從2011年被發(fā)現(xiàn)至今�����,Dridex銀行木馬已經(jīng)成為最流行的銀行木馬家族���。光在2015年����,Dridex造成的損失估計就超過了4000萬美元�,與其他銀行木馬家族不同,因為它總是在不斷演變并讓其變得更加復雜����。Dridex是一種針對Windows平臺的復雜銀行惡意軟件,可通過發(fā)起垃圾郵件攻擊活動來感染電腦�����,并竊取銀行憑證及其他個人信息�,以便實施欺詐性轉賬。在過去十年中�����,該惡意軟件進行了系統(tǒng)性更新和開發(fā)���。最新Dridex已更新并通過多個垃圾郵件攻擊活動進行了廣泛傳播�����,被用于下載有針對性的勒索軟件�。
創(chuàng)新互聯(lián)公司是專業(yè)的蓬江網(wǎng)站建設公司,蓬江接單;提供網(wǎng)站制作��、成都網(wǎng)站建設,網(wǎng)頁設計,網(wǎng)站設計,建網(wǎng)站,PHP網(wǎng)站建設等專業(yè)做網(wǎng)站服務;采用PHP框架,可快速的進行蓬江網(wǎng)站開發(fā)網(wǎng)頁制作和功能擴展;專業(yè)做搜索引擎喜愛的網(wǎng)站,專業(yè)的做網(wǎng)站團隊,希望更多企業(yè)前來合作!
今年銀行木馬Dridex首次躋身十大惡意軟件排行榜���,成為第三大常見的惡意軟件�����。EMOTET銀行木馬自2014年以來,一直活躍至今�����,目前已經(jīng)成為最具有影響力的惡意軟件家族之一�。該木馬通常是通過垃圾郵件傳播,已經(jīng)迭代出很多個版本���。在早期通過惡意的JavaScript腳本進行投遞�����,后來轉為通過含有惡意宏代碼的文檔下載進行傳播����。亞信安全曾多次對該木馬進行過披露,截至當前���,該木馬的基礎設施仍然在不斷更新��。
在此文中���,我們將解釋我們的威脅檢測分析師如何使用從全球互聯(lián)網(wǎng)基礎設施捕獲的netflow數(shù)據(jù)來發(fā)現(xiàn)之前未被研究的Dridex運營商使用的分層網(wǎng)絡方法,以及它與Emotet基礎設施的意外重疊�����。
威脅檢測分析師發(fā)現(xiàn)��,Emotet C2服務器正在通過端口TCP / 38400與IP 179.43.147.77重復通信�。這是迄今為止我們所看到的Emotet網(wǎng)絡基礎架構行為中的一個異常。
針對這種異常����,我們的威脅檢測小組進行了調查,以試圖確定179.43.147.77的目的和行為����。
在對全球互聯(lián)網(wǎng)基礎設施中收集的網(wǎng)絡流進行長期監(jiān)視和分析期間����,我們觀察到多個惡意軟件家族通過同一端口TCP / 38400與IP通信��。我們的觀察結果如下圖所示:
在數(shù)量上��,我們觀察到通過TCP/38400與179.43.147.77對話的數(shù)量:
- 10個Emotet時代2個C2;
- 4個Emotet時代3個C2;
- 7個Dridex C2��。
對可用開源情報(OSINT)的分析顯示�����,TA505組織在2019-06-20已使用179.43.147.77來傳播惡意軟件FlawedAmmyy1 2 3���。該IP所屬的托管公司,Private Layer Inc��,是一家離岸托管公司�����,被觀察到在過去被威脅行動者利用��。
179.43.147.77的目的是什么?它仍然由TA505管理嗎?
探索與TA505的連接
鑒于FlawedAmmyy于2019.6.2發(fā)布于179.43.147.77,已對TA505是否仍在管理該服務器進行了調查���。由于Shodan每月至少執(zhí)行一次互聯(lián)網(wǎng)范圍的掃描��,因此根據(jù)歷史掃描數(shù)據(jù)在當前時間范圍2019.6.2-20197.20中設置了當前使用的SSH密鑰:
如果將新的SSH密鑰設置為2019.6.2的情況�����,則表明傳播TA505綁定的FlawedAmmy示例的同一操作員也在操作通過端口38400連接的命令和控制服務器的管理�����。
Dridex已由TA5055傳播和使用�,從而加強了連接���。
與此理論相反的是����,TA505與Emotet組沒有已知的聯(lián)系���,這就引出了一個問題�����,即他們?yōu)槭裁匆芾鞥motet C2服務器�。
此外,除了Dridex之外�,TA505使用的惡意軟件家族都沒有與179.43.147.77進行過通信,從而使連接更加脆弱��。
根據(jù)這些觀察結果�����,我們認為179.43.147.77的運算符在FlawedAmmy發(fā)行后發(fā)生了變化��。
179.43.147.77的用例
179.43.147.77背后用例的核心是知道何時連接服務器變?yōu)榛顒覥2服務器�。如果它們最初在一段時間內連接到179.43.147.77,然后停止通信并變?yōu)榛顒拥腃2節(jié)點����,則可能表明179.43.147.77的運營商移交或出售了對這些服務器的訪問權。
另一方面�,如果在服務器處于活動的C2時服務器與179.43.147.77之間的通信正在進行,則表明179.43.147.77與Emotet和Dridex背后的組織有更緊密的聯(lián)系��。
我們不認為179.43.147.77背后的操作員與Emotet和Dridex背后的組織巧合地入侵了同一服務器�����,因為指向179.43.147.77的接入連接幾乎完全是Emotet和Dridex C2服務器��,也就是說���,受控服務器中的非隨機性��。
Dridex C2活動時間表
時間線顯示����,大多數(shù)IP在與179.43.147.77通信時都充當C2���,這降低了操作員179.43.147.77僅將受管服務器的訪問切換到其他參與者的可能性��。
Emotet Epoch 2活動時間表
對Emotet Epoch 2 C2進行相同的分析顯示出一些不確定的行為:
似乎他們在成為Emotet C2之后或同時開始主動與179.43.147.77通信��,由于用于時間軸分析的可用netflow捕獲太少����,因此從圖中排除了五個監(jiān)測點參差不齊的C2����。NetFlow是一種網(wǎng)絡監(jiān)測功能����,可以收集進入及離開網(wǎng)絡界面的IP封包的數(shù)量及資訊����,最早由思科公司研發(fā),應用在路由器及交換器等產(chǎn)品上���。
總結
威脅檢測分析師得出的結論是�����,從2019年12月下旬開始��,179.43.147.77的運營商與目前使用Dridex惡意軟件的組織有密切聯(lián)系���,并且一直持續(xù)到今天。攻擊者面臨著基礎架構的崩潰�����,并且似乎需要持久性和集中控制��。
本文翻譯自:https://hello.global.ntt/en-us/insights/blog/dridex-and-emotet-infrastructure-overlaps
分享標題:Dridex和Emotet基礎架構的相似之處
當前路徑:
http://uogjgqi.cn/article/dhioosj.html
