后一个中断经过多次逮捕尽管最近可拆卸的报道在美国,Dridex的演员们似乎把最近的中断视为一种挑战,希望能比以往更好地恢复。纠错研究人员分析了Dridex参与者最近回归运营的活动,发现了从技术创新到散布其他银行和数据窃取恶意软件的无数行为变化。要点包括:
- 在Andrei Ghincul(又名Smilex)被捕后,Dridex垃圾邮件已于9月份停止发放。据称,此人是大量Dridex垃圾邮件的罪魁祸首。[1] [2] [3]
- Dridex SPAM于10月初恢复,所有子僵尸网络由相同的垃圾邮件僵尸网络交付。
- Dridex 220僵尸网络于10月1日恢复运营,此后一直势头强劲。
- Dridex 120运营于10月16日恢复。
- Proofpoint发现了一个新的Dridex僵尸网络ID 301和一个罕见的Dridex僵尸网络ID 121。
- 校对点观察了卓越的垃圾邮件返回,多天表现出在过去六个月最繁忙的日子或高于最繁忙的日子中。
- 散布Dridex的垃圾邮件僵尸网络也散布了Shifu银行木马,目标是日本和英国用户,表明参与者愿意多样化。
- 僵尸网络还传播了针对澳大利亚用户的乌斯尼夫数据窃取恶意软件。
现代攻击的五个要素
当尝试破译Dridex周围的最近的发展时,将它们放置在许多现代网络杀戮者所采用的更大框架的上下文中可能有用。这样的框架通常由五个元素组成:演员,矢量,蜂鸣声,有效载荷和C2。
- 行动者:攻击者组织;真实的人类受到各种动机的驱使,通常是网络罪犯的财务动机。
- 矢量:输送机构;通过攻击者控制或租用的垃圾邮件僵尸网络发送的电子邮件是一个主要的载体,尽管社交媒体正在增长。
- 蜂产带:托管恶意软件的网站;如果恶意软件未直接连接到电子邮件,则启用宏的文档或Exploit-kit所插入的Droppers将来自这些站点。
- 有效载荷:恶意软件;使攻击者能够利用(控制、窃取数据、下载更多软件到)目标计算机的软件。
- C2:用于中继恶意软件和攻击者之间的中继命令的命令和控制信道。
该框架使攻击者能够在健壮的、水平分割的生态系统中运行,专门开发框架的某些部分,并将其出售或租赁给其他人;这样的框架能够抵抗拆卸和单个组件故障。但是这样的框架也增加了攻击者的检测面;也就是说,它们容易被发现。通过跟踪这些元素中的每一个,防御者可以推断出其他元素,并采取适当的防御措施。
观察到的Dridex僵尸网络
Dridex 220运营于10月1日恢复,自以来一直强劲。The Dridex 220 Botnet Takedown宣布10月13日似乎只是在10月14日暂停垃圾邮件活动的暂停。校样点以来观察到了14个每日Dridex 220,并且测试表明此恶意软件目前能够成功拉下DLL和配置文件。
Dridex 120于10月16日恢复运营,此后Proofpoint观察到每天有7次针对这个僵尸网络的活动。此外,Proofpoint还发现了新的子僵尸网络id,特别是301和121。以下是具体的Dridex僵尸网络和它们被Proofpoint观察到的日期:
- Dridex 220:10月1日,5,6,7,8,9,12,13,15,19,21,22,23,26
- Dridex 120:10月16日,19,20,22,26,27,28
- Dridex 121: 10月19日
- Dridex 301:10月22日
Dridex垃圾邮件卷和观察
在这些垃圾邮件广告系列中,校对点研究人员注意到以下详情:
- 10月22日是显着的,因为我们检测到4个Dridex垃圾邮件活动:Dridex Botnets 120,220(早晚)和301都在一天内分发垃圾邮件机器人
- 在单一广告系列中发出的最大邮件量是10月的Dridex运动的平均信息量的两倍(Dridex Botnet 220 - 1910年10月19日)
- 在单个广告系列中发出的最小电子邮件量是10月19日的Dridex Botnet 121的10次消息广告系列
- 我们继续看到发票和交易电子邮件诱饵(图1)被广泛使用
- 大多数通过电子邮件的恶意文档附件都是空的或使用通用的“启用宏来查看此文档”的诱饵。然而,10月19日的Tiny Dridex 121活动采用了一个有趣的文件诱惑(图2)
图1:10月21日的发票诱饵Dridex 220竞选活动
图2:从10月19日的高质量文件诱饵Dridex 121活动
Shifu银行木马
也观察到分布Shifu银行的木马,并分配了分布了Dridex 120,220,121和301 [5]的相同僵尸网络(由约4到10万感染的垃圾邮件机器组成。或者正在寻找额外选择,如果执法行动取得成功。
第一次报道于8月下旬[6],Shifu Banking Trojan组合了许多其他众所周知的银行木工特洛伊木马的特点,包括宙斯,越野,Dridex等。虽然这种复杂的混合动力器采用类似于DRIDEX的格式和技术类似的配置文件,但它也具有隐形,混淆,反分析,C2甚至反恶意软件[7]功能,即DRIDEX没有,并且已经迄今已被观察到针对日本和英国的主要银行客户。
