Bugünkü yazımızda, 14 Temmuz 2020 tarihinde ortaya çıkan IcedID isimli kötü amaçlı yazılımı (Bokbot olarak da bilinmektedir) inceliyoruz. Yazılım, Mircrosoft Word dokümanları üzerindeki macrolarla çalışmaktadır. Daha önce benzer olarak Valak ve Ursnif zararlıları da aynı şekilde faaliyetlerini yürütmüştü. IcedID de bu zararlıların devamı olarak değerlendirilmektedir. Aşağıdaki resimlerde zararlıya ait dosya isimlerinden bazıları ve Word dokümanının içeriği bulunmaktadır. Zararlı, HTTP isteği ile birlikte .cab uzantılı bir Windows DLL dosyası oluşturmaktadır.
Resim 1: Dosya Örnekleri
Resim 2: Microsoft Word Dosyası İçeriği
Resim 3: Zararlının Çalışması
Zararlının oluşturduğu dosya Microsoft Word dosya yolu ile aynı yere yazılmaktadır. Bunun devamında zararlı, https üzerinden “ldrglobal[.]casa” adresine bağlanmakta olup akabinde “.top” uzantılı web adreslerine https istekleri göndermektedir.
Resim 4: Zararlı Trafiği
IcedID yükleyici (Installer), Malwarebytes tarafından da Aralık 2019’da bildirilen, enfeksiyon (Injection) sürecinin bir parçası olarak steganografi kullanmaktadır. Virüs, bulaşmış olduğu kullanıcının AppData\ Local\Temp dizininde, IcedID tarafından tipik olarak kullanılmakta olan steganografi kanıtı görülmektedir. Bu dizinde, PNG resim dosyası olan .tmp ive .exe ile biten dosyalar bulunmaktadır.
Resim 5: Zararlı Dosyası
Bu işlemlerin sonucunda zararlı Görev Planlayıcısı’nın (Task Scheduler) içerisinde kendini kalıcı hale getirmektedir.
Resim 6: Kalıcı Hale Gelinmesi
Zararlının iletişim kurduğu C&C adresleri aşağıdaki gibidir:
- 1bwsl4[.]com – 37.230.113[.]85
- 804gtd[.]com – 185.139.70[.]165
- m33xa3[.]com – 91.235.129[.]43
- n9i9ep[.]com – 185.144.31[.]90
- nm5oi0[.]com – 81.29.134[.]62
- uhq943[.]com – 95.181.187[.]5
- 104.248.62[.]43 port 443 (HTTPS) – ldrglobal[.]casa
- 194.5.249[.]158 port 443 (HTTPS) – slizilinno[.]top
- 194.5.249[.]158 port 443 (HTTPS) – portivitto[.]top
- 194.5.249[.]158 port 443 (HTTPS) – mramoritto[.]top
Kaynaklar:
https://isc.sans.edu/diary/Word+docs+with+macros+for+IcedID+%28Bokbot%29/26352
https://www.malware-traffic-analysis.net/2020/05/27/index2.html
https://www.malware-traffic-analysis.net/2020/07/07/index.html
