原帖地址：https://research.checkpoint.com/2021/melting-ice-tracking-icedid-servers-with-a-few-simple-steps/

原帖标题：Melting Ice – Tracking IcedID Servers with a few simple steps

原帖信息：May 26, 2021  Research by: Alex Ilgayev

追踪僵尸网络通常需要大量的努力、时间和威胁情报知识。如果是多阶段的复杂恶意软件家族，如IcedID、Emotet和QakBot，跟踪的难度就更大了。因此，作为恶意软件分析师，我们倾向于寻找尽可能多的自动化过程--收集大规模的样本，识别它们，提取它们的配置，然后让这些产生我们感兴趣的价值，如更清晰的威胁情报图片或更最新的域信誉引擎。

虽然恶意软件分析的生活往往像上面描述的那样困难，但它不一定是这样。有时，如果我们很聪明，10%的工作会得到我们感兴趣的90%的结果。在这篇文章中，我们展示了这样一个巧妙的方法，并展示了如何快速跟踪IcedID C&C服务器，并且不需要跟踪或分析任何样本。

IcedID banker恶意软件最早出现于2017年9月，此后取得了重大进展。这种威胁，也被称为BokBot，在过去的一年中不断增长，并拥有广泛的恶意功能，如浏览器拦截，凭证盗窃，MiTM代理设置和VNC模块等。

Malwarebytes、Group-IB和Binary Defense过去的出版物对该僵尸程序的内部功能，包括感染链和恶意组件进行了彻底描述。

根据二进制防御研究人员提出的最新感染链，最近迭代的IcedID包含三个恶意组件--包含恶意宏的进入点DOC/XLS；一个第一阶段的payload；以及最后一个第二阶段的payload，它本身由两个子部分组成--一个64位DLL加载器，以及被伪装成".dat "文件的加密的实际僵尸程序。

每个第二阶段的payload通常包含2-4个独特的嵌入式域名，这些域名都可以解析到同一个IP地址。假设我们设定一个目标，跟踪这些域名/IP并阻止它们；自然，我们对最快速和无痛的方式感兴趣。

受害者的通信协议是HTTPS，所以我们检查了捆绑的TLS证书。正如我们在下面观察到的，IcedID的人更关心RSA-2048提供的硬性具体保证，而不太关心遵循安全准则；该证书签发给默认名称为“ Internet Widgits Pty，Ltd”的机构，该机构位于“某个州”。

IcedID C&C证书样本：

如果我们把这个IcedID证书和一个默认的自签名证书进行比较，最明显的区别是通用名称字段。公共服务器的FQDN（例如）应该在这个字段中出现，而不是像本例中的Checkpoint.comlocalhost那样。

你可能明白这是怎么回事；我们立即开始扫描广泛的网络，寻找其他呈现这种证书的服务器。

我们不愿重复发明，选择使用流行的互联网扫描平台Censys来创建一份潜在的C&C候选人名单。像Shodan这样的其他网络扫描平台也可以用于此目的。

Censys引擎为我们提供了大量的证书查询控制。经过一些调整和调整，我们构造了以下查询:

Censys的证书结果之一：

如果您怀疑在证书中使用通用名称的唯一性，可以通过一个简短的实验轻松地证明这一点：我们搜索到的几十个服务器看起来似乎很多，但如果您在搜索查询中省略了要求，结果将在千分之一的大小和数量上爆炸式增长：localhostCN=localhost

目前，我们不能假设这些服务器中的每一个都是活动的IcedID恶意C&C，所以我们需要验证它们。幸运的是，这是可能的，这要归功于我们在研究过程中发现的另一种独特的特性。

当我们对僵尸程序的功能进行逆向工程时，我们注意到僵尸程序在与C&C服务器通信之前做了一个相当有趣的测试。下面的代码是一个回调函数的一部分，在与C&C.WinHttpSendRequest联系之前被调用。

证书验证代码:

简单地说，这段代码在证书的公钥上运行Fowler-Noll-Vo 32位哈希函数，并将其与证书的指定序列号进行比较。只有当比较结果吻合时，通信才会继续进行（或用XOR-ed值）。0x384A2414

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课