Der Dridex-Banking-Trojaner, der sich in den letzten Jahren zu einer großen finanziellen Cyberbedrohung entwickelt hat (2015 wurde der durch den Trojaner verursachte Schaden auf über 40 Millionen US-Dollar geschätzt), unterscheidet sich von anderen Malware, da er sich seit seinem ersten Auftritt im Jahr 2011 kontinuierlich weiterentwickelt und ausgefeilter geworden ist. Dridex konnte sich so lange der Gerechtigkeit entziehen, indem es seine wichtigsten Befehls- und Steuerungsserver (C&C) hinter Proxy-Layern versteckte. Angesichts der Tatsache, dass alte Versionen nicht mehr funktionieren, wenn neue erscheinen, und dass jede neue Verbesserung ein weiterer Schritt in der systematischen Entwicklung der Malware ist, kann gefolgert werden, dass die gleichen Personen die ganze Zeit an der Entwicklung des Trojaners beteiligt waren. Im Folgenden geben wir einen kurzen Überblick über die Entwicklung des Trojaners über sechs Jahre, sowie einige technische Details zu den neuesten Versionen.
Wie alles begann
Dridex erschien erstmals im September 2011 als eigenständiges Schadprogramm (unter dem Namen “Cridex”). Eine Analyse eines Cridex-Beispiels (MD5: 78cc821b5acfc017c855bc7060479f84) zeigte, dass die Malware bereits in ihren Anfängen dynamische Konfigurationsdateien empfangen, Webinjektionen zum Stehlen von Geld verwenden und USB-Medien infizieren konnte. Diese Fähigkeit beeinflusste den Namen, unter dem die “Null” —Version von Cridex erkannt wurde – Wurm.Win32.Cridex.
Diese Version hatte eine binäre Konfigurationsdatei:
Abschnitte mit den Namen databefore, datainject und dataafter ließen die Web-Injektionen selbst der weit verbreiteten Zeus-Malware ähneln (möglicherweise gab es eine Verbindung zwischen dieser und dem Zeus-Quellcode-Leck von 2011).
Cridex 0.77–0.80
Im Jahr 2012 wurde eine deutlich modifizierte Cridex-Variante (MD5: 45ceacdc333a6a49ef23ad87196f375f) veröffentlicht. Die Cyberkriminellen hatten die Funktionalität im Zusammenhang mit der Infektion von USB-Medien eingestellt und das Binärformat der Konfigurationsdatei und der Pakete durch XML ersetzt. Anfragen, die von der Malware an den C&C-Server gesendet wurden, sahen wie folgt aus:
|
1
2
3
4
5
6
7
8
9
|
<Nachricht set_hash=”” req_set=”1″ req_upd=”1″>
<der Header>
<unique>WIN-1DUOM1MNS4F_A47E8EE5C9037AFE</unique>
<version></version>
<system></system>
<network></network>
</header>
<data></data>
</message>
|
The <message> tag was the XML root element. The <header> tag contained information about the system, bot identifier, and the version of the bot.
Hier ist eine Beispielkonfigurationsdatei:
|
1
2
3
4
|
<packet><commands><cmd type=”3″><httpinject><conditions><url type=”deny”>\.(css|js)($|\?)</url><url type=”allow” contentType=”^text/(html|plain)”><></url></conditions><actions><modify><pattern><></pattern><replacement><></url>
<url type=”deny” onpost=”0″ onget=”1″ modifiers=””>\.(gif|png|jpg|css|swf)($|\?)</url>
</conditions>
<actions>
<modify><pattern modifiers=”msU”><></pattern><replacement><></replacement></modify>
<modify><pattern modifiers=”msU”><></pattern><replacement><!;
};
|
Die Abschnitte sind vom gleichen Typ wie in <Einstellungen>:
- 01h – HttpShots
- 02h – Formgrabber
- 08h – Weiterleitungen
- usw.
Das einzige, was sich geändert hat, ist die Verschlüsselung von Strings in der Konfigurationsdatei – RC4 wird jetzt verwendet.
|
1
2
3
4
5
6
|
struct EncryptedConfigString{
BYTE RC4Key1; // Verschlüsselungsschlüssel der Größe
DWORD EncryptedSize;
BYTE RC4Key2; // Verschlüsselungsschlüssel der Daten
BYTE EncryptedData;
};
|
RC4 wurde auch zum Verschlüsseln von Daten in P2P-Paketen verwendet.
Geographische Verteilung
Die Entwickler von Dridex suchen nach potenziellen Opfern in Europa. Zwischen dem 1. Januar und Anfang April 2017 haben wir in mehreren europäischen Ländern Dridex-Aktivitäten festgestellt. Auf das Vereinigte Königreich entfielen mehr als die Hälfte (fast 60%) aller Erkennungen, gefolgt von Deutschland und Frankreich. Gleichzeitig funktioniert die Malware in Russland nie, da die C&Cs das Land über die IP-Adresse erkennen und nicht antworten, wenn das Land Russland ist.
Fazit
In den Jahren, in denen die Dridex-Familie existiert, gab es zahlreiche erfolglose Versuche, die Aktivitäten des Botnetzes zu blockieren. Die fortlaufende Entwicklung der Malware zeigt, dass die Cyberkriminellen nicht im Begriff sind, sich von ihrer Idee zu verabschieden, die ihnen eine stetige Einnahmequelle bietet. Beispielsweise implementieren Dridex-Entwickler weiterhin neue Techniken zur Umgehung des UAC-Systems (User Account Control). Diese Techniken ermöglichen es der Malware, ihre schädlichen Komponenten auf Windows-Systemen auszuführen.
Es kann vermutet werden, dass dieselben Personen, möglicherweise russischsprachige, hinter den Trojanern Dridex und Zeus Gameover stecken, aber wir wissen das nicht genau. Auch der Schaden, den die Cyberkriminellen angerichtet haben, lässt sich nicht genau abschätzen. Basierend auf einer sehr groben Schätzung hat es inzwischen Hunderte von Millionen Dollar erreicht. Darüber hinaus kann angesichts der Entwicklung der Malware davon ausgegangen werden, dass ein erheblicher Teil der “Einnahmen” in die Entwicklung des Banking-Trojaners reinvestiert wird.
Die Analyse wurde anhand folgender Proben durchgeführt:
Dridex4 loader: d0aa5b4dd8163eccf7c1cd84f5723d48
Dridex4 bot: ed8cdd9c6dd5a221f473ecf3a8f39933
Leave a Reply