IcedID / BokBot
IcedID / BokBot 是什么?
IcedID / BokBot2017 年首次出现的模块化银行木马与加载器,后来成为 Conti、Quantum 等团伙部署勒索软件的主要先导工具。
IcedID(又称 BokBot)于 2017 年首次出现,瞄准北美和欧洲的银行与电商客户。它主要通过恶意 ISO、IMG 和 OneNote 附件、密码保护的压缩包以及 SEO 投毒广告进行分发,提供后门访问、浏览器 Web 注入、VNC 与 SOCKS 代理模块。随着时间推移,它转向作为加载器,为手动入侵投放 Cobalt Strike、Atera RMM 以及 Quantum、Conti、Dagon Locker 等勒索软件。微软与 Proofpoint 将其视作不断演进的工具集,被多个联盟集群使用。防御方依赖 AppLocker、MOTW、限制 ISO 挂载和邮件文件类型策略来减缓传播。
● 示例
- 01
源自伪造发票 ISO 的 IcedID 感染在 48 小时内升级为 Quantum 勒索软件加密事件。
- 02
某 SOC 在邮件中阻断 ISO 和 IMG 附件,使 2023 年 IcedID 引发的手动入侵显著减少。
● 常见问题
IcedID / BokBot 是什么?
2017 年首次出现的模块化银行木马与加载器,后来成为 Conti、Quantum 等团伙部署勒索软件的主要先导工具。 它属于网络安全的 恶意软件 分类。
IcedID / BokBot 是什么意思?
2017 年首次出现的模块化银行木马与加载器,后来成为 Conti、Quantum 等团伙部署勒索软件的主要先导工具。
IcedID / BokBot 是如何工作的?
IcedID(又称 BokBot)于 2017 年首次出现,瞄准北美和欧洲的银行与电商客户。它主要通过恶意 ISO、IMG 和 OneNote 附件、密码保护的压缩包以及 SEO 投毒广告进行分发,提供后门访问、浏览器 Web 注入、VNC 与 SOCKS 代理模块。随着时间推移,它转向作为加载器,为手动入侵投放 Cobalt Strike、Atera RMM 以及 Quantum、Conti、Dagon Locker 等勒索软件。微软与 Proofpoint 将其视作不断演进的工具集,被多个联盟集群使用。防御方依赖 AppLocker、MOTW、限制 ISO 挂载和邮件文件类型策略来减缓传播。
如何防御 IcedID / BokBot?
针对 IcedID / BokBot 的防御通常结合技术控制与运营实践,详见上方完整定义。
IcedID / BokBot 还有哪些其他名称?
常见的别称包括: BokBot。