小说阅读网站,完美世界txt全集下载

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案

如何推測(cè)惡意軟件的下一次攻擊

當(dāng)我們分析一個(gè)流行的惡意軟件家族時(shí)，會(huì)首先查看其使用的惡意基礎(chǔ)設(shè)施，從而收集線索，查找幕后的開(kāi)發(fā)者。

本文就以Dridex為例，來(lái)說(shuō)說(shuō)如何利用惡意基礎(chǔ)設(shè)施來(lái)推測(cè)下一次可能的攻擊。

Dridex

Dridex銀行木馬于2014年首次出現(xiàn)，至今仍是最流行的惡意軟件家族之一。 2020年3月，Dridex成為最受歡迎的惡意軟件之首。

Dridex是由一個(gè)名為“Evil Corp”的網(wǎng)絡(luò)犯罪組織創(chuàng)建的，該組織估計(jì)對(duì)全球銀行系統(tǒng)造成了1億美元的損失。在本文中，我們提供了迄今為止有關(guān)Dridex的關(guān)鍵細(xì)節(jié)的介紹。探索了Dridex開(kāi)發(fā)的歷史，并展示其關(guān)鍵技術(shù)特征和傳播方法。

Dridex中的關(guān)鍵模塊名稱：

Evgeniy Bogachev：臭名昭著的ZeuS惡意軟件的創(chuàng)建者。
Maksim Yakubets：負(fù)責(zé)Eride Corp網(wǎng)絡(luò)犯罪集團(tuán)的負(fù)責(zé)人，該集團(tuán)負(fù)責(zé)Dridex的運(yùn)營(yíng)。

Dridex出現(xiàn)之前，ZeuS最為流行

Zeus是木馬惡意軟件，它的功能包括將受感染的計(jì)算機(jī)變成一個(gè)僵尸網(wǎng)絡(luò)節(jié)點(diǎn)，竊取銀行憑證，下載并執(zhí)行單獨(dú)的惡意模塊。根據(jù)聯(lián)邦調(diào)查局的調(diào)查，網(wǎng)絡(luò)犯罪組織的成員試圖利用ZeuS在全球竊取約2.2億美元。

以下時(shí)間線顯示了ZeuS發(fā)展的關(guān)鍵點(diǎn)：

當(dāng)ZeuS源代碼在2011年泄漏時(shí)，此惡意軟件的各個(gè)分支開(kāi)始出現(xiàn)。它是非常流行的惡意軟件，并發(fā)展出了許多不同的惡意軟件分支。在撰寫(xiě)本文時(shí)，ZeuS與29個(gè)不同的惡意軟件家族相關(guān)聯(lián)，共有大約490個(gè)版本。

2014年5月，美國(guó)聯(lián)邦調(diào)查局(FBI)發(fā)布了一份公告，其中描述了博加喬夫(Evgeniy Bogachev)的情況，并承諾懸賞300萬(wàn)美元，以獲取有助于逮捕和/或定罪的信息。

Dridex時(shí)代

ZeuS家族消失后，Dridex就發(fā)展起來(lái)了。該惡意軟件是Bugat演變(于2010年出現(xiàn))的結(jié)果，Bugat v5在2014年被命名為Dridex。據(jù)稱，Andrey Ghinkul(來(lái)自摩爾多瓦)是2015年Dridex僵尸網(wǎng)絡(luò)背后的管理員之一。Igor Turashev也是Dridex僵尸網(wǎng)絡(luò)背后的管理員之一。

Denis Gusev是EvilCorp背后的主要投資者之一，更多與Dridex有關(guān)的名字可以在美國(guó)財(cái)政部制裁聲明中找到。

下面的時(shí)間線顯示了Dridex演進(jìn)的一些里程碑：

Dridex繼而從2017年開(kāi)始使用Bitpaymer產(chǎn)生了許多勒索軟件，該分支繼續(xù)使用2019年開(kāi)發(fā)的DoppelPaymer和2020年開(kāi)發(fā)的WastedLocker。

在2019年，Dridex至少擁有14個(gè)活動(dòng)的僵尸網(wǎng)絡(luò)，其中一些以前已經(jīng)被發(fā)現(xiàn)，而另一些則是新開(kāi)發(fā)的。僵尸網(wǎng)絡(luò)通過(guò)其ID號(hào)來(lái)區(qū)分。這些是目前最活躍的：10111, 10222, 10444, 40200, 40300。在2019年底，聯(lián)邦調(diào)查局發(fā)布了一份公告，其中描述了Dridex的作者，并承諾提供500萬(wàn)美元的獎(jiǎng)勵(lì)(此前為E.Bogachev提供300萬(wàn)美元)。

也有證據(jù)表明，馬克西姆過(guò)著奢華的生活方式，這無(wú)疑是由于他的惡意活動(dòng)所致。

到目前為止，Maksim Yakubets尚未被執(zhí)法部門(mén)逮捕。正如前面提到的，在2020年，Dridex是世界上最流行的惡意軟件家族。

感染鏈

在開(kāi)始對(duì)Dridex樣本本身進(jìn)行分析之前，我們想了解惡意軟件背后的基礎(chǔ)結(jié)構(gòu)。如何傳播?目標(biāo)是什么?支持文件的初始檢測(cè)率是多少?

