IcedID使用ATSEngine注入面板攻击电子商务网站

作为针对金融服务和电子商务用户的网络犯罪 工具 的持续研究的一部分，IBM X-Force分析了有组织恶意软件团伙的策略，技术和程序（TTP），暴露他们的内部工作，帮助将可靠的威胁情报传播到安全社区。

在最近对 IcedID Trojan 攻击的分析中，我们的团队调查了IcedID运营商如何针对美国的电子商务供应商，这是该组织的典型攻击。威胁策略是两步注入攻击，旨在窃取受害者的访问凭据和支付卡数据。鉴于攻击是单独运行的，IcedID背后的人要么正在研究不同的货币化方案，要么将僵尸网络租给其他犯罪分子，将其转变为网络犯罪即服务，类似于 Gozi Trojan’s 的商业模式。

一、起源

IBM Security于2017年9月发现IcedID并为其命名。该现代银行特洛伊木马程序具有与TrickBot和Gozi等恶意软件类似的模块。它通常针对银行、支付卡提供商、移动服务提供商、payroll、网络邮件和电子商务网站，其攻击目标主要位于美国和加拿大。从他们的配置文件中，显而易见的是，IcedID的运营商寻找比消费者账户中常见的更高价值的商业账户。

IcedID能够启动不同的攻击类型，包括通过其侦听的端口对所有受害者流量进行web注入、重定向和代理重定向。

恶意软件的分发和感染策略表明其运营商并不是网络犯罪领域的新手;自2017年以来它通过Emotet Trojan感染用户，并在2018年中期通过TrickBot推出测试活动。在过去两年中，Emotet一直是迎合东欧精英网络犯罪团体最出名的恶意服务之一。其可疑客户包括经营 QakBot ， Dridex ，IcedID和 TrickBot 的组织。

二、使用ATSEngine攻击电子商务用户

虽然目前的IcedID配置同时具备web注入和重定向攻击，但让我们关注其两阶段web注入方案。此策略与类似的特洛伊木马不同，大多数特洛伊木马从配置或动态部署整个注入。

为了部署注入并收集来自受害者输入的数据，一些IcedID攻击者使用 Yummba’s ATSEngine 的商业注入面板。在此，ATS代表自动交易系统。ATSEngine是一个基于Web的控制面板，可从攻击/注入服务器运行，而不是从恶意软件的命令和控制（C＆C）服务器运行。它允许攻击者编排注入过程，更灵活更快的更新攻击服务器上的注入，解析窃取数据以及管理欺诈性交易的操作。商业交易面板非常普遍，并且从2007年的Zeus Trojan时开始流行以来一直被广泛使用。

三、针对特定电子商务供应商

在我们检测的攻击中，意识到一些IcedID运营商正在使用恶意软件来定位电子商务领域中非常具体的品牌。我们的研究人员指出，这种攻击可能是从主僵尸网络中划分出来的，这些僵尸网络由专门从事欺诈性商品交易的犯罪分子运营。

让我们看一下这些注入的示例代码。此特定示例取自旨在窃取凭据并接管浏览美国流行电子商务网站的用户帐户的攻击。

作为第一步，要从攻击服务器接收任何信息，受感染设备上的常驻恶意软件必须向僵尸网络的运营商验证自己的身份。它使用配置文件中的脚本执行此操作。如果僵尸程序已通过服务器验证，则会从攻击者的ATSEngine服务器发送恶意脚本，在本例中通过URL home_link / gate.php发送。

请注意，IcedID通过加密保护其配置的指令。因此，僵尸程序需要一个私钥来验证攻击者的Web控制面板（例如，var pkey =“Ab1cd23”）。这意味着受感染的设备不会与属于其他犯罪分子或安全研究人员的其他C＆C服务器进行交互。

图1：IcedID特洛伊木马接收有关连接到攻击服务器的说明（来源：IBM Trusteer）

接下来，我们评估了与攻击服务器通信时的eval（function(p, a, c, k, e, r)）函数，并得到以下代码。编码是打包代码的常用策略，使其更紧凑。

图2：设计用于设置浏览器接受外部脚本注入的IcedID代码（来源：IBM Trusteer）

在特洛伊木马主动攻击期间，此函数将受感染用户的浏览器设置为接受从其运营商服务器获取外部脚本注入。

以下代码段显示了文档对象模型（DOM）脚本元素的创建，其中包含Text / javascript类型和ID jsess_script_loader。 注入的开发人员使用这种技术将远程脚本注入合法网页。它从攻击者的C＆C中获取远程脚本，然后将其嵌入脚本标记中，在原始网页的头部或者在其正文中。

