IcedID - 感染の流れと対策 - 株式会社サイバーフォートレス

はじめに

2020年10月下旬から IcedID による攻撃が確認されています。今回は攻撃手法やその対策についてまとめていきます。

IcedIdとは

銀行の口座番号やクレジットカードなどの金融関連情報や、これらを利用するサイトにアクセスするためのIDやパスワードなどの資格情報を搾取します。EMOTETに対応した既存のセキュリティソフトでは検知できない可能性が高く、不審なメールには注意が必要です。

特徴

・ZIP化されたパスワード付きのメールが届きます
・差出人が受信者の関係者を装ったアドレスとなっているため、受信者は不審メールだと気づくのが難しいです。
・感染した後に、検出されにくくするために痕跡を隠します。
・C&Cサーバと通信し、感染したパソコンの情報や盗み取った情報を攻撃者に送ります。
・別のマルウェアをダウンロードします。

IcedIDの機能
IcedIDは幅広い機能が存在すると報告されており、情報窃取からリモートアクセスまで様々な被害が想定されます。

・Webインジェクト
・パスワードやCookieのダンプ・送信
・ファイルのダウンロード・実行
・シェルコードの実行
・感染端末の特定ファイルの送信
・VNC
・プロキシ

IcedIDの危険性
IcedIDはPCに侵入する「トロイの木馬」と呼ばれるマルウェアです。
このマルウェアは「バンキングトロジャン」とも呼ばれ、ユーザーの金融機関や支払情報を狙うことが多くあります。感染すると、ユーザーが利用している金融取引サービスに似せた偽装サイトに誘導させられ、不正送金させられたり、ネットバンキングのIDやパスワード等の重要情報が盗み取られてしまう恐れがあります。

感染の流れ

1.ユーザが文書ファイルを開き、「コンテンツの有効化」をクリックすることで、IcedID Installerがダウンロードされます。
2.regsvr32.exeまたはrundll32.exeによって、IcedID Installerが実行されます。
3.IcedID Installerによって、PNGファイルがダウンロードされます。
4.PNGファイルからIcedID Downloader/Loaderが復号され、実行されます。
5.IcedID Downloader/Loaderによって、別のPNGファイルがダウンロードされます。
6.PNGファイルからIcedID Coreが復号され、ロードされます。
7.IcedID Coreを実行するために、msiexec.exeを子プロセスで生成し、コードインジェクションします。
8.msiexec.exeのプロセス内でIcedID Coreが実行されます。

▲感染の全体像

セキュリティを掻い潜りメールが届きます

ZIP化されたファイルとパスワードが記載されています

▲IcedIDが添付されたメール

感染メールの傾向
・件名に「Re:」などの返信を装った件名が多い
・メール本文中にZIPファイルの解凍パスワード記載
　→「Info.zip」、「request.zip」、「＜送信元組織名（アルファベット）＞.zip」の３タイプ
・何らかの方法で窃取したメール情報を利用してメールが送られる

ファイルを展開した際に、文章ファイルが出てきます

ワードファイルは「文字列」.docとなっているケースが多くみられます

文章ファイルを開き、コンテンツを有効にすると感染します

コンテンツの有効化させる手法はEmotetでも多く見られています。

▲ファイルを開いた際の画面

感染するマルウェア

現在のIcedIDは、ダウンローダが二段階あり、これらの動作を経てIcedID Coreが動作する構成となっています。

IcedID Installler

最初に実行されるダウンローダです。次の段階で使用するPEファイルが含まれるPNG形式の画像データ(ステガノグラフィ)をダウンロードして実行します。通常、DLL形式です。

IcedID Downloader/Loader

2番目に動作するダウンローダ兼ローダです。主にIcedID Coreのダウンロードと端末上に保存されたIcedID Coreのロードを行います。タスクスケジューラにタスクを登録することで永続化されます。DLL形式とEXE形式の2種類が存在します。

IcedID Core

IcedIDのコアボットです。他のモジュールをダウンロードし、Cookieの窃取や証明書のインストール、Webインジェクトなどを行います。IcedID Downloader/LoaderがDLL形式の場合は、Coreが起動したタイミングでタスク登録が行われます。

被害に合わないための対策

マクロ自動実行はオフにする
Officeソフトは「VBA」というプログラミング言語を使うことで、複雑な処理を簡単にしたり、自動化したりすることのできる仕組みが備わっています。しかし、この機能をはじめからオフにしておくことでIcedIDやEmotetなどの攻撃から守ることが出来ます。

コンテンツの有効化をしない
IcedIdは暗号化された圧縮ファイルを解凍しただけでは感染せず、マクロを有効化することによって感染します。
知人や取引先など、よく知っている相手から送られてきたマクロ付きのファイルであっても、開封前に正当性を確認しましょう。

不審なメールを閲覧しない
取引先や顧客を装ったメール攻撃は、感染経路としては古典的な方法です。
最近は文面が非常に巧妙化しているものの、手口そのものは変わりません。知らない送信元からのメールで、金銭に関することなど興味をそそるようなメールは開かないようにしょう。また、自身が送ったメールの返信にマルウェアが仕込まれた添付ファイルが送られてくるケースもあるので注意が必要です。

IcedIDを検出できるセキュリティ製品を導入する
ZIP化されたファイルでも検知できる製品もあるので導入することを推奨いたします。

■Broadcom – Symantec Endpoint Protection14
・ZIPファイルを解凍したタイミングでリアルタイムスキャンにより検知しファイルを削除

■Broadcom – Symantec Email Security.cloud
・メール本文に記載されているパスワードを抽出し、パスワード付きZIPを解凍。Wordファイルをマルウェア解析エンジンにて検知し、メールをブロックすることが可能

■Menlo Security – メールアイソレーション
・添付ファイル（ZIP）が安全なHTMLファイルに置き換えられ、無害化される
・ユーザーが無害化されたhtmlファイルをクリックした際、ブラウザが起動しパスワードを入力し手動で解凍。ZIP内のファイルに対しチェックがかかりシグネチャで検知、オリジナルファイルのダウンロードをブロック