Dridex的傳播

當(dāng)運(yùn)營(yíng)商想要傳播Dridex時(shí)，他們會(huì)使用來(lái)自不同網(wǎng)絡(luò)犯罪集團(tuán)的已建立的垃圾郵件程序，將惡意文件附加到精心制作的電子郵件中。在Dridex生命周期的不同時(shí)期，Necurs、Cutwail和Andromeda僵尸網(wǎng)絡(luò)都參與了Dridex的傳播。

當(dāng)用戶下載并打開(kāi)此類文檔(可能是Word或Excel)時(shí)，將啟動(dòng)嵌入式宏，以下載并執(zhí)行Dridex有效載荷。

目標(biāo)

Dridex的目標(biāo)是來(lái)自世界各地的不同知名機(jī)構(gòu)：

美國(guó)銀行帳戶;
美國(guó)信用卡公司;
美國(guó)金融投資公司;
歐洲銀行帳戶;
沙特阿拉伯、卡塔爾、阿曼的政府機(jī)構(gòu);

誘餌

為了提高Dridex的傳播成功率，惡意攻擊者將其垃圾郵件偽裝成合法的電子郵件。我們可以舉出UPS、FedEx和DHL等公司的例子，這些公司的標(biāo)識(shí)和郵寄風(fēng)格都被用作這類電子郵件的誘餌。

當(dāng)受害者點(diǎn)擊鏈接時(shí)，帶有惡意文檔的存檔或惡意文檔本身都會(huì)被打開(kāi)。

最初的檢出率

當(dāng)首次在野外看到Dridex傳輸文件時(shí)，它的檢出率非常低。在下面的截圖中，我們看到了Dridex的Excel文檔的初始檢測(cè)率：

Dridex傳播文件的初始檢測(cè)率

加載程序和有效載荷

Dridex示例包括加載程序和有效載荷，我們將在下面討論每個(gè)部分的重點(diǎn)。

反調(diào)試技術(shù)

Dridex加載程序利用OutputDebugStringW函數(shù)使惡意軟件分析更加困難，不同的加載程序會(huì)產(chǎn)生不同的輸出(其中“Installing…”字符串非常流行)，但該思想在各處都是相同的：創(chuàng)建一個(gè)包含大量無(wú)意義調(diào)試消息的長(zhǎng)循環(huán)。在下面的圖中，我們看到了這樣一個(gè)循環(huán)的示例，該循環(huán)的迭代次數(shù)約為2億：

帶有0xBEBBE7C(大約2億次)迭代的循環(huán)調(diào)用OutputDebugStringW

日志中的輸出如下所示：

Dridex調(diào)試消息淹沒(méi)了分析日志

混淆

有效載荷被嚴(yán)重混淆，幾乎沒(méi)有函數(shù)被直接調(diào)用。調(diào)用解析是在標(biāo)識(shí)庫(kù)及其包含的函數(shù)的哈希值的幫助下執(zhí)行的。下面的截圖顯示了這樣的分辨率示例：

Dridex有效載荷中的調(diào)用解析示例

所有對(duì)關(guān)鍵Dridex任務(wù)重要的函數(shù)都是這樣調(diào)用的。

對(duì)Internet函數(shù)的解析調(diào)用示例

我們使用Labeless工具來(lái)解決混淆的函數(shù)調(diào)用，惡意軟件中的字符串使用RC4算法和樣本中存儲(chǔ)的解密密鑰進(jìn)行混淆。

配置

有效載荷內(nèi)部的主要關(guān)注點(diǎn)是其配置，它包含以下重要細(xì)節(jié)：

木馬ID;
C&C服務(wù)器的數(shù)量;
C&C服務(wù)器本身的列表;

配置示例：

有效載荷內(nèi)部Dridex配置的示例

本示例中的木馬ID為12333，命令和控制服務(wù)器包括：

92.222.216.44:443
69.55.238.203:3389
66.228.47.181:443
198.199.106.229:5900
104.247.221.104:443
178.254.38.200:884
152.46.8.148:884

網(wǎng)絡(luò)活動(dòng)

Dridex從配置向服務(wù)器發(fā)送POST請(qǐng)求以獲取更多命令，等待200 OK響應(yīng)。請(qǐng)注意，這些服務(wù)器不是真實(shí)的C&C服務(wù)器，而是連接到真實(shí)服務(wù)器的代理。

Dridex僵尸網(wǎng)絡(luò)基礎(chǔ)設(shè)施

惡意軟件發(fā)送到C&C服務(wù)器的信息包含以下數(shù)據(jù)：

計(jì)算機(jī)名;
僵尸網(wǎng)絡(luò)身份證號(hào)碼;
請(qǐng)求類型;
操作系統(tǒng)的架構(gòu);
已安裝軟件列表;

這些數(shù)據(jù)用RC4算法加密，密鑰存儲(chǔ)在惡意軟件的加密字符串中。

至少有6種不同類型的請(qǐng)求;其中有以下幾種：

" list "：獲取配置;
" bot "：接收bot模塊;

