IcedID 是一种银行木马,于 2017 年 9 月首次在野外发现。2022 年 10 月,它是第四大最常见的恶意软件变体,部分原因是Emotet的回归,它经常传播恶意软件。作为银行木马,IcedID 专门收集金融机构用户账户的登录凭据。IcedID 还能够删除恶意软件。
虽然 IcedID 通常由僵尸网络恶意软件 Emotet 分发,但它并不是 IcedID 的唯一传递媒介。银行木马还通过恶意垃圾邮件活动进行自我传播,并在在受感染的系统上站稳脚跟后可以通过网络感染其他主机。IcedID 恶意软件还因使用各种技术来隐藏其在系统上的存在而闻名。例如,恶意软件使用进程注入将自身隐藏在系统中,并使用隐写术隐藏敏感数据。
威胁
由于 IcedID 恶意软件是一种银行木马,其主要目的是窃取用户在金融机构账户的登录凭据。一旦获得这些凭据,恶意软件就可以使用它们登录用户帐户并从用户那里窃取资金。最近,IcedID 还被用来删除其他恶意软件。
IcedID 使用网络注入来诱骗用户交出他们的凭据:Web 注入是 IcedID 用于收集网上银行门户登录信息的方法。使用这种方法,攻击者在网站内容呈现在浏览器上之前将 HTML 或 JavaScript 代码注入网站内容。它允许恶意软件收集和泄露用户凭据供以后使用。
如何防范 IcedID 恶意软件
IcedID 是一种复杂的银行木马,它使用规避技术使得很难识别和修复受感染的系统。但是,组织和个人可以采取各种措施来保护自己免受 IcedID 感染。
一般处理恶意软件和银行木马,尤其是 IcedID 的一些最佳实践包括:
- 员工培训: IcedID 使用社会工程技术进行自我传播并诱骗用户交出敏感信息,例如他们的登录凭据。培训员工识别并正确应对社会工程对于最大限度地减少 IcedID 的威胁至关重要。
- 部署端点安全:端点安全解决方案能够识别和阻止 IcedID 和其他恶意软件的感染企图。端点安全解决方案应部署在所有设备上,保持最新状态,并能够访问高质量的网络威胁情报。
- 使用强 MFA:作为银行木马,IcedID 的主要目标是收集用户帐户的登录凭据。强制使用强多因素身份验证 (MFA) 可以降低成功进行帐户接管攻击的风险。
- 实施电子邮件安全: IcedID 通常通过恶意电子邮件传播。检查电子邮件内容和附件是否有恶意内容的电子邮件安全解决方案有助于检测 IcedID 恶意软件感染。
- 监控网络: IcedID 在受感染计算机的端口 49157 上运行代理,并尝试从受感染主机通过网络传播自身。监控异常开放端口和网络流量的网络流量有助于识别 IcedID 感染。
- 实施最低权限: IcedID 窃取登录凭据并使用它们在网络中传播。强制执行最小权限原则,将用户和设备限制为其角色所需的最小权限,从而限制受感染的设备或用户帐户可能造成的损害。