過去数年間で主要な金融サイバー脅威となっているDridex bankingトロイの木馬(2015年には、トロイの木馬による被害は40万ドル以上と推定されています)は、2011年に初登場して以来、継続的に進化し、より洗練されているため、他のマルウェアとは一線を画しています。 Dridexは、主なコマンドと制御(C&C)サーバーをプロキシ層の背後に隠すことによって、長い間正義を逃れることができました。 古いバージョンは、新しいものが表示されたときに動作を停止し、それぞれの新しい改善は、マルウェアの体系的な開発に一歩前進であることを考えると、 以下では、6年間にわたるこのトロイの木馬の進化の概要と、最新バージョンに関する技術的な詳細を紹介します。p>
どのようにそれがすべて始まった
Dridexは、2011年頃に独立した悪意のあるプログラム(”Cridex”という名前で)として初めて登場しました。 Cridexサンプル(MD5:78cc821b5acfc017c855bc7060479f84)の分析は、初期の頃でさえ、マルウェアが動的設定ファイルを受信し、webインジェクションを使用してお金を盗 この能力は、Cridexの”ゼロ”バージョンが検出された名前に影響を与えました—Worm。———–クリデックス
そのバージョンにはバイナリ設定ファイルがありました:
databefore、datainject、およびdataafterという名前のセクションでは、webインジェクション自体が広く普及しているZeusマルウェアに似ています(これと2011Zeusのソースコードリークとの間に関連があった可能性があります)。2012年には、大幅に変更されたCridexバリアント(MD5:45ceacdc333a6a49ef23ad87196f375f)がリリースされました。 サイバー犯罪者は、USBメディアへの感染に関連する機能を落とし、設定ファイルとパケットのバイナリ形式をXMLに置き換えました。 マルウェアによってC&Cサーバーに送信された要求は、次のように見えました:/div>1
<unique>WIN-1DUOM1MNS4F_A47E8EE5C9037AFE</unique>
The <message> tag was the XML root element. The <header> tag contained information about the system, bot identifier, and the version of the bot.
設定ファイルのサンプルは次のとおりです。
:
|
1
2
3
4
|
<packet><commands><cmd type=”3″><httpinject><conditions><url type=”deny”>\.(css|js)($|\?)</url><url type=”allow” contentType=”^text/(html|plain)”><></url></conditions><actions><modify><pattern><></pattern><replacement><></url>
<url type=”deny” onpost=”0″ onget=”1″ modifiers=””>\.(gif|png|jpg|css|swf)($|\?)</url>
</conditions>
<actions>
<modify><pattern modifiers=”msU”><></pattern><replacement><></replacement></modify>
<modify><pattern modifiers=”msU”><></pattern><replacement><!;
};
|
セクションは、<>:
- 01h–HttpShots
- 02h–HttpShots
- 02h–HttpShots
- 02h-HttpShots
- 02h-HttpShots
- 02h-HttpShots
- 02h-Ttpshots
- 02h-Ttpshots
- 02h-Ttpshots
- 02h-Ttpshots
- 02h-formgrabber
- 08h-リダイレクト
- など。変更されたのは、設定ファイル内の文字列の暗号化だけです–RC4が使用されるようになりました。/div>1
23456
encryptedconfigstring{ byte rc4key1;//サイズの暗号化キーdword encryptedsize;byte rc4key2;//データの暗号化キーbyte encrypteddata;};RC4は、p2pパケットのデータの暗号化にも使用されました。
地理的分布
Dridexの開発者は、ヨーロッパで潜在的な犠牲者を探します。 2017年1月1日から4月上旬の間に、いくつかの欧州諸国でDridexの活動が検出されました。 英国はすべての検出の半分以上(ほぼ60%)を占め、ドイツとフランスが続きました。 同時に、マルウェアはロシアでは動作しません。c&CsはIPアドレスを介して国を検出し、国がロシアの場合は応答しません。
結論
Dridexファミリーが存在していた数年の間に、ボットネットの活動をブロックする試みは数多く失敗しました。 マルウェアの継続的な進化は、サイバー犯罪者が安定した収入源を提供している彼らの発案に別れを告げるしようとしていないことを示しています。 たとえば、Dridexの開発者は、ユーザーアカウント制御(UAC)システムを回避するための新しい手法を引き続き実装しています。 これらの手法により、マルウェアはWindowsシステム上で悪意のあるコンポーネントを実行できます。
同じ人、おそらくロシア語を話す人がDridexとZeus Gameoverトロイの木馬の背後にいると推測することができますが、これは事実ではありません。 サイバー犯罪者によって行われた被害も正確に評価することは不可能です。 非常に大まかな見積もりに基づいて、それは今では数億ドルに達しています。 さらに、マルウェアが進化している方法を考えると、”収益”のかなりの部分が銀行トロイの木馬の開発に再投資されていると仮定することができます。
分析は、以下のサンプルに基づいて行われました:
Dridex4ローダー:d0aa5b4dd8163eccf7c1cd84f5723d48
Dridex4ボット:ed8cdd9c6dd5a221f473ecf3a8f39933
Leave a Reply