IcedID僵尸网络传播者滥用谷歌PPC来传播恶意软件(2)
时间:2023-01-16 09:46 来源:网络整理 作者:采集插件 点击:次
恶意IcedID(左)和合法PE(右)文件的可视化表示(使用Karsten Hahn的PortEx Analyzer工具) 因此,我们假设这是针对两种类型的恶意软件检测技术的攻击: 机器学习检测引擎; 白名单系统; 充当IcedID加载程序的篡改DLL文件 我们已经观察到,一些被修改为充当IcedID加载程序的文件是众所周知且广泛使用的库。 已被修改为IcedID加载程序的文件如下所示: 在sqlite3.dll中,我们观察到在序号270处的函数“sqlite3_win32_write_debug”已被IcedID加载程序中的恶意“init”函数替换。 上面列出的修改后的DLL文件就是这种情况,最后一个序号的导出函数被恶意的“init”函数替换。 IcedID修改(左)和正常(右)文件的比较,其中前者在最后一个序号的导出函数被恶意的“init”函数替换 进一步调查表明,该文件的结构是相同的。 IcedID修改文件和普通文件的比较,其中两个文件显示相同的结构 执行 “MsiExec.exe”执行(父进程)(MITRE ID T1218.007 - System Binary Proxy Execution: msiexec); 生成“rundll32.exe” (MITRE ID T1218.011 - System Binary Proxy Execution: rundll32.exe); “rundll32.exe”通过 “zzzzInvokeManagedCustomActionOutOfProc” (MITRE ID T1218.011 - System Binary Proxy Execution: rundll32.exe)运行自定义操作“Z3z1Z”; 自定义操作生成第二个“rundll32.exe”以运行带有“init”导出函数 (MITRE IDs T1027.009 - Embedded Payloads and T1218.011 - System Binary Proxy Execution: rundll32.exe)的IcedID加载程序 “MSI3480c3c1.msi”。 IcedID加载程序执行链 MSI自定义操作 包含自定义操作的MSI结构 总结 IcedID是一个值得注意的恶意软件家族,能够传播其他有效负载,包括Cobalt Strike和其他恶意软件。IcedID使攻击者能够执行具有高度影响力的后续攻击,从而导致整个系统被破坏,例如窃取数据和使用勒索攻击瘫痪整个系统。恶意广告和规避加载程序的使用都在提醒我们部署分层安全解决方案的重要性,包括自定义沙箱、预测性机器学习、行为监控以及文件和网络声誉检测功能。终端用户还可以考虑使用广告拦截器来阻止恶意攻击。 本文翻译自:https://www.trendmicro.com/en_us/research/22/l/icedid-botnet-distributors-abuse-google-ppc-to-distribute-malware.html如若转载,请注明原文地址 (责任编辑:admin) |
- 上一篇:《伪装者》第1集电视剧高清完整版免费在线观看
- 下一篇:红队攻防快速获取入口权限总结