如何推测恶意软件的下一次攻击

安全 应用安全
当我们分析一个流行的恶意软件家族时,会首先查看其使用的恶意基础设施,从而收集线索,查找幕后的开发者。

当我们分析一个流行的恶意软件家族时,会首先查看其使用的恶意基础设施,从而收集线索,查找幕后的开发者。

本文就以Dridex为例,来说说如何利用恶意基础设施来推测下一次可能的攻击。

[[402657]]

Dridex

Dridex银行木马于2014年首次出现,至今仍是最流行的恶意软件家族之一。 2020年3月,Dridex成为最受欢迎的恶意软件之首。

Dridex是由一个名为“Evil Corp”的网络犯罪组织创建的,该组织估计对全球银行系统造成了1亿美元的损失。在本文中,我们提供了迄今为止有关Dridex的关键细节的介绍。探索了Dridex开发的历史,并展示其关键技术特征和传播方法。

Dridex中的关键模块名称:

  • Evgeniy Bogachev:臭名昭著的ZeuS恶意软件的创建者。
  • Maksim Yakubets:负责Eride Corp网络犯罪集团的负责人,该集团负责Dridex的运营。

Dridex出现之前,ZeuS最为流行

Zeus是木马恶意软件,它的功能包括将受感染的计算机变成一个僵尸网络节点,窃取银行凭证,下载并执行单独的恶意模块。根据联邦调查局的调查,网络犯罪组织的成员试图利用ZeuS在全球窃取约2.2亿美元。

以下时间线显示了ZeuS发展的关键点:

当ZeuS源代码在2011年泄漏时,此恶意软件的各个分支开始出现。它是非常流行的恶意软件,并发展出了许多不同的恶意软件分支。在撰写本文时,ZeuS与29个不同的恶意软件家族相关联,共有大约490个版本。

2014年5月,美国联邦调查局(FBI)发布了一份公告,其中描述了博加乔夫(Evgeniy Bogachev)的情况,并承诺悬赏300万美元,以获取有助于逮捕和/或定罪的信息。

Dridex时代

ZeuS家族消失后,Dridex就发展起来了。该恶意软件是Bugat演变(于2010年出现)的结果,Bugat v5在2014年被命名为Dridex。据称,Andrey Ghinkul(来自摩尔多瓦)是2015年Dridex僵尸网络背后的管理员之一。Igor Turashev也是Dridex僵尸网络背后的管理员之一。

Denis Gusev是EvilCorp背后的主要投资者之一,更多与Dridex有关的名字可以在美国财政部制裁声明中找到。

下面的时间线显示了Dridex演进的一些里程碑:

Dridex继而从2017年开始使用Bitpaymer产生了许多勒索软件,该分支继续使用2019年开发的DoppelPaymer和2020年开发的WastedLocker。

在2019年,Dridex至少拥有14个活动的僵尸网络,其中一些以前已经被发现,而另一些则是新开发的。僵尸网络通过其ID号来区分。这些是目前最活跃的:10111, 10222, 10444, 40200, 40300。在2019年底,联邦调查局发布了一份公告,其中描述了Dridex的作者,并承诺提供500万美元的奖励(此前为E.Bogachev提供300万美元)。

也有证据表明,马克西姆过着奢华的生活方式,这无疑是由于他的恶意活动所致。

[[402659]]

到目前为止,Maksim Yakubets尚未被执法部门逮捕。正如前面提到的,在2020年,Dridex是世界上最流行的恶意软件家族。

感染链

在开始对Dridex样本本身进行分析之前,我们想了解恶意软件背后的基础结构。如何传播?目标是什么?支持文件的初始检测率是多少?