仔细看看使用的函数，我们可以看到它从受感染用户设备ssid 的home_link加载脚本，以及当前日期。

图3：用于将远程脚本注入目标网站的IcedID代码（来源：IBM Trusteer）

四、第1步和第2步：JavaScript和HTML

要执行web注入，外部脚本（恶意JavaScript代码段）负责将HTML代码注入受感染用户的浏览器。使用此策略，恶意软件不会从配置文件中部署整个注入，这实际上会将其暴露给可以成功解密配置的研究人员。相反，它使用初始注入作为触发器来实时从其攻击服务器获取注入的第二部分。这样，攻击可以保持更加隐蔽，攻击者可以更灵活的更新注入，而无需更新所有受感染设备上的配置文件。

在下面的示例中，名为ccgrab的HTML代码修改了受害者正在查看的页面，并显示社交工程内容以窃取支付卡数据。页面上的额外内容会提示受害者提供有关其身份的其他信息以安全登录。

图4：IcedID通过web注入欺骗受害者（来源：IBM Trusteer）

恶意软件会自动获取受害者的访问凭据，并且web注入会请求以下与受害者支付卡相关的数据元素：

· 信用卡号;

· CVV2;

·受害者地址

一旦受害者输入这些详细信息，数据就发送给攻击者的ATSEngine服务器并解析成如下形式，允许犯罪分子通过控制面板查看和搜索数据。

图5：发送给攻击者注入服务器的被破解的窃取数据（来源：IBM Trusteer）

五、管理数据窃取和存储

恶意软件运行的恶意脚本执行其他功能，从受害者的设备和他或她的行为中获取内容。内容获取功能还会检查用户输入的有效性，确保C＆C不会随时间累积垃圾数据并管理攻击的变量。

图6：恶意IcedID脚本管理数据获取（来源：IBM Trusteer）

验证用户的数据后，保存到C＆C：

图7：将窃取数据保存到攻击服务器的日志（来源：IBM Trusteer）

六、注入攻击服务器的功能

攻击服务器使攻击者能够通过许多功能来命令受感染的bot。让我们看一下解码IcedID恶意脚本后的函数列表：

攻击服务器使操作人员能够使用在控制面板上切换到选项卡的不同功能：

· Accounts页面功能 – 显示受害者使用受感染用户的凭据访问的帐户页面。

·内容变量 – 包括报告生成、帐户页面控制、将HTML内容推送到受害者正在查看的页面，以及用于跟踪活动的注释模块。

· 私有函数以获得HEX和解码。

·主页功能。

· 注释。

· 报告。

下面的图8显示了攻击者在使用ATSEngine控制面板时看到的给定受感染设备的信息布局：

图8：攻击者控制面板视图，用于管理被盗数据（来源：IBM Trusteer）

七、数据管理和视图

ATSEngine控制面板使攻击者能够使用时间戳查看活动（参见图8）。从受害者的设备获取以下信息并将其发送到攻击服务器：

· 来自此受感染设备的最后报告时间;

·受害者的IP地址;

· 受害者BotID;

· 受害者访问过的或正在访问的网站的登录凭据;

·从web注入到目标页面的其他抓取数据，包括受害者的姓名、支付卡类型、卡号、CVV2以及居住地;

·攻击者针对特定受害者及其帐户插入的注释部分。

控制面板中的视图显示表中的基本数据，为攻击者提供受害者登录目标站点的凭据：

图9：在控制面板视图中解析的被窃取帐户信息（来源：IBM Trusteer）

八、分段的IcedID僵尸网络

在分析了IcedID的注入和控制面板功能后，我们的研究人员认为，与其他特洛伊木马运营团伙一样，IcedID可能会将其基础设施出租给其他专门从事各种欺诈行为的犯罪分子。

控制面板是在线欺诈操作中的一个常见元素，它揭示了IcedID运营商使用了自动化工具（ATS）。该商业面板有助于促进bot控制，数据管理和欺诈活动的管理。本文选择的该组织在网络犯罪领域的主要工具食，称为Yummba/ATSEngine。

欺诈场景因运营商而异，但IcedID的TTP保持不变，适用于特洛伊木马所有的攻击。因此，IcedID的web注入可应用于任何网站，其重定向方案可适用于任意目标。

九、2019年焦点

虽然一些特洛伊团伙选择将攻击范围扩大到更多国家，但这需要资金、资源来构建适应的攻击工具，与当地有组织犯罪团伙合作以及额外的洗钱活动。在IcedID的案例中，该团伙并未寻求扩展。自从首次出现以来，IcedID一直专注于北美地区，主要针对该地区的银行和电子商务企业。

在2018年，IcedID在全球金融特洛伊木马图表上排名第四，恶意活动贯穿全年。

图10：2018年十大金融特洛伊团伙（来源：IBM Trusteer）

在2019年，我们团队希望看到这种趋势继续下去。为了跟上像IcedID这样的威胁，请阅读 X-Force 团队的更多威胁研究，并加入 X-Force Exchange ，在那里我们为安全专业人员发布IoC和其他有价值的情报。