10月7日,僵尸网络在日本发送了电子邮件,声称是订单的确认,但实际上包含了诸如“1312061102_13233939se.doc”这样的附件,该附件使用宏下载了一个针对日本用户的Shifu银行木马。
图3:通过订单确认诱饵的电子邮件分发Shifu针对日本用户
10月20日,另一项活动被观察到使用主题为“采购订单编号:48847”并包含附件“PO_48847.DOC”的邮件,或主题为“john.doe@somecompany.com”(收件人地址)和附件为“FINAL NOTIFICATION.xls”的邮件。附件是包含Microsoft Office的文档恶意宏下载Shifu Banking Trojan,这次是在英国的银行客户的目标。[4](图4)
图4:电子邮件与订单确认诱饵分发Shifu针对英国用户
我们之前观察到这个垃圾邮件僵尸网络主要传播的是Dridex,这可能意味着它是在一个群体或一小群个人的控制之下。然而,就其本身而言,这一事实并不足以将这些Shifu实例与分发Dridex的参与者联系起来;例如,受感染的机器可能被多个垃圾邮件机器人感染,或者垃圾邮件发送者可能只是在帮朋友的忙。然而,额外的分析显示其他共性:例如,建造者用于生成师傅文档所使用的是同一种Dridex 220年,与类似的文件名字,空文档主体,类似负载位置URI结构(也就是说,位置的Microsoft Word文档下载师傅或Dridex负载)。
10月20日Shifu的有效载荷url示例:
[HXXP:// LadiesFirst-Privileges [。] COM / 656465 / D5678H9.exe]
[hxxp://papousek.kvalitne [。] cz / 656465 / d5678h9.exe]
[hxxp: / / pmspotter [] wz [,] cz / 656465 / d5678h9.exe]
10月19日DRIDEX 220的示例有效载荷URL:
[hxxp: / / demo9.iphonebackstage [] com/35436/5324676645.exe]
[HXXP:// EUROAGROEC [。] COM / 35436 / 5324676645.exe]
[hxxp: / / webmatique[]信息/ 35436/5324676645.exe]
10月28日,校对点研究人员观察了另一个似乎是来自同一个演员的大型活动,也分发了Shifu并以“订单确认”诱惑和恶意文件附件为目标。在该演员的持续变化的另一个例子中,该活动使用中微子Bot作为初始有效载荷,然后将Shifu作为第二个有效载荷下载。
Ursnif数据窃取恶意软件
10月,同样的垃圾邮件僵尸网络也被发现在传播乌斯尼夫数据窃取恶意软件。例如,10月21日发生了一场针对澳大利亚的电子邮件活动,这些邮件包含随机命名的附件,使用恶意宏下载Ursnif。有趣的是,这些文档使用的视觉模板与2015年4月Dridex子僵尸网络200使用的相同。(图5)
图5:启用宏后下载Ursnif的文档
Proofpoint分析的Ursnif样本针对的是以下银行网站的用户:
suncorpbank.com.au.
commbank.com.au
bendigobank.com.au
westpac.com.au
Stgeorge.com.au.
banksa.com.au.
bankofmelbourne.com.au.
nab.com.au.
ANZ.com
ibanking。* .au
bankwest.com.au.
银行? .anz.com
wintrade-international.com.au
结论
Proofpoint研究人员最近的观察证实,Dridex 220僵尸网络在最近的几次撤除尝试中存活了下来。此外,这些分析显示,Dridex 220僵尸网络背后的参与者实际上也是最近在英国和日本发起的Shifu活动的幕后主使,以及至少一次针对澳大利亚银行客户的Ursnif活动。这些发现强调了这些行为者的弹性和适应性,并强调了他们继续对个人和组织构成的危险。
参考
[2]https://cis.sans.edu/forums/diary/botnets +spreading +dridex+still+ active/20295
[3]www.justice.gov opa /公关/ bugat-botnet-adaministrator-arrested-and-malware-disabled
[4]https://www.lexsi.com/securityhub/dridex-bruteres-inside-the-dridex-spam-machine/?lang=en
[5]http://researchcenter.paloaltonetworks.com/2015/10/dridex-is-back-and-targeting-the-uk/
[6]https://securityintelligence.com/shifu-masterful-new-banking-trojan-is-attacking-14-japanese-banks/
IOC.
