Manuel Statik Analiz — IcedID (BazarLoader 家族si) | Tehdit: YUKSEK
文件 Kimliği
| SHA256 | 17014299f399f71d1130496b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| 文件名 | info_IR-99661418.msi |
| 大小 | 1.130.496 byte (MSI installer) |
| String Sayisi | 5.745 |
MSI Fatura Lure
info_IR-99661418.msi -- "IR" = "Invoice Request" (fatura talebi) -- "99661418" = sahte takip/sipariş numarası -- .msi: Windows Installer (yönetici meşruiyeti) -- Finansal departmanlara hedefli email
Guernsey TLD C2 Domain
NSABX.GG -- .gg = Guernsey (İngiliz Kanal Adaları) TLD -- "NSABX" = 5 büyük harf (rastgele DGA-benzeri) -- .gg TLD: gamer topluluğu kaynaklı, az engellenir -- IcedID'nin tercihli C2 iletişim yöntemi
IcedID Hakkında
IcedID (BokBot), 2017'de keşfedilen modüler banking trojan'ıdır. TrickBot ile ilişkilidir, Cobalt Strike ve ransomware yüklemek için loader olarak kullanılır. Process hollowing ve hooking ile tarayıcı trafiğini yakalar. 2022'de kaynak kodu sızdı.
IOC
| SHA256 | 17014299f399f71d1130496b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| C2 | NSABX.GG (.gg Guernsey TLD) |
| Lure | info_IR-99661418.msi (fatura talebi) |
IcedID2 — 恶意软件档案
IcedID BokBot banking trojan 2017. TrickBot ilişkili. Cobalt Strike loader. Process hollowing browser hook. NSABX.GG.
恶意软件类型
Backdoor
编程语言
C++
C2协议
HTTPS
目标系统
Küresel Finans
能力与行为
Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması
IOC列表 (1 个指标)
IOC — IcedID2
# DOMAIN
nsabx.gg
| 类型 | 值 | 备注 |
|---|---|---|
| domain | nsabx.gg |
C2服务器 (该家族共有 1 台已记录服务器)
| 地址 | 类型 | 端口 | 协议 | 状态 | 国家 |
|---|---|---|---|---|---|
| nsabx.gg | domain | 443 | HTTPS | inactive | — |
C2 地址仅来自 KEYDAL 团队人工验证的恶意软件样本。禁止用于商业用途。