GZIP加载程序解密此有效负载,内部名称为“sadl_64.dll”的DLL与rundll32一起运行,解密加密的IcedID核心模块license.dat,将其加载并执行。核心模块“fixed_loader64.dll”不包含C2服务器域名之类的配置参数,该信息存储在核心加载器“sadl_64.dll”中,并在执行时由核心模块“fixed_loader64.dll”加载。
研究人员表示可以使用以下YARA规则检测IcedID感染:
- IcedID GZIP加载器(“ loader_dll_64.dll”)
- IcedID核心模块加载器(“ sadl_64.dll”)
- IcedID核心模块(“ fixed_loader64.dll”)
另一种检测IcedID感染的方法是搜索它创建的注册表项。这些注册表项的名称是特定于帐户的,因为它们是从bot ID派生而来的,bot ID是从当前用户的SID派生的。
总结:
IcedID是试图弥补Emotet留下的空白的新兴恶意软件家族之一。最近,越来越多的勒索软件部署与IcedID感染相关。它复杂的感染链增加了分析难度,并无法使用现成的沙箱系统进行IoC提取。
