9月初逮捕了Dridex Banking Trojan的集团成员的成员[1]导致猜测横盘致力于驾车的波浪[2]是否会削减或消失。考虑到这些广告系列的大量数量,任何令人醒目的令人难以理解的,欢迎,并且随后的安静时期在通过校对研究人员监控的日常恶意软件中清晰可见。(图。1)
图1:索引每周网络钓鱼文档附件恶意软件卷,通过有效载荷
从大约9月1日的Dridex活动中却消失了,并且仍然保持安静,几乎到了三十天,直到10月1日的活动标志着这个中断结束。揭示了这些新有效载荷的分析 - 正如其他地方所说的那样[3] - 与先前的REDIDEX有效载荷相比,它们是不起眼的。10月6日活动表明了相同的特征,因此仍有待观察到2015年第一部分仍将恢复的Dridex活动标志的不断创新。
但在Dridex中断期间,恶意软件的有效载荷发生了什么?还是说,Dridex的缺失为其他恶意软件作者创造了机会,在恶意软件生态系统中形成了一个空缺?我们最近对Vawtrak[4]的分析发现,它有很多变化,似乎可以填补Dridex留下的空白。从图1中可以看出,其他有效载荷的数量似乎没有受到Dridex中断的影响,但Dridex的相对数量掩盖了其他有效载荷的变化。将最常见的恶意软件有效载荷与总活动的百分比绘制成图表,可以更好地查看。(图2)
图2:每周钓鱼文档附件恶意软件负载占恶意软件总负载的百分比
从这个角度看,这很明显,Dridex Hiatus的主要受益者最初是越野(又名UPATRE)和Cryptowall 3.0,随后被扣留于复苏Vawtrak [5],如疑似。此外,越野一直在稳步存在,在过去的十个月里展出了短暂的潮水,但是Cryptowall和Vawtrak都在很大程度上缺席了至少六个月的网络钓鱼有效载荷,所以这两者的原始术语是最直接的受益者Dridex Hiatus。即使他们的整体卷没有接近Dridex运动,有效载荷的突然变化也可以代表适应了DRIDEX有效载荷月份的防御的重大挑战。
有趣的是,所有三个的卷都随着Dridex的返回而略微下降,提出了当在网络钓鱼有效载荷传递的情况下占据焦点中的时刻。
Dridex Hiatus期间网络钓鱼恶意软件有效载荷的分析因此突出了几个关键特征:
- 威胁演员擅长代替另一个生态系统组件,并且在任何给定时间都有许多选择。
- “旧”威胁永远不会遥远:因为在月份未检测到特定的恶意软件有效载荷并不意味着它不再是威胁。
- 恶意软件是灵活的:通常通过一个向量传播的有效载荷 - 例如通过恶意传播 - 可以在需要和机会时快速“跳转”到其他分销矢量。
参考文献
[1]http://krebsonsecurity.com/2015/09/arrests-tied-to-citadel-dridex-malware/
[2]https://www.prickpoint.com/us/threat-insight/post/top-trends-of-2015
[3]http://researchcenter.paloaltonetworks.com/2015/10/dridex-is-back-and-targeting-the-uk/
[4]https://www.prooppoint.com/us/threat-insight/post/in-the-shadows.
[5]http://blogs.technet.com/b/mmpc/archive/2015/08/11/msrt-august-2015-vawtrak.aspx.
订阅校对点博客