IceXLoader 是FortiGuard Labs 去年六月发现的。它是一种商业恶意软件，用于在受感染的计算机上下载和部署其他恶意软件。虽然6 月份发现的版本(v3.0) 看起来像是一个正在进行的工作，但我们最近观察到一个新的v3.3.3 加载程序，它似乎功能齐全，并且包含多级交付链。

图1-IceXLoader交付链

第一阶段dropper

受害者收到包含第一阶段提取器的存档文件。提取器包含下一阶段的可执行文件和资源中的不同提取设置：

图2Dropper资源

提取器在C:\Users\\AppData\Local\Temp 下创建一个新的.tmp 文件夹，并将下一阶段文件（STOREM~2.EXE.NET 下载程序）放入其中：

图3 删除的文件

如果设置了REBOOT 资源，受感染的工作站将重新启动。然后，提取程序在HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce 下创建一个名为wextract_cleanup0 的新注册表项，并将其设置为rundll32.exe C:\Windows\system32\advpack.dll,DelNodeRunDLL32C:\Users\ username\AppData\Local\Temp \IXP000.TMP\。这将在下次计算机重新启动时删除提取程序创建的临时文件夹。

最后，执行下一阶段的下载，并退出提取器进程。

下载器

提取器删除的可执行文件(STOREM~2.EXE) 是一个简单的.Net 下载器，它从硬编码的URL 下载.png 文件：

图4 下载IceXLoader 滴管

下载的流被转换为字节数组（Fcyozgdveenwuzwbrsmfqu.dll），然后加载到下载器的新线程（STOREM~2.EXE）中，然后调用作者的硬编码方法：

图5 Dropper 执行

下载的DLL

IceXLoader dropper

高度混淆，负责：

解密IceXLoader 通过验证主机名不等于hal9th 并且用户名不是johndoe，确保文件不会在Microsoft Defender 的模拟器中执行。这被认为是一种常见的逃避技术。通过使用加密命令执行PowerShell，延迟35秒执行C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -enc UwB0AGEAcgB0AC0AUwBsAGUAZQBwACAALQBTAGUAYwBvAG4AZABzACAAMwA1AA==这是黑客常用的技术，以避免因执行超时框而引发沙尘暴。使用process Hollowing技术将IceXLoader注入到新进程（STOREM~2.EXE）中。

IceXLoader v3.3.3

IceXLoader 3.3.3 版是用Nim 语言编写的。 Nim 编程语言是一种简洁、快速的编程语言，可编译为C、C++ 和JavaScript。这种语言的使用最近在黑客中越来越流行，中国黑客也在Nimbda 加载器和TA800 中使用它。

IceXLoader 收集有关受害者的以下信息并将其发送到CC 服务器：

昵称由恶意软件作者设置并硬编码在二进制文件中的昵称；例如我们的昵称是Opus One。 IP地址。 UUID。用户名和计算机名。 Windows 操作系统版本。安装了安全产品。有.NET Framework v2.0 和/或v4.0。加载器版本v3.3.3。内存信息。 CPU信息。显卡信息。时间戳。

图6 信息收集

第一次执行时，IceXLoader 将自身复制到两个目录中：

C:\Users\用户名\AppData\Roaming\Opus.exe C:\Users\ 用户名\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Opus.exe 它也在HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion 在\Run 下创建了一个名为Opus 的新注册表项，并将其设置为C:\Users\\AppData\Roaming\Opus.exe。

上述两种技术都用于提供持久性。

图7 注册表持久性

创建持久性后，加载程序通过执行以下命令来执行新复制的自身实例：cmd /c timeout 2 C:\Users\\AppData\Roaming\Opus.exe。这会将执行延迟两秒并删除当前正在执行的文件，在本例中为C:\Users\\AppData\Local\Temp\IXP000.TMP\STOREM~2.EXE，因为加载程序已注入其中。

再次执行时，加载程序通过覆盖（修补）内存中的AmsiScanBuffer API（用于扫描用户输入）来绕过AMSI（反恶意软件扫描接口）保护。 AMSI 是一组Windows API，允许任何应用程序与防病毒产品集成（假设该产品充当AMSI 提供程序）。与许多第三方AV 解决方案一样，Windows Defender 自然充当AMSI 提供商。

图8 将AmsiScanBuffer内存改为可写内存

加载程序还会创建并执行一个.bat 文件，该文件会禁用Windows Defender 的实时扫描，并向Windows Defender 添加排除项，以防止它扫描IceXLoader 复制到的目录。

图9 禁用Windows Defender 的PowerShell 命令

3.3.3版本支持的命令列表与FortiGuard Labs描述的相同。

IceXLoader 尝试从其CC 服务器下载其他可执行文件。该文件作为medianupdate.exe 存储在用户的临时文件夹中。在我们调查时，CC 服务器可用，但除受害者数据库外的所有文件均已被删除。

受害者数据库

数据库文件似乎仍在更新（根据“上次修改时间”列）。

图10CC服务器

我们检查了数据库文件，该文件似乎是SQLite，包含数千条受害者记录，其中包括私人家庭计算机和公司计算机。我们正在开始通知受影响的公司。

Minerva实验室预防

Minerva Labs 内存注入预防模块，可在IceXLoader 部署的初始阶段阻止该模块，从而阻止进一步的执行流程并在攻击有效开始之前停止攻击：

斜接攻击CK:

T1105 进入工具传输

T1140 混淆/解码文件或消息

T1620反射代码加载

T1497 虚拟化/沙箱避免

T1055.012 注塑工艺：工艺镂空

T1592 收集受害主机信息

T1590.005 收集受害者网络信息：IP地址

T1547.001 启动或登录时自动开始执行：注册表运行项/启动文件夹

T1059.001 命令和脚本解释器：PowerShell

T1562.001 削弱防御：禁用或修改工具

国际奥委会：

哈希值

49d6552ae5c5027ce1e68edee2438564b50ddc384276fd97360c92503771d3ac 第一级滴管

7bb69f98d77ca7609c10b9a0ab1ce32be2e26b160413203d5335f65c1bc8ee72下载器(STOREM~2.EXE)

9a9981d9bd10d3e004457ca4509aeb2bd828f54213f61b8a547c90e52f0b08eb IceXLoader 滴管(Fcyozgdveenwuzwbrsmfqu.dll)

0911819d0e050ddc5884ea40b4b39a716a7ef8de0179d0dfded9f043546cede9 IceXLoader (Opus.exe)

网址：

hxxps[:]//www.filifilm[.]com.br/images/colors/purple/Ejvffhop.png IceXLoader 滴管

https://rastamouse.me/内存修补-amsi-旁路/

翻译自https://minerva-labs.com/blog/new-updated-icexloader-claims-thousands-of-victims-around-the-world/