研究员发现恶意软件IceXLoader 3.0新版本,使用Nim语言开发
研究人员近日发现 IceXLoader 的最新 3.0 版本是使用 Nim 语言开发的 这种语言在过去两年中被攻击者尝试应用在攻击中,最著名的是 TrickBot 开发的 NimzaLoader 恶意软件。
ICE_X
研究人员发现了一个带有字符串 ICE_X和 v3.0的恶意软件,并且由 Nim 语言开发。发现的样本并未完全实现
所有功能,例如互斥锁目前只有虚拟代码,可能是正在开发的新版本。
研究人员在地下论坛进行了深入分析,发现该恶意软件在论坛中以 ICE X的名义进行售卖,终身许可118美元。
论坛广告
攻击者对外销售多种恶意软件,并且提供各种攻击相关的服务。开发者声称他们的四人团队已
经拥有十四年的相关服务经验,稳定客户超过两百个。
开发网站
研究人员将该恶意软件家族命名为 IceXLoader,避免与原有的 IceX 木马产生混淆。
新版本
开发者提供了配置恶意软件的演示视频,可以看到经典模型的 C&C URL:icex/Script.php。
配置恶意软件
视频里演示了使用 IceXLoader 的 1.0 版本连接 C&C 服务器:
C&C 面板
根据 URL 特征,可以找到使用 AutoIT 语言开发的 1.0 版本恶意软件。两个版本的功能几乎相同
3.0版本的 IceXLoader 主要是 Nim 实现的升级版。
版本比较
开发人员声称其恶意软件为 FUD(完全不能检测)这表明其可以绕过安全检测。开发者还表明
恶意软件也会随着安全产品不断更新对抗检测。
这可能也是攻击者利用 Nim 开发恶意软件的原因,攻击者利用安全产品在这一
语言领域尚且没有检测优势。
技术细节
持久化
IceXLoader 使用可配置的文件名将自身复制到 %AppData%\Microsoft\Windows\Start
Menu\Programs\Startup\,以实现重启后的持久化存在。
与此同时,IceXLoader 在 Software\Microsoft\Windows\CurrentVersion\Run中添加了一个注册表项
其值为在 %AppData% 中留存的第二个副本。
由于 3.0 版本的恶意软件尚未完整实现互斥锁,Windows 重启启动后会运行多个 IceXLoader实例。
检测逃避
IceXLoader 对 AMSI.DLL 中的 AmsiScanBuffer进行内存修补,以此绕过 Windows
反恶意软件扫描接口的检测。
将一些禁用 Windows Defender 实时扫描的 PowerShell 命令写入 %TEMP%\file.bat 并执行
还阻止 Windows Defender 扫描 IceXLoader 所在的目录。
检测逃避
C&C
IceXLoader 通过 HTTP/HTTPS POST 请求与硬编码的 C&C 服务器进行通信。User-Agent 会被配置
为失陷主机的GUID,并且 C&C通信是明文的,没有经过编码或者加密。
C&C 通信
IceXLoader 通过发送 SetOn=On的初始 POST 请求开始通信,C&C 服务器通常会响应 info命
令进行登记注册。通过 Done=info<|>确认命令后,执行命令。
IceXLoader 会收集以下信息:
硬编码昵称,默认为 ICE X
用户名、机器名称以及是否有管理员权限
Windows 版本
安装的安全产品
.NET 框架版本
Loader 版本
内存总量
处理器名称
显卡名称
收集的信息如下所示:
示例请求
命令
IceXLoader 支持的命令如下所示:
close:停止执行
info:收集系统信息并回传
msg:显示指定消息的对话框
restart:重启恶意软件
runFile:下载到本地、下载到内存执行文件
Sleep:设定睡眠间隔时间
Update:更新恶意软件
uninstall:清除恶意软件
感染链
IceXLoader 旧版本分发 DcRat,而新版本进行门罗币挖矿。
新感染链
结论
攻击者正在将代码移植到不常见的语言中,逃避安全产品的检测。随着安全研究的深入攻击
者也在不断进行技术更新。
页:
[1]