当我们分析一个流行的恶意软件家族时，会首先查看其使用的恶意基础设施，从而收集线索，查找幕后的开发者。

本文就以Dridex为例，来说说如何利用恶意基础设施来推测下一次可能的攻击。

Dridex

Dridex银行木马于2014年首次出现，至今仍是最流行的恶意软件家族之一。 2020年3月，Dridex成为最受欢迎的恶意软件之首。

Dridex是由一个名为“Evil Corp”的网络犯罪组织创建的，该组织估计对全球银行系统造成了1亿美元的损失。在本文中，我们提供了迄今为止有关Dridex的关键细节的介绍。探索了Dridex开发的历史，并展示其关键技术特征和传播方法。

Dridex中的关键模块名称：

Evgeniy Bogachev：臭名昭著的ZeuS恶意软件的创建者。

Maksim Yakubets：负责Eride Corp网络犯罪集团的负责人，该集团负责Dridex的运营。

Dridex出现之前，ZeuS最为流行

Zeus是木马恶意软件，它的功能包括将受感染的计算机变成一个僵尸网络节点，窃取银行凭证，下载并执行单独的恶意模块。根据联邦调查局的调查，网络犯罪组织的成员试图利用ZeuS在全球窃取约2.2亿美元。

以下时间线显示了ZeuS发展的关键点：

当ZeuS源代码在2011年泄漏时，此恶意软件的各个分支开始出现。它是非常流行的恶意软件，并发展出了许多不同的恶意软件分支。在撰写本文时，ZeuS与29个不同的恶意软件家族相关联，共有大约490个版本。

2014年5月，美国联邦调查局(FBI)发布了一份公告，其中描述了博加乔夫(Evgeniy Bogachev)的情况，并承诺悬赏300万美元，以获取有助于逮捕和/或定罪的信息。

Dridex时代

ZeuS家族消失后，Dridex就发展起来了。该恶意软件是Bugat演变（于2010年出现）的结果，Bugat v5在2014年被命名为Dridex。据称，Andrey Ghinkul（来自摩尔多瓦）是2015年Dridex僵尸网络背后的管理员之一。Igor Turashev也是Dridex僵尸网络背后的管理员之一。

Denis Gusev是EvilCorp背后的主要投资者之一，更多与Dridex有关的名字可以在美国财政部制裁声明中找到。

下面的时间线显示了Dridex演进的一些里程碑：

Dridex继而从2017年开始使用Bitpaymer产生了许多勒索软件，该分支继续使用2019年开发的DoppelPaymer和2020年开发的WastedLocker。

在2019年，Dridex至少拥有14个活动的僵尸网络，其中一些以前已经被发现，而另一些则是新开发的。僵尸网络通过其ID号来区分。这些是目前最活跃的：10111, 10222, 10444, 40200, 40300。在2019年底，联邦调查局发布了一份公告，其中描述了Dridex的作者，并承诺提供500万美元的奖励（此前为E.Bogachev提供300万美元）。

也有证据表明，马克西姆过着奢华的生活方式，这无疑是由于他的恶意活动所致。

到目前为止，Maksim Yakubets尚未被执法部门逮捕。正如前面提到的，在2020年，Dridex是世界上最流行的恶意软件家族。

感染链

在开始对Dridex样本本身进行分析之前，我们想了解恶意软件背后的基础结构。如何传播？目标是什么？支持文件的初始检测率是多少？

Dridex的传播

当运营商想要传播Dridex时，他们会使用来自不同网络犯罪集团的已建立的垃圾邮件程序，将恶意文件附加到精心制作的电子邮件中。在Dridex生命周期的不同时期，Necurs、Cutwail和Andromeda僵尸网络都参与了Dridex的传播。

当用户下载并打开此类文档（可能是Word或Excel）时，将启动嵌入式宏，以下载并执行Dridex有效载荷。

目标

Dridex的目标是来自世界各地的不同知名机构：

美国银行帐户；

美国信用卡公司；

美国金融投资公司；

欧洲银行帐户；

沙特阿拉伯、卡塔尔、阿曼的政府机构；

诱饵

为了提高Dridex的传播成功率，恶意攻击者将其垃圾邮件伪装成合法的电子邮件。我们可以举出UPS、FedEx和DHL等公司的例子，这些公司的标识和邮寄风格都被用作这类电子邮件的诱饵。

当受害者点击链接时，带有恶意文档的存档或恶意文档本身都会被打开。

最初的检出率

当首次在野外看到Dridex传输文件时，它的检出率非常低。在下面的截图中，我们看到了Dridex的Excel文档的初始检测率：

Dridex传播文件的初始检测率

加载程序和有效载荷

Dridex示例包括加载程序和有效载荷，我们将在下面讨论每个部分的重点。

反调试技术

Dridex加载程序利用OutputDebugStringW函数使恶意软件分析更加困难，不同的加载程序会产生不同的输出（其中“Installing…”字符串非常流行），但该思想在各处都是相同的：创建一个包含大量无意义调试消息的长循环。在下面的图中，我们看到了这样一个循环的示例，该循环的迭代次数约为2亿：

