Dridex banking Trojan, som har blivit ett stort finansiellt cyberhot under de senaste åren (2015 uppskattades skadan av trojanen till över 40 miljoner dollar), skiljer sig från annan skadlig kod eftersom den kontinuerligt har utvecklats och blivit mer sofistikerad sedan den gjorde sitt första utseende 2011. Dridex har kunnat undkomma rättvisa så länge genom att dölja sina huvudkommando-och-kontroll-servrar (C&C) bakom proxylager. Med tanke på att gamla versioner slutar fungera när nya dyker upp och att varje ny förbättring är ytterligare ett steg framåt i den systematiska utvecklingen av skadlig programvara, kan man dra slutsatsen att samma personer har varit involverade i Trojans utveckling hela tiden. Nedan ger vi en kort översikt över Trojans utveckling under sex år, samt några tekniska detaljer om de senaste versionerna.
hur allt började
Dridex gjorde sitt första framträdande som ett oberoende skadligt program (under namnet “Cridex”) runt September 2011. En analys av ett Cridex-prov (MD5: 78cc821b5acfc017c855bc7060479f84) visade att skadlig programvara även i början kunde ta emot dynamiska konfigurationsfiler, använda webbinjektioner för att stjäla pengar och kunde infektera USB-media. Denna förmåga påverkade namnet under vilket” noll ” – versionen av Cridex upptäcktes-Worm.Win32.Cridex.
den versionen hade en binär konfigurationsfil:
sektioner som heter databefore, datainject och dataafter gjorde att webbinjektionerna själva liknade den utbredda Zeus-malware (Det kan ha funnits en koppling mellan detta och Zeus-källkodsläckan 2011).
Cridex 0.77-0.80
under 2012 släpptes en signifikant modifierad Cridex-variant (MD5: 45ceacdc333a6a49ef23ad87196f375f). Cyberbrottslingarna hade tappat funktionalitet relaterad till att infektera USB-media och ersatt det binära formatet för konfigurationsfilen och paketen med XML. Förfrågningar som skickas av skadlig programvara till C&C-servern såg ut som följer:
|
1
2
3
4
5
6
7
8
9
|
<meddelande set_hash=”” req_set=”1″ req_upd=”1″>
<rubriken>
<
unique>WIN-1DUOM1MNS4F_A47E8EE5C9037AFE</unique> <version></version>
<system></system>
<network></network>
</header>
<data></data>
</message>
|
The <message> tag was the XML root element. The <header> tag contained information about the system, bot identifier, and the version of the bot.
Här är en exempelkonfigurationsfil:
|
1
2
3
4
|
<packet><commands><cmd type=”3″><httpinject><conditions><url type=”deny”>\.(css|js)($|\?)</url><url type=”allow” contentType=”^text/(html|plain)”><></url></conditions><actions><modify><pattern><></pattern><replacement><></url>
<url type=”deny” onpost=”0″ onget=”1″ modifiers=””>\.(gif|png|jpg|css|swf)($|\?)</url>
</conditions>
<actions>
<modify><pattern modifiers=”msU”><></pattern><replacement><></replacement></modify>
<modify><pattern modifiers=”msU”><></pattern><replacement><!;
};
|
avsnitten är av samma typ som i <inställningar>:
- 01h – HttpShots
- 02h – formgrabber
- 08h – omdirigeringar
- etc.
det enda som har ändrats är kryptering av strängar i konfigurationsfilen – RC4 används nu.
|
1
2
3
4
5
6
|
struct encryptedconfigstring{
byte rc4key1; // storlek krypteringsnyckel
DWORD encryptedsize;
byte rc4key2; // data krypteringsnyckel
byte encrypteddata;
};
|
RC4 användes också för att kryptera data i p2p-paket.
geografisk fördelning
utvecklarna av Dridex letar efter potentiella offer i Europa. Mellan 1 januari och början av April 2017 upptäckte vi Dridex-aktivitet i flera europeiska länder. Storbritannien stod för mer än hälften (nästan 60%) av alla upptäckter, följt av Tyskland och Frankrike. Samtidigt fungerar skadlig programvara aldrig i Ryssland, eftersom C&Cs upptäcker landet via IP-adress och svarar inte om landet är Ryssland.
slutsats
under de flera år som Dridex-familjen har funnits har det gjorts många misslyckade försök att blockera botnets aktivitet. Den pågående utvecklingen av skadlig programvara visar att cyberbrottslingarna inte håller på att ta farväl av sitt hjärnbarn, vilket ger dem en stadig inkomstström. Dridex-utvecklare fortsätter till exempel att implementera nya tekniker för att undvika User Account Control (UAC) – systemet. Dessa tekniker gör det möjligt för skadlig programvara att köra sina skadliga komponenter på Windows-system.
det kan antas att samma personer, eventuellt rysktalande, står bakom Dridex och Zeus Gameover trojaner, men vi vet inte detta för ett faktum. Skadorna från cyberbrottslingarna är också omöjliga att bedöma exakt. Baserat på en mycket grov uppskattning har den nått hundratals miljoner dollar nu. Med tanke på hur skadlig programvara utvecklas kan det antas att en betydande del av “intäkterna” återinvesteras i banktrojans utveckling.
analysen utfördes baserat på följande prover:
Dridex4 loader: d0aa5b4dd8163eccf7c1cd84f5723d48
Dridex4 bot: ed8cdd9c6dd5a221f473ecf3a8f39933
Leave a Reply