使用IOC盡早發(fā)現(xiàn)

感染越早被發(fā)現(xiàn)，緩解的機(jī)會(huì)就越大。為了在花費(fèi)最少資源的情況下盡快捕獲感染，我們希望專注于初始傳播階段。

但是，檢測(cè)只是一個(gè)方面。我們可能會(huì)自信地說(shuō)某些東西是惡意的，但我們也想對(duì)威脅進(jìn)行分類。為此，我們必須確保該特定惡意軟件確實(shí)是Dridex。

讓我們?cè)俅慰纯碊ridex感染鏈，并確定我們可以用于檢測(cè)和識(shí)別的不同階段：

Dridex檢測(cè)的不同階段

在Dridex感染的不同階段，我們可以使用以下指標(biāo)進(jìn)行檢測(cè)。

第一階段，惡意文件：

文件哈希;

文件內(nèi)的圖片;
文件的內(nèi)部結(jié)構(gòu);
內(nèi)部使用的宏;

第二階段，服務(wù)器：

域;
網(wǎng)址;

第三階段，加載程序和有效載荷：

樣本哈希;
配置文件中的IP地址;

為什么這么多因素很重要?

我們已經(jīng)看到Dridex的基礎(chǔ)設(shè)施和指標(biāo)以及其他流行的惡意軟件家族(例如Emotet和Ursnif)之間的關(guān)聯(lián)。當(dāng)用于傳送上述所有惡意軟件時(shí)，惡意文檔具有共同的指標(biāo)。一些C2服務(wù)器，確切地說(shuō)，是代理服務(wù)器——被Dridex和Emotet使用，盡管端口和連接類型是不同的。

因此，在得出結(jié)論之前，我們必須分析很多細(xì)節(jié)。與我們所擁有的特定僵尸網(wǎng)絡(luò)相關(guān)的獨(dú)特因素越多，就越容易說(shuō)出另一種攻擊是否具有相同的模式。

當(dāng)然，對(duì)惡意軟件進(jìn)行分類的理想方法當(dāng)然是獲取并分析最終的有效載荷：如果是Dridex，則在惡意軟件之前啟動(dòng)的所有內(nèi)容也都?xì)w為Dridex。但是，在知道結(jié)果之前可能需要一些時(shí)間(有時(shí)在獲得最初的惡意文檔之后需要相當(dāng)長(zhǎng)的時(shí)間)。通過(guò)分析感染鏈早期階段的所有指標(biāo)，我們可以更快、更有信心地進(jìn)行分類。

另一個(gè)有趣的注意事項(xiàng)是利用相同的網(wǎng)絡(luò)下載Dridex示例，我們分析了用于此目的的域，解析了它們的IP，發(fā)現(xiàn)其中很多都位于同一網(wǎng)絡(luò)84.38.180.0/22中，總共可用地址少于1024個(gè)。該網(wǎng)絡(luò)屬于俄羅斯ASN Selectel公司，該公司很少刪除惡意內(nèi)容或垃圾郵件。

我們?cè)?4.38.180.0/22網(wǎng)絡(luò)(以及同一ASN內(nèi)的其他網(wǎng)絡(luò))中看到了以下鏈接到Dridex域的IP地址，日期顯示Dridex域首次指向相應(yīng)的IP：

盡管僅憑此因素不足以識(shí)別Dridex，但這是處理Dridex IOC時(shí)要參考的一個(gè)很好的輔助細(xì)節(jié)。

檢測(cè)

下面的圖表顯示了不同日期的Dridex峰值

6月29日Dridex感染峰值

7月6日至7月8日Dridex感染峰值

能夠盡早攔截Dridex攻擊至關(guān)重要，在許多情況下，如果7月6日至7月8日之間連續(xù)幾天都沒(méi)有發(fā)送垃圾郵件，則僵尸網(wǎng)絡(luò)的活動(dòng)在第二天就會(huì)變慢，并且我們獲得的IOC匹配次數(shù)不會(huì)像高峰期那樣多

Dridex的發(fā)展

自7月22日以來(lái)，我們還沒(méi)有發(fā)現(xiàn)任何新的Dridex垃圾郵件樣本。 Dridex在9月7日重新出現(xiàn)，顯示其活動(dòng)峰值連續(xù)2天大幅增加：

Dridex運(yùn)營(yíng)商更新了Dridex執(zhí)行的第一階段：他們添加了更多可從其下載有效載荷的URL，而不是最早版本的惡意文檔中的單個(gè)URL?，F(xiàn)在，在單一文件中，他們的數(shù)量可能高達(dá)50個(gè)。

我們一直在監(jiān)控這個(gè)僵尸網(wǎng)絡(luò)，并在不同的執(zhí)行階段檢測(cè)它的有效載荷。

本文翻譯自：https://research.checkpoint.com/2021/stopping-serial-killer-catching-the-next-strike/

分享文章：如何推測(cè)惡意軟件的下一次攻擊
文章出自：http://m.fisionsoft.com.cn/article/cdoggph.html