Forcepoint™ (原為 Raytheon | Websense):惡名昭彰的Dridex持續蔓延南半球

2015-12-29 Forcepoint™(原為 Raytheon | Websense)安全實驗室自2014年以來,一直持續追蹤與網路銀行木馬Dridex相關的惡意電子郵件活動。值得關注的發展是,Dridex botnet 220相關的惡意電子郵件已開始侵入澳洲地區的使用者。根據近幾個月的變化觀察顯示,Dridex botnet 220活動造成的潛在受害者比重主要落在英國地區。但從殭屍網路設定分析上來看,接下來主要的惡意電子郵件誘騙目標將會放在澳洲。當受害目標存取某些澳洲的銀行網站時,將會下載惡意設定檔並執行「Clickshots」指令。 Forcepoint™(原為 Raytheon | Websense)透過ACE即時分析保護客戶免於此類型的威脅攻擊,Websense進階分類引擎(Advanced Classification Engine)能在以下不同的攻擊分析階段發揮有效保護:
  • 第2階段「引誘」 - ACE能夠防止惡意郵件發送到指定目標。
  • 第5階段「植入」 - ACE能夠針對惡意檔案和惡意doc檔提供安全防護。
  • 第6階段「回傳主機」 - ACE即時防護能防止此一威脅類型的惡意軟體產生的惡意行為流量。
郵件引誘手法 電子郵件引誘的基礎,就是使用能夠取信收件者的郵件信箱位址。另外,他們也會採用物流公司的電子郵件信箱做為寄件者(該公司後來已在其官網上發出警告聲明)。
寄件者:konica@
主旨:Message from KMBT_C252
附件:SKMBT_C25213120613510.doc
寄件者:@posei.com.au
主旨:November 2015 Tax Invoice
附件:November_2015_Tax_Invoice_3903_001.doc OR 3903_001.doc
惡意附件(Doc檔案) Dridex botnet 220典型電子郵件廣告的附件,通常是包含巨集的MS-Word文件,並且會嘗試下載以下其中之一載點的執行檔:
hxxp://www.arredoshop[.]com/76f7564d/267879u98c.exe
hxxp://www.indigocamp[.]com/76f7564d/267879u98c.exe
hxxp://aabisolution[.]com/76f7564d/267879u98c.exe
hxxp://nuncfashion[.]com/76f7564d/267879u98c.exe
該執行檔是Dridex loader,會載入Dridex DLL到Windows Explorer的程序當中。 TRITON 檔案沙箱能協助偵測惡意附件: 目標範圍 根據Forcepoint™(原為 Raytheon | Websense) TRITON® APX的活動分析報告中,我們可以看到Forcepoint™(原為 Raytheon | Websense)攔截到超過65萬筆的惡意電子郵件訊息。按照頂級網域名稱(TLD)分類的圓餅圖顯示,現行在澳洲地區的惡意活動占比明顯偏高。因為惡意郵件派送目標有99.91%都是指定國碼網域來自.au ( 澳洲 ) 的收件者。 殭屍網路設定檔 在受害者的電腦被感染數分鐘之後,Dridex木馬將會從C&C節點下載完整的設定檔。此設定檔主要是用來竊取使用者登錄憑證的木馬。惡意程式採用的「Clickshot」技術可以透過螢幕擷圖或是擷取欄位內的資料以竊取資訊。Dridex的資料竊取行為是利用HTML植入惡意程式碼到某些網頁。一旦使用者輸入登錄憑證到被變動過的網頁時,該資料就會被送給網路罪犯。 「Clickshot」惡意技術包含了側錄滑鼠點擊和垂直水平移動範圍,以計算出游標的移動位置。此用意主要是為了破解虛擬鍵盤的安全保護。透過一系列的擷圖和移動測量,網路罪犯就會開始著手登錄憑證的竊取作業。
從以下的「Clickshots」執行記錄,我們可以看到在游標的操作過程中,都含有使用者瀏覽澳洲銀行網站的登錄交易記錄。
摘要總結 從以上資訊我們可以了解到,先前有關Dridex停擺的報導可能太過於樂觀。因為,它是由多個殭屍網路所構成,每一個網路各有其不同的組態設定檔。會有區域性的擴展和移轉也是可以理解的。先前的破獲行動確實讓 Dridex 受到打擊,但仍未完全擊潰。目前可優先發現的是,botnet 220已轉移到新的目標區域。而由歷史記錄上來看,更應留意botnet 120的惡意活動,因其含蓋了更廣泛的特定攻擊區域(例如,法國)。 入侵感染指標(IOCs) Attachments SHA1
f999a2019cff0300ba2c39950245b090c59179e2
e14ab6522a23b4a181186eb344a624229600743f
ff97dcbfc5c566ae9fc81b03f2e86d88527bd3d1
743546a99201535fbe24d31851fa05f73395faab
Payload URI
hxxp://www.arredoshop[.]com/76f7564d/267879u98c.exe
hxxp://www.indigocamp[.]com/76f7564d/267879u98c.exe
hxxp://aabisolution[.]com/76f7564d/267879u98c.exe
hxxp://nuncfashion[.]com/76f7564d/267879u98c.exe
Payload:
SHA1: 2d633c80ef9d1f61e37c3d30e3b613d45f327550
資安知識不可少,小心謹慎保荷包!掌握個人資訊安全,湛揚科技將與您同步關心。原文網址:http://community.websense.com/blogs/securitylabs/archive/2015/11/05/dridex-down-under.aspx 原文標題:Dridex Down Under