IcedID 是一種銀行木馬，于 2017 年 9 月首次在野外發(fā)現(xiàn)。2022 年 10 月，它是第四大最常見的惡意軟件變體，部分原因是Emotet的回歸，它經(jīng)常傳播惡意軟件。作為銀行木馬，IcedID 專門收集金融機(jī)構(gòu)用戶賬戶的登錄憑據(jù)。IcedID 還能夠刪除惡意軟件。

雖然 IcedID 通常由僵尸網(wǎng)絡(luò)惡意軟件 Emotet 分發(fā)，但它并不是 IcedID 的唯一傳遞媒介。銀行木馬還通過惡意垃圾郵件活動進(jìn)行自我傳播，并在在受感染的系統(tǒng)上站穩(wěn)腳跟后可以通過網(wǎng)絡(luò)感染其他主機(jī)。IcedID 惡意軟件還因使用各種技術(shù)來隱藏其在系統(tǒng)上的存在而聞名。例如，惡意軟件使用進(jìn)程注入將自身隱藏在系統(tǒng)中，并使用隱寫術(shù)隱藏敏感數(shù)據(jù)。

威脅

由于 IcedID 惡意軟件是一種銀行木馬，其主要目的是竊取用戶在金融機(jī)構(gòu)賬戶的登錄憑據(jù)。一旦獲得這些憑據(jù)，惡意軟件就可以使用它們登錄用戶帳戶并從用戶那里竊取資金。最近，IcedID 還被用來刪除其他惡意軟件。

IcedID 使用網(wǎng)絡(luò)注入來誘騙用戶交出他們的憑據(jù)：Web 注入是 IcedID 用于收集網(wǎng)上銀行門戶登錄信息的方法。使用這種方法，攻擊者在網(wǎng)站內(nèi)容呈現(xiàn)在瀏覽器上之前將 HTML 或 JavaScript 代碼注入網(wǎng)站內(nèi)容。它允許惡意軟件收集和泄露用戶憑據(jù)供以后使用。

如何防范 IcedID 惡意軟件

IcedID 是一種復(fù)雜的銀行木馬，它使用規(guī)避技術(shù)使得很難識別和修復(fù)受感染的系統(tǒng)。但是，組織和個(gè)人可以采取各種措施來保護(hù)自己免受 IcedID 感染。

一般處理惡意軟件和銀行木馬，尤其是 IcedID 的一些最佳實(shí)踐包括：

• 員工培訓(xùn)： IcedID 使用社會工程技術(shù)進(jìn)行自我傳播并誘騙用戶交出敏感信息，例如他們的登錄憑據(jù)。培訓(xùn)員工識別并正確應(yīng)對社會工程對于最大限度地減少 IcedID 的威脅至關(guān)重要。
• 部署端點(diǎn)安全：端點(diǎn)安全解決方案能夠識別和阻止 IcedID 和其他惡意軟件的感染企圖。端點(diǎn)安全解決方案應(yīng)部署在所有設(shè)備上，保持最新狀態(tài)，并能夠訪問高質(zhì)量的網(wǎng)絡(luò)威脅情報(bào)。
• 使用強(qiáng) MFA：作為銀行木馬，IcedID 的主要目標(biāo)是收集用戶帳戶的登錄憑據(jù)。強(qiáng)制使用強(qiáng)多因素身份驗(yàn)證 (MFA) 可以降低成功進(jìn)行帳戶接管攻擊的風(fēng)險(xiǎn)。
• 實(shí)施電子郵件安全： IcedID 通常通過惡意電子郵件傳播。檢查電子郵件內(nèi)容和附件是否有惡意內(nèi)容的電子郵件安全解決方案有助于檢測 IcedID 惡意軟件感染。
• 監(jiān)控網(wǎng)絡(luò)： IcedID 在受感染計(jì)算機(jī)的端口 49157 上運(yùn)行代理，并嘗試從受感染主機(jī)通過網(wǎng)絡(luò)傳播自身。監(jiān)控異常開放端口和網(wǎng)絡(luò)流量的網(wǎng)絡(luò)流量有助于識別 IcedID 感染。
• 實(shí)施最低權(quán)限： IcedID 竊取登錄憑據(jù)并使用它們在網(wǎng)絡(luò)中傳播。強(qiáng)制執(zhí)行最小權(quán)限原則，將用戶和設(shè)備限制為其角色所需的最小權(quán)限，從而限制受感染的設(shè)備或用戶帳戶可能造成的損害。