在最近的网络安全观察中发现,恶意软件 IcedID 的攻击可以使攻击者在获得初始访问权限后不到 24 小时内破坏目标的AD(Active Directory )域控,在整个攻击过程中,攻击者遵循了侦察命令、凭证盗窃、滥用 windows 协议横向移动以及在新受感染的主机上执行 Cobalt Strike 的例行程序。
根据中国网络安全行业门户极牛网(GeekNB.com)的梳理,IcedID,也被称为 BokBot,于 2017 年开始作为银行木马,之后演变为其他恶意软件的植入程序,加入了Emotet、TrickBot、Qakbot、Bumblebee和Raspberry Robin等恶意软件的行列。
在分发部署 IcedID 的攻击利用了多种方法,尤其是在微软决定阻止从 Web 下载的 office 文件中使用宏之后。
因为感染链始于 ZIP 存档中包含的 ISO 映像文件,最终执行 IcedID 有效负载。然后,恶意软件通过计划任务在主机上建立持久性,并与远程服务器通信以下载下一阶段的有效载荷,包括用于后续侦察活动的 Cobalt Strike Beacon。
它还通过网络进行横向移动,并在所有这些工作站中执行相同的 Cobalt Strike Beacon,然后继续安装 Atera 代理,这是一种合法的远程管理工具,作为备用的远程访问机制。
极牛攻防实验室表示,利用这样的 IT 工具,攻击者可以在他们的初始持久性机制被发现并修复的情况下为自己创建一个额外的后门,这些工具不太可能被防病毒或 EDR 检测到,也更有可能被误报。
Cobalt Strike Beacon 还被用作下载名为 Rubeus 的 C# 工具的管道,用于凭证窃取,最终允许攻击者横向移动到具有域控管理员权限的 Windows Server服务器。
然后将提升的权限武器化以发起 DCSync 攻击,从而允许对手模拟域控制器 ( DC ) 的行为并从其他域控制器检索凭据。
作为攻击的一部分使用的其他工具包括一个名为.NETscan.exe 的合法实用程序,用于扫描网络以进行横向移动,以及 rclone 文件同步软件,用于将感兴趣的目录泄露给 MEGA 云存储服务。
安全研究人员在对 IcedID 使用的 BackConnect (BC) 协议进行了深入研究后,发现了许多入侵后的附加功能,包括提供远程访问控制的 VNC 模块等。