Dridex的传播

当运营商想要传播Dridex时,他们会使用来自不同网络犯罪集团的已建立的垃圾邮件程序,将恶意文件附加到精心制作的电子邮件中。在Dridex生命周期的不同时期,Necurs、Cutwail和Andromeda僵尸网络都参与了Dridex的传播。

当用户下载并打开此类文档(可能是Word或Excel)时,将启动嵌入式宏,以下载并执行Dridex有效载荷。

 

目标

Dridex的目标是来自世界各地的不同知名机构:

  • 美国银行帐户;
  • 美国信用卡公司;
  • 美国金融投资公司;
  • 欧洲银行帐户;
  • 沙特阿拉伯、卡塔尔、阿曼的政府机构;

诱饵

为了提高Dridex的传播成功率,恶意攻击者将其垃圾邮件伪装成合法的电子邮件。我们可以举出UPS、FedEx和DHL等公司的例子,这些公司的标识和邮寄风格都被用作这类电子邮件的诱饵。

 

当受害者点击链接时,带有恶意文档的存档或恶意文档本身都会被打开。

最初的检出率

当首次在野外看到Dridex传输文件时,它的检出率非常低。在下面的截图中,我们看到了Dridex的Excel文档的初始检测率:

Dridex传播文件的初始检测率

加载程序和有效载荷

Dridex示例包括加载程序和有效载荷,我们将在下面讨论每个部分的重点。

反调试技术

Dridex加载程序利用OutputDebugStringW函数使恶意软件分析更加困难,不同的加载程序会产生不同的输出(其中“Installing…”字符串非常流行),但该思想在各处都是相同的:创建一个包含大量无意义调试消息的长循环。在下面的图中,我们看到了这样一个循环的示例,该循环的迭代次数约为2亿:

带有0xBEBBE7C(大约2亿次)迭代的循环调用OutputDebugStringW

日志中的输出如下所示:

Dridex调试消息淹没了分析日志

混淆

有效载荷被严重混淆,几乎没有函数被直接调用。调用解析是在标识库及其包含的函数的哈希值的帮助下执行的。下面的截图显示了这样的分辨率示例:

Dridex有效载荷中的调用解析示例

所有对关键Dridex任务重要的函数都是这样调用的。

对Internet函数的解析调用示例

我们使用Labeless工具来解决混淆的函数调用,恶意软件中的字符串使用RC4算法和样本中存储的解密密钥进行混淆。

配置

有效载荷内部的主要关注点是其配置,它包含以下重要细节:

  • 木马ID;
  • C&C服务器的数量;
  • C&C服务器本身的列表;

配置示例:

有效载荷内部Dridex配置的示例

本示例中的木马ID为12333,命令和控制服务器包括:

  • 92.222.216.44:443
  • 69.55.238.203:3389
  • 66.228.47.181:443
  • 198.199.106.229:5900
  • 104.247.221.104:443
  • 178.254.38.200:884
  • 152.46.8.148:884

网络活动

Dridex从配置向服务器发送POST请求以获取更多命令,等待200 OK响应。请注意,这些服务器不是真实的C&C服务器,而是连接到真实服务器的代理。

Dridex僵尸网络基础设施

恶意软件发送到C&C服务器的信息包含以下数据:

  • 计算机名;
  • 僵尸网络身份证号码;
  • 请求类型;
  • 操作系统的架构;
  • 已安装软件列表;

这些数据用RC4算法加密,密钥存储在恶意软件的加密字符串中。

至少有6种不同类型的请求;其中有以下几种:

  • " list ":获取配置;
  • " bot ":接收bot模块;

使用IOC尽早发现

感染越早被发现,缓解的机会就越大。为了在花费最少资源的情况下尽快捕获感染,我们希望专注于初始传播阶段。

但是,检测只是一个方面。我们可能会自信地说某些东西是恶意的,但我们也想对威胁进行分类。为此,我们必须确保该特定恶意软件确实是Dridex。

让我们再次看看Dridex感染链,并确定我们可以用于检测和识别的不同阶段:

Dridex检测的不同阶段

在Dridex感染的不同阶段,我们可以使用以下指标进行检测。

第一阶段,恶意文件:

文件哈希;

  • 文件内的图片;
  • 文件的内部结构;
  • 内部使用的宏;

第二阶段,服务器:

  • 域;
  • 网址;

第三阶段,加载程序和有效载荷:

  • 样本哈希;
  • 配置文件中的IP地址;

为什么这么多因素很重要?