| 价值 | 类型 |
|---|---|
| F7C1A6A0ED3B8ACAC3C9DA8C7DC4B6861AB9422A69A5478A4228249D8A3A4416 | Shammed Shifu文件10月20日 |
| be8966a576167b2b151e0515fc46f7952d9a616754214550961bbf95fde420f7 | Shammed Shifu文件10月20日 |
| 7 f5fa44008064ca6cf59cf165770e4db8a7764bd14cf92586b8ecb65de756756 | Shammed Shifu文件10月20日 |
| 80年ded7a1e98b524e7b4a123a741892a40b862d3f05d949ae88f401e94c4b1a6a | Shammed Shifu文件10月20日 |
| C9602E7C64AE66B4A90F9AD6CCBBBA4243DD04CBB87554A056E97239900258. | Shammed Shifu文件10月20日 |
| 9F598AA8751D9A7B5A6AFE1D6E1E930D92C2131BD2F7C1839BA94307934B1E91 | Shammed Shifu文件10月20日 |
| a8e2788f371decce59d5cf7f02b7cf187406ae277e370fea112b58a437a55577 | Shammed Shifu文件10月20日 |
| [HXXP:// LadiesFirst-Privileges [。] COM / 656465 / D5678H9.exe] | Shammed Shifu文件10月20日 |
| [hxxp://papousek.kvalitne [。] cz / 656465 / d5678h9.exe] | 师父下载的doc 10月20日 |
| [HXXP://PMSPOTTER.WZ [。] CZ / 656465 / D5678H9.exe] | 师父下载的doc 10月20日 |
| [hxxps://fat.uk-fags [] top:443 / nova / userlogin.php] | 师父C2 10月20日 |
| 00 c791c4a0a15aad0e09612c0d0c52ec1c512dbd305a75d0907fcbc55bc55029 | Shammed Shifu文件10月7日 |
| 6E6D80575154523A2B7207F8263F79B3C9CC08DCC30C23084D2C3103E15B41D7 | Shammed Shifu文件10月7日 |
| E30760F00946465475FD62D573052A7D7868212BDCF5D3B5F4A4CF636CF6230E | Shammed Shifu文件10月7日 |
| 246C2F4CDF0E18DC874644A09C369232C70821A4B11A40DD7C133AFB2AD70D | 10月28日,垃圾中微子博士 |
| 92F733DA9BA440F0632B495A32742D47A5CB296F49127F210E14DE412E371BF8 | 10月28日,垃圾中微子博士 |
| 03626 c8036299e08b705f193337d44934ee45ddc373a368c71e8ef073ec674e8 | 10月28日,垃圾中微子博士 |
| [hxxp://www.profes-decin.kvalitne [。] cz / 345gfc334 / 65g3f4.exe] | Shifu由Doc 10月7日下载 |
| [hxxp: / / leelazarow [] com/345gfc334/65g3f4.exe] | Shifu由Doc 10月7日下载 |
| [HXXP:// Rockron [。] Com /〜Rockron / 345GFC334 / 65G3F4.exe] | Shifu由Doc 10月7日下载 |
| [hxxps:// frewebpjj [。] com:443 / news / userlogin.php] | 师父C2 10月7日 |
| AE5DAA6843232CF77E4E075AA7312E9DF83A517111CY857EE56DD553D6DA3CA5C | 垃圾文件Ursnif 10月21日英石(数百之一) |
| [hxxp: / / culinarysouthmountain [] com/wp-admin/css/colors/midnight/07c1.jpg] | Ursnif文件得到有效载荷 |
| [HXXP:// AnalisticFortrading [。] Com] | Ursnif Webinject C2 |
| [HXXP://客户端[。] Me] | Ursnif DGA C2 |
| [hxxp: / / allowclientaxpalagent[。]我] | Ursnif DGA C2 |
| [hxxp: / / clientalalaxp [] mn) | Ursnif DGA C2 |
| [hxxp: / / useralcliclient[。]我] | Ursnif DGA C2 |
| [HXXP:// AgentClientClient [。] Me] | Ursnif DGA C2 |
| [hxxp: / / jscclientagentdisa[。]我] | Ursnif DGA C2 |
| [hxxp:// clialjscnotjclientcli [。] me] | Ursnif DGA C2 |
| [hxxp://85.93.5.21/vnc32.dll] | Ursnif VNC. |
| [hxxp://85.93.5.21/vnc64.dll] | Ursnif VNC. |
订阅校对点博客