模块化银行木马IcedID 新变种浮出水面

近期，研究人员发现了一个新版本的 IcedID GzipLoader，该组件自 2 月初开始分发。此版本引入了新的反分析技术，而它在功能上与以前的版本基本相同。

IcedID 是最早在 2017 年被披露的模块化银行木马，也是近年来最流行的恶意软件家族之一。IcedID 主要针对金融行业发起攻击，还会充当其他恶意软件家族（如 Vatet、Egregor、REvil）的 Dropper。

GZipLoader 作为 IcedID 感染链中的 Loader，其作用是从控制面板下载并执行加密的 Payload。加密的 Payload 诱导用户认为其为 GZIP 文件，这就是它被称为 GZipLoader 的原因。

发现

基于代码重用的搜索算法对恶意样本进行分类时，研究人员发现了新版本的 IcedID。

发现样本

通过样本（e1e9e84e84a24abaa8658d871515d32e21ed51f1c54812315155f4c88bbc8722eecbfbd）的分析，可以发现 regsvr-32 进程的虚拟内存区域 0x4b0000 包含 9 个与 IcedID GZipLoader 组件相关的函数。

代码重用

扩展分析，发现了类似的样本如下所示：

扩大范围

最早发现时间是 2022 年 2 月 9 日。

分析

新版本使用了动态解析导入表：

部分代码

新增功能还有字符串加密：

部分代码

该技术通常被称为 stacked strings，攻击者将其与异或加密结合：

解密代码

Python 版本的请求解密如下所示：

解密代码

程序都使用了相同的字符串解密方法，并且加密代码是内联实现的。这会改变所有引用字符串的函数的控制流图，对应的 Yara 检测规则也被对应改变。

旧功能

新版本中删除了 SSL-pinning功能，详细信息可以阅读 Group-IB 关于旧版本样本的分析报告。

如下所示，旧版本样本中使用 SSL_pinning_feature()的结果作为调用 set_bot_information()函数的参数。而在新版本中，参数被硬编码为 1 且删除了该函数。

版本对比

根据遥测分析，所有 IcedID 样本中最常用的是 aws.amazon.com。但最近两周来看，攻击者不再使用该地址。

统计数据

还有个细微的变化是负责解密 C&C 命令的函数转变为内嵌在主函数中。

参考来源

ThreatRAY

本文作者：Avenger， 转载请注明来自FreeBuf.COM