在最近的網絡安全觀察中發現,惡意軟件 IcedID 的攻擊可以使攻擊者在獲得初始訪問權限后不到 24 小時內破壞目標的AD(Active Directory )域控,在整個攻擊過程中,攻擊者遵循了偵察命令、憑證盜竊、濫用 windows 協議橫向移動以及在新受感染的主機上執行 Cobalt Strike 的例行程序。
根據中國網絡安全行業門戶極牛網(GeekNB.com)的梳理,IcedID,也被稱為 BokBot,于 2017 年開始作為銀行木馬,之后演變為其他惡意軟件的植入程序,加入了Emotet、TrickBot、Qakbot、Bumblebee和Raspberry Robin等惡意軟件的行列。
在分發部署 IcedID 的攻擊利用了多種方法,尤其是在微軟決定阻止從 Web 下載的 office 文件中使用宏之后。
因為感染鏈始于 ZIP 存檔中包含的 ISO 映像文件,最終執行 IcedID 有效負載。然后,惡意軟件通過計劃任務在主機上建立持久性,并與遠程服務器通信以下載下一階段的有效載荷,包括用于后續偵察活動的 Cobalt Strike Beacon。
它還通過網絡進行橫向移動,并在所有這些工作站中執行相同的 Cobalt Strike Beacon,然后繼續安裝 Atera 代理,這是一種合法的遠程管理工具,作為備用的遠程訪問機制。
極牛攻防實驗室表示,利用這樣的 IT 工具,攻擊者可以在他們的初始持久性機制被發現并修復的情況下為自己創建一個額外的后門,這些工具不太可能被防病毒或 EDR 檢測到,也更有可能被誤報。
Cobalt Strike Beacon 還被用作下載名為 Rubeus 的 C# 工具的管道,用于憑證竊取,最終允許攻擊者橫向移動到具有域控管理員權限的 Windows Server服務器。
然后將提升的權限武器化以發起 DCSync 攻擊,從而允許對手模擬域控制器 ( DC ) 的行為并從其他域控制器檢索憑據。
作為攻擊的一部分使用的其他工具包括一個名為.NETscan.exe 的合法實用程序,用于掃描網絡以進行橫向移動,以及 rclone 文件同步軟件,用于將感興趣的目錄泄露給 MEGA 云存儲服務。
安全研究人員在對 IcedID 使用的 BackConnect (BC) 協議進行了深入研究后,發現了許多入侵后的附加功能,包括提供遠程訪問控制的 VNC 模塊等。
