4.4　银行木马lcedlD的分析与检测

IcedID，也称Bokbot，是一个经常通过网络钓鱼活动和其他恶意软件传播的银行木马。通常在TA551初始访问后会出现IcedID。

1. 银行木马lcedlD的介绍

IcedID是一个犯罪软件即服务的银行木马，该木马程序会创建一个本地代理来拦截失陷主机上的所有浏览器流量，从而窃取敏感的财务信息。IcedID于2017年年底首次出现在野攻击中，很多人认为该木马程序由Vawtrak（又名Neverquest）木马发展而来。IcedID通常会被用作各种恶意软件后期payload的传播载体，包括Emotet、TrickBot和Hancitor。

执行DLL后，IcedID会从命令与控制（C2）服务器上拉取一个配置文件，然后生成一个合法进程实例，并hook[3]多个Windows API，以便注入该进程。一旦注入了合法进程，IcedID就会继续持久化并对目标采取行动。IcedID可以通过多种方式来实现持久化，最常用的是通过下载一个二进制文件（EXE或DLL形式）到用户的本地文件夹中。

IcedID的首要目的是窃取敏感数据，特别是包括银行信息在内的浏览器数据。它会劫持浏览器并建立一个本地代理，配合自签名证书来窃取所有网络流量信息。由此，攻击者不仅可以监控其感兴趣的流量，而且可以在用户试图访问在线银行等网站时，使用Web注入来获取信息。除了数据窃取，IcedID还包含一个VNC功能，用于远程访问目标机器。Juniper威胁实验室和IBM X-Force关注了IcedID功能和注入技术的发展。

2. 检测1：使用msiexec.exe执行随机文件名的.msi文件

IcedID使用msiexec.exe作为傀儡进程来拦截所有浏览器流量。尽管IcedID会尽力混淆，但如图4-6所示，防守方可以发现在msiexec.exe命令行中有一个用6个随机字母命名的程序，这是很不常见的。

图4-6　将msiexec.exe作为傀儡进程的示例

再加上这个不寻常的MSI安装包名称，中间人（MitM）劫持使msiexec.exe产生了一个异常的网络连接（如图4-7所示），因为它拦截了来自用户浏览器的所有流量。msiexec傀儡进程将拦截所有的浏览器流量，包括支付宝等金融网站的SSL流量，以窃取敏感信息。

图4-7　msiexec.exe产生网络连接的示例

3. 检测2：在用户漫游文件夹中执行计划任务

IcedID实现持久化的一种方式是利用Windows任务调度程序。针对各种威胁，一个很好的检测点是寻找启动文件在%Users%文件夹中的计划任务，如图4-8所示。特别是在没有任何命令行参数的情况下执行这类任务，往往更加可疑。可执行文件名和包含该文件的目录名是随机生成的，这不仅是IcedID的特征，也是各种恶意和垃圾软件的共同特征。

图4-8　IcedID派生的恶意进程