金沙js1996

js1996官网登录

  • 基础设施安全

    基础设施安全
  • 数据安全

    数据安全
  • 云计算安全

    云计算安全
  • 工业互联网安全

    工业互联网安全
  • 物联网安全

    物联网安全
  • 信息技术应用创新

    信息技术应用创新
  • 全部产品

    全部产品
  • 全部解决方案

    全部解决方案

基础设施安全


  • 政府

    政府
  • 运营商

    运营商
  • 金融

    金融
  • 能源

    能源
  • 交通

    交通
  • 企业

    企业
  • 科教文卫

    科教文卫

返回列表

IcedID银行木马样本技术分析与防护方案

2017-11-17

发布者:js1996官网登录

内容简介

综述

近日,IBM X-Force研究小组发现了一种全新的银行木马IcedID。该木马最早于2017年9月在互联网上传播,目标主要为美国金融行业的相关系统。据X-Force研究,该木马包含一个恶意代码的模块,拥有如宙斯木马(Zeus Trojan)等现今银行木马的大部分功能。

目前看来,该木马主要的目标为美国的银行,支付卡提供商,手机服务提供商,邮件和电商网站等系统,还包括2所英国的主流银行。

相关链接:

https://securityintelligence.com/new-banking-trojan-icedid-discovered-by-ibm-x-force-research/

事件背景

2017年11月14日,一个名为IcedID的银行木马被研究人员发现,该木马主要攻击美国境内的银行和其他金融机构,通过Emotet木马来进行传播。受感染者在访问特定的线上金融机构网站时,该木马会将用户重新定向到假的钓鱼网页,来获取用户的银行密码等敏感信息。

 

传播与感染

据X-Force的研究人员表示,IcedID没有利用漏洞而是利用Emotet木马进行传播。Emotet将IcedID作为新的Payload下载到受感染的用户主机上,从而进行感染。Emotet主要通过钓鱼邮件进行传播,一旦感染用户就会在主机上静默安装,随后会用来下载更多的恶意软件。

除了常见的木马功能外,IcedID还可以通过网络传播。 它通过设置一个本地代理来监控受害者的在线活动, 它的攻击手段包括网站注入攻击和类似于Dridex和TrickBot的复杂的重定向攻击。

攻击流程

 

 

处理建议

安全操作建议

1.     不要随意下载和安装软件,以防被木马感染;

2.     安装防病毒软件并保持更新至最新版本。

检查与清除

1.     检查注册表并删除HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRuncantimeam键值。

2.     删除C:Users{UserName}AppDataLocalcantimeam目录及该目录下的可执行文件。

 

持续安全监测与防护

在持续安全监测和防护方案中,以金沙js1996威胁分析系统(TAC)检测未知和已知威胁,以威胁情报安全信誉为纽带,结合本地网络部署的NIPS(金沙js1996入侵防护系统),形成对已知威胁与未知威胁的动态安全防护体系,再结合js1996官网登录专业应急响应团队以及区域服务团队的现场响应及处置能力,可对全国范围内的客户提供现场快速分析排查、处置及加固防护。

注:TAC的威胁分析能力请参考恶意软件行为章节内容

 

家族关联对比

 

js1996官网登录检测与防护方案

js1996官网登录检测服务

·   js1996官网登录工程师前往客户现场检测。

·   js1996官网登录在线云检测,登陆js1996官网登录云,申请极光远程扫描试用。

https://poma.nsfocus.com/

js1996官网登录木马专杀解决方案

·   短期服务:js1996官网登录工程师现场木马后门清理服务(人工服务+IPS+TAC)。确保第一时间消除网络内相关风险点,控制事件影响范围,提供事件分析报告。

·   中期服务:提供3-6个月的风险监控与巡检服务(IPS+TAC+人工服务)。根除风险,确保事件不复发。

·   长期服务:基金行业业务风险解决方案(威胁情报+攻击溯源+专业安全服务)

 

总结

IcedID是金融网络犯罪领域新近发现的一个威胁。 虽然现在还不知道它将会如何发展,但其目前的能力,传播方式选择和攻击目标都表明了其背后是一个对这个领域并不陌生的团体。

附录:

IOC

 

 

 

 

 

 

 

 

 

 

KEY

VALUE

DOMAIN

nejokexulag.example.com

nobleduty.com

tradequel.net

youaboard.com

ztekbowrev.com

 

PORT

443

PROTOCOL

SSL/TLS

IP

185.127.26.227

 

声 明

本安全公告仅用来描述可能存在的安全问题,js1996官网登录不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,js1996官网登录以及安全公告作者不为此承担任何责任。js1996官网登录拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经js1996官网登录允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。

您的信息

*姓名
*联系电话
*邮箱
*所在行业
*所在公司
*验证码
提交到邮箱

<<上一篇

2017 物联网安全研究报告

>>下一篇

逆向心法修炼之道-The Flare on Challenge

您的联系方式

*姓名
*单位名称
*联系方式
*验证码
提交到邮箱

购买热线

  • 购买咨询:

    400-818-6868-1

提交项目需求

欢迎加入js1996官网登录,成为我们的合作伙伴!
  • *请描述您的需求
  • *最终客户名称
  • *项目名称
  • 您感兴趣的产品
  • 项目预算
您的联系方式
  • *姓名
  • *联系电话
  • *邮箱
  • *职务
  • *公司
  • *城市
  • *行业
  • *验证码
  • 提交到邮箱

服务支持

智能客服
智能客服
购买/售后技术问题
盟管家-售后服务系统
盟管家-售后服务系统
在线提单|智能问答|知识库
支持热线
支持热线
400-818-6868
js1996官网登录社区
js1996官网登录社区
资料下载|在线问答|技术交流
微博
微博

微博

微信
微信

微信

B站
B站

B站

抖音
抖音

抖音

视频号
视频号

视频号

服务热线

400-818-6868

服务时间

7*24小时

© 2024 NSFOCUS js1996官网登录 www.nsfocus.com All Rights Reserved . 京公网安备 11010802021605号 京ICP备14004349号 京ICP证110355号

XML 地图