带有0xBEBBE7C(大约2亿次)迭代的循环调用OutputDebugStringW

日志中的输出如下所示：

Dridex调试消息淹没了分析日志

混淆

有效载荷被严重混淆，几乎没有函数被直接调用。调用解析是在标识库及其包含的函数的哈希值的帮助下执行的。下面的截图显示了这样的分辨率示例：

Dridex有效载荷中的调用解析示例

所有对关键Dridex任务重要的函数都是这样调用的。

对Internet函数的解析调用示例

我们使用Labeless工具来解决混淆的函数调用，恶意软件中的字符串使用RC4算法和样本中存储的解密密钥进行混淆。

配置

有效载荷内部的主要关注点是其配置，它包含以下重要细节：

木马ID；

C＆C服务器的数量；

C＆C服务器本身的列表；

配置示例：

有效载荷内部Dridex配置的示例

本示例中的木马ID为12333，命令和控制服务器包括：

92.222.216.44:443

69.55.238.203:3389

66.228.47.181:443

198.199.106.229:5900

104.247.221.104:443

178.254.38.200:884

152.46.8.148:884

网络活动

Dridex从配置向服务器发送POST请求以获取更多命令，等待200 OK响应。请注意，这些服务器不是真实的C&C服务器，而是连接到真实服务器的代理。

Dridex僵尸网络基础设施

恶意软件发送到C&C服务器的信息包含以下数据：

计算机名；

僵尸网络身份证号码；

请求类型；

操作系统的架构；

已安装软件列表；

这些数据用RC4算法加密，密钥存储在恶意软件的加密字符串中。

至少有6种不同类型的请求；其中有以下几种：

" list "：获取配置；

" bot "：接收bot模块；

使用IOC尽早发现

感染越早被发现，缓解的机会就越大。为了在花费最少资源的情况下尽快捕获感染，我们希望专注于初始传播阶段。

但是，检测只是一个方面。我们可能会自信地说某些东西是恶意的，但我们也想对威胁进行分类。为此，我们必须确保该特定恶意软件确实是Dridex。

让我们再次看看Dridex感染链，并确定我们可以用于检测和识别的不同阶段：

Dridex检测的不同阶段

在Dridex感染的不同阶段，我们可以使用以下指标进行检测。

第一阶段，恶意文件：

文件哈希；

文件内的图片；

文件的内部结构；

内部使用的宏；

第二阶段，服务器：

域；

网址；

第三阶段，加载程序和有效载荷：

样本哈希；

配置文件中的IP地址；

为什么这么多因素很重要？

我们已经看到Dridex的基础设施和指标以及其他流行的恶意软件家族（例如Emotet和Ursnif）之间的关联。当用于传送上述所有恶意软件时，恶意文档具有共同的指标。一些C2服务器，确切地说，是代理服务器——被Dridex和Emotet使用，尽管端口和连接类型是不同的。

因此，在得出结论之前，我们必须分析很多细节。与我们所拥有的特定僵尸网络相关的独特因素越多，就越容易说出另一种攻击是否具有相同的模式。

当然，对恶意软件进行分类的理想方法当然是获取并分析最终的有效载荷：如果是Dridex，则在恶意软件之前启动的所有内容也都归为Dridex。但是，在知道结果之前可能需要一些时间(有时在获得最初的恶意文档之后需要相当长的时间)。通过分析感染链早期阶段的所有指标，我们可以更快、更有信心地进行分类。

另一个有趣的注意事项是利用相同的网络下载Dridex示例，我们分析了用于此目的的域，解析了它们的IP，发现其中很多都位于同一网络84.38.180.0/22中，总共可用地址少于1024个。该网络属于俄罗斯ASN Selectel公司，该公司很少删除恶意内容或垃圾邮件。

我们在84.38.180.0/22网络(以及同一ASN内的其他网络)中看到了以下链接到Dridex域的IP地址，日期显示Dridex域首次指向相应的IP：

尽管仅凭此因素不足以识别Dridex，但这是处理Dridex IOC时要参考的一个很好的辅助细节。

检测

下面的图表显示了不同日期的Dridex峰值

6月29日Dridex感染峰值

7月6日至7月8日Dridex感染峰值

能够尽早拦截Dridex攻击至关重要，在许多情况下，如果7月6日至7月8日之间连续几天都没有发送垃圾邮件，则僵尸网络的活动在第二天就会变慢，并且我们获得的IOC匹配次数不会像高峰期那样多

Dridex的发展

自7月22日以来，我们还没有发现任何新的Dridex垃圾邮件样本。 Dridex在9月7日重新出现，显示其活动峰值连续2天大幅增加：

Dridex运营商更新了Dridex执行的第一阶段：他们添加了更多可从其下载有效载荷的URL，而不是最早版本的恶意文档中的单个URL。现在，在单一文件中，他们的数量可能高达50个。

我们一直在监控这个僵尸网络，并在不同的执行阶段检测它的有效载荷。

本文翻译自：https://research.checkpoint.com/2021/stopping-serial-killer-catching-the-next-strike/如若转载，请注明原文地址：