研究员发现恶意软件IceXLoader 3.0新版本，使用Nim语言开发

研究人员近日发现 IceXLoader 的最新 3.0 版本是使用 Nim 语言开发的，这种语言在过去两年中被攻击者尝试应用在攻击中，最著名的是 TrickBot 开发的 NimzaLoader 恶意软件。

ICE_X

研究人员发现了一个带有字符串 ICE_X和 v3.0的恶意软件，并且由 Nim 语言开发。发现的样本并未完全实现所有功能，例如互斥锁目前只有虚拟代码，可能是正在开发的新版本。

研究人员在地下论坛进行了深入分析，发现该恶意软件在论坛中以 ICE X的名义进行售卖，终身许可 118 美元。

http://static.zybuluo.com/Titan/r3bdjcddkbaaopdigb74a07q/image.png论坛广告

攻击者对外销售多种恶意软件，并且提供各种攻击相关的服务。开发者声称他们的四人团队已经拥有十四年的相关服务经验，稳定客户超过两百个。

http://static.zybuluo.com/Titan/hlg20j4l8hrz67mh8cx1op1g/image.png开发网站

研究人员将该恶意软件家族命名为 IceXLoader，避免与原有的 IceX 木马产生混淆。

新版本

开发者提供了配置恶意软件的演示视频，可以看到经典模型的 C&C URL：icex/Script.php。

http://static.zybuluo.com/Titan/dri3uyxio0y3qmsii1nj8aw8/image.png配置恶意软件

视频里演示了使用 IceXLoader 的 1.0 版本连接 C&C 服务器：

http://static.zybuluo.com/Titan/1lxdq1hdpk9qfp0lp4x0gp70/image.pngC&C 面板

根据 URL 特征，可以找到使用 AutoIT 语言开发的 1.0 版本恶意软件。两个版本的功能几乎相同，3.0 版本的 IceXLoader 主要是 Nim 实现的升级版。

http://static.zybuluo.com/Titan/tovroy5v21mefqj0gbbbdqks/image.png版本比较

开发人员声称其恶意软件为 FUD（完全不能检测），这表明其可以绕过安全检测。开发者还表明，恶意软件也会随着安全产品不断更新对抗检测。

这可能也是攻击者利用 Nim 开发恶意软件的原因，攻击者利用安全产品在这一语言领域尚且没有检测优势。

技术细节

持久化

IceXLoader 使用可配置的文件名将自身复制到 %AppData%\Microsoft\Windows\Start Menu\Programs\Startup\，以实现重启后的持久化存在。

与此同时，IceXLoader 在 Software\Microsoft\Windows\CurrentVersion\Run中添加了一个注册表项，其值为在 %AppData% 中留存的第二个副本。

由于 3.0 版本的恶意软件尚未完整实现互斥锁，Windows 重启启动后会运行多个 IceXLoader 实例。

检测逃避

IceXLoader 对 AMSI.DLL 中的 AmsiScanBuffer进行内存修补，以此绕过 Windows 反恶意软件扫描接口的检测。

将一些禁用 Windows Defender 实时扫描的 PowerShell 命令写入 %TEMP%\file.bat 并执行，还阻止 Windows Defender 扫描 IceXLoader 所在的目录。

http://static.zybuluo.com/Titan/dobpvxjlpbeb87vlzvbixkdr/image.png检测逃避

C&C

IceXLoader 通过 HTTP/HTTPS POST 请求与硬编码的 C&C 服务器进行通信。User-Agent 会被配置为失陷主机的 GUID，并且 C&C 通信是明文的，没有经过编码或者加密。

http://static.zybuluo.com/Titan/wajpbxeo02px8x6l5bo347cs/image.pngC&C 通信

IceXLoader 通过发送 SetOn=On的初始 POST 请求开始通信，C&C 服务器通常会响应 info命令进行登记注册。通过 Done=info<|>确认命令后，执行命令。

IceXLoader 会收集以下信息：

硬编码昵称，默认为 ICE X

用户名、机器名称以及是否有管理员权限

Windows 版本

安装的安全产品

.NET 框架版本

Loader 版本

内存总量

处理器名称

显卡名称

收集的信息如下所示：

http://static.zybuluo.com/Titan/1i5h84yvu40tvdn5gxlebpaz/image.png示例请求

命令

IceXLoader 支持的命令如下所示：

close：停止执行

info：收集系统信息并回传

msg：显示指定消息的对话框

restart：重启恶意软件

runFile：下载到本地、下载到内存执行文件

Sleep：设定睡眠间隔时间

Update：更新恶意软件

uninstall：清除恶意软件

感染链

IceXLoader 旧版本分发 DcRat，而新版本进行门罗币挖矿。

http://static.zybuluo.com/Titan/4holvkqc5sfp33sn8ktbn497/image.png旧感染链

http://static.zybuluo.com/Titan/z1trgx26s1bs4rh9x58nju9y/image.png新感染链

结论

攻击者正在将代码移植到不常见的语言中，逃避安全产品的检测。随着安全研究的深入，攻击者也在不断进行技术更新。

IOC

6d98c8bdb20a85ef44677f3e7eed32c9fee0c18354e3365c28e11cb6130a8794
4eaed1357af8b4f757c16d90afb339161ac73fa4b8d867a416664b89a1d0a809
3a838c22312f4279f400b7eee63918d9232907a1aa483c824cb8a815150f06e8
4c26dbee513067e6d327e4b336b29992fd5270a0a8ecd1e9571378a3fb0bdc60
4fe56d88c1170a3d0e025b9d8f7939139a7618b3868eb993037c6e3b52d9d501
fecfca77593850e4f6deb8090fc35b14366ab27ef0ada833f940b2d4cb381509
619356420efd4dc53704fb5eb5c93f1f5d4a0123ed1fdd5ce276a832381de51d
915f0d1e9bd1b681d9935af168cb9f1823c738b869fb2c3646f81098a0fe5d95
hxxp[:]//kulcha.didns.ru:8080/Script.php
hxxp[:]//golden-cheats.com/icex/Script.php
hxxps[:]//r4yza92.com/Script.php
hxxp[:]//62.197.136.240/script.php
hxxp[:]//funmustsolutions.site/wp-includes/icex/Script.php
hxxps[:]//north.ac/pxnel.php
hxxp[:]//hhj.jbk0871.fun/study/Script.php
hxxp[:]//funmustsolutions.site/wp-includes/icex/Files/Client.exe
hxxp[:]//funmustsolutions.site/wp-includes/icex/Files/Loader.exe
hxxp[:]//golden-cheats.com/icex/Files/BadforICE.exeBadforICE.exe
hxxp[:]//golden-cheats.com/remote-config.json
hxxp[:]//golden-cheats.com/loader/uploads/InstallerLoader_Wjyhorou.bmp

参考来源

Fortinet