察活動(dòng)的 Cobalt Strike Beacon。
它還通過網(wǎng)絡(luò)進(jìn)行橫向移動(dòng),并在所有這些工作站中執(zhí)行相同的 Cobalt Strike Beacon,然后繼續(xù)安裝 Atera 代理,這是一種合法的遠(yuǎn)程管理工具,作為備用的遠(yuǎn)程訪問機(jī)制。
極牛攻防實(shí)驗(yàn)室表示,利用這樣的 IT 工具,攻擊者可以在他們的初始持久性機(jī)制被發(fā)現(xiàn)并修復(fù)的情況下為自己創(chuàng)建一個(gè)額外的后門,這些工具不太可能被防病毒或 EDR 檢測到,也更有可能被誤報(bào)。
Cobalt Strike Beacon 還被用作下載名為 Rubeus 的 C# 工具的管道,用于憑證竊取,最終允許攻擊者橫向移動(dòng)到具有域控管理員權(quán)限的 Windows Server服務(wù)器。
然后將提升的權(quán)限武器化以發(fā)起 DCSync 攻擊,從而允許對手模擬域控制器 ( DC ) 的行為并從其他域控制器檢索憑據(jù)。
作為攻擊的一部分使用的其他工具包括一個(gè)名為.NETscan.exe 的合法實(shí)用程序,用于掃描網(wǎng)絡(luò)以進(jìn)行橫向移動(dòng),以及 rclone 文件同步軟件,用于將感興趣的目錄泄露給 MEGA 云存儲(chǔ)服務(wù)。
安全研究人員在對 IcedID 使用的 BackConnect (BC) 協(xié)議進(jìn)行了深入研究后,發(fā)現(xiàn)了許多入侵后的附加功能,包括提供遠(yuǎn)程訪問控制的 VNC 模塊等。