我们已经看到Dridex的基础设施和指标以及其他流行的恶意软件家族(例如Emotet和Ursnif)之间的关联。当用于传送上述所有恶意软件时,恶意文档具有共同的指标。一些C2服务器,确切地说,是代理服务器——被Dridex和Emotet使用,尽管端口和连接类型是不同的。

因此,在得出结论之前,我们必须分析很多细节。与我们所拥有的特定僵尸网络相关的独特因素越多,就越容易说出另一种攻击是否具有相同的模式。

当然,对恶意软件进行分类的理想方法当然是获取并分析最终的有效载荷:如果是Dridex,则在恶意软件之前启动的所有内容也都归为Dridex。但是,在知道结果之前可能需要一些时间(有时在获得最初的恶意文档之后需要相当长的时间)。通过分析感染链早期阶段的所有指标,我们可以更快、更有信心地进行分类。

另一个有趣的注意事项是利用相同的网络下载Dridex示例,我们分析了用于此目的的域,解析了它们的IP,发现其中很多都位于同一网络84.38.180.0/22中,总共可用地址少于1024个。该网络属于俄罗斯ASN Selectel公司,该公司很少删除恶意内容或垃圾邮件。

我们在84.38.180.0/22网络(以及同一ASN内的其他网络)中看到了以下链接到Dridex域的IP地址,日期显示Dridex域首次指向相应的IP:

尽管仅凭此因素不足以识别Dridex,但这是处理Dridex IOC时要参考的一个很好的辅助细节。

检测

下面的图表显示了不同日期的Dridex峰值

6月29日Dridex感染峰值

7月6日至7月8日Dridex感染峰值

能够尽早拦截Dridex攻击至关重要,在许多情况下,如果7月6日至7月8日之间连续几天都没有发送垃圾邮件,则僵尸网络的活动在第二天就会变慢,并且我们获得的IOC匹配次数不会像高峰期那样多

Dridex的发展

自7月22日以来,我们还没有发现任何新的Dridex垃圾邮件样本。 Dridex在9月7日重新出现,显示其活动峰值连续2天大幅增加:

Dridex运营商更新了Dridex执行的第一阶段:他们添加了更多可从其下载有效载荷的URL,而不是最早版本的恶意文档中的单个URL。现在,在单一文件中,他们的数量可能高达50个。

我们一直在监控这个僵尸网络,并在不同的执行阶段检测它的有效载荷。

本文翻译自:https://research.checkpoint.com/2021/stopping-serial-killer-catching-the-next-strike/

 

责任编辑:赵宁宁 来源: 嘶吼网
相关推荐

2013-07-05 09:44:42

SDN软件架构

2014-07-17 15:31:48

2020-05-22 12:14:04

物联网IOT物联网技术

2020-11-04 14:37:05

机器学习人工智能计算机

2021-05-31 23:43:47

加密货币比特币货币

2020-04-28 15:46:56

物联网

2014-03-18 09:24:00

ICT移动宽带华为

2020-05-11 13:44:08

人工智能

2022-07-12 11:09:42

CIOIT 领导者

2010-03-17 08:27:58

HTML 5 Web Web通信

2023-06-19 15:14:04

WindowsWindows 12Windows 11

2022-01-25 10:36:49

工控安全网络攻击电子邮件

2022-07-07 14:26:22

区块链加密货币网络安全

2021-06-01 22:25:59

加密货币金融技术

2016-10-19 13:18:28

数据驱动分析

2024-03-26 15:31:11

人工智能电动汽车

2020-10-19 19:04:18

比特币泡沫峰值数据

2021-06-23 13:57:13

数据泄露网络攻击数据安全

2018-08-06 11:17:31

华为云
点赞
收藏

51CTO技术栈公众号