從2011年被發(fā)現(xiàn)至今，Dridex銀行木馬已經(jīng)成為最流行的銀行木馬家族。光在2015年，Dridex造成的損失估計(jì)就超過了4000萬美元，與其他銀行木馬家族不同，因?yàn)樗偸窃诓粩嘌葑儾⒆屍渥兊酶訌?fù)雜。Dridex是一種針對(duì)Windows平臺(tái)的復(fù)雜銀行惡意軟件，可通過發(fā)起垃圾郵件攻擊活動(dòng)來感染電腦，并竊取銀行憑證及其他個(gè)人信息，以便實(shí)施欺詐性轉(zhuǎn)賬。在過去十年中，該惡意軟件進(jìn)行了系統(tǒng)性更新和開發(fā)。最新Dridex已更新并通過多個(gè)垃圾郵件攻擊活動(dòng)進(jìn)行了廣泛傳播，被用于下載有針對(duì)性的勒索軟件。

[[379224]]

今年銀行木馬Dridex首次躋身十大惡意軟件排行榜，成為第三大常見的惡意軟件。EMOTET銀行木馬自2014年以來，一直活躍至今，目前已經(jīng)成為最具有影響力的惡意軟件家族之一。該木馬通常是通過垃圾郵件傳播，已經(jīng)迭代出很多個(gè)版本。在早期通過惡意的JavaScript腳本進(jìn)行投遞，后來轉(zhuǎn)為通過含有惡意宏代碼的文檔下載進(jìn)行傳播。亞信安全曾多次對(duì)該木馬進(jìn)行過披露，截至當(dāng)前，該木馬的基礎(chǔ)設(shè)施仍然在不斷更新。

在此文中，我們將解釋我們的威脅檢測(cè)分析師如何使用從全球互聯(lián)網(wǎng)基礎(chǔ)設(shè)施捕獲的netflow數(shù)據(jù)來發(fā)現(xiàn)之前未被研究的Dridex運(yùn)營(yíng)商使用的分層網(wǎng)絡(luò)方法，以及它與Emotet基礎(chǔ)設(shè)施的意外重疊。

威脅檢測(cè)分析師發(fā)現(xiàn)，Emotet C2服務(wù)器正在通過端口TCP / 38400與IP 179.43.147.77重復(fù)通信。這是迄今為止我們所看到的Emotet網(wǎng)絡(luò)基礎(chǔ)架構(gòu)行為中的一個(gè)異常。

針對(duì)這種異常，我們的威脅檢測(cè)小組進(jìn)行了調(diào)查，以試圖確定179.43.147.77的目的和行為。

在對(duì)全球互聯(lián)網(wǎng)基礎(chǔ)設(shè)施中收集的網(wǎng)絡(luò)流進(jìn)行長(zhǎng)期監(jiān)視和分析期間，我們觀察到多個(gè)惡意軟件家族通過同一端口TCP / 38400與IP通信。我們的觀察結(jié)果如下圖所示：

在數(shù)量上，我們觀察到通過TCP/38400與179.43.147.77對(duì)話的數(shù)量：

• 10個(gè)Emotet時(shí)代2個(gè)C2;
• 4個(gè)Emotet時(shí)代3個(gè)C2;
• 7個(gè)Dridex C2。

對(duì)可用開源情報(bào)(OSINT)的分析顯示，TA505組織在2019-06-20已使用179.43.147.77來傳播惡意軟件FlawedAmmyy1 2 3。該IP所屬的托管公司，Private Layer Inc，是一家離岸托管公司，被觀察到在過去被威脅行動(dòng)者利用。

179.43.147.77的目的是什么?它仍然由TA505管理嗎?

探索與TA505的連接

鑒于FlawedAmmyy于2019.6.2發(fā)布于179.43.147.77，已對(duì)TA505是否仍在管理該服務(wù)器進(jìn)行了調(diào)查。由于Shodan每月至少執(zhí)行一次互聯(lián)網(wǎng)范圍的掃描，因此根據(jù)歷史掃描數(shù)據(jù)在當(dāng)前時(shí)間范圍2019.6.2-20197.20中設(shè)置了當(dāng)前使用的SSH密鑰：

如果將新的SSH密鑰設(shè)置為2019.6.2的情況，則表明傳播TA505綁定的FlawedAmmy示例的同一操作員也在操作通過端口38400連接的命令和控制服務(wù)器的管理。

Dridex已由TA5055傳播和使用，從而加強(qiáng)了連接。

與此理論相反的是，TA505與Emotet組沒有已知的聯(lián)系，這就引出了一個(gè)問題，即他們?yōu)槭裁匆芾鞥motet C2服務(wù)器。

此外，除了Dridex之外，TA505使用的惡意軟件家族都沒有與179.43.147.77進(jìn)行過通信，從而使連接更加脆弱。

根據(jù)這些觀察結(jié)果，我們認(rèn)為179.43.147.77的運(yùn)算符在FlawedAmmy發(fā)行后發(fā)生了變化。

179.43.147.77的用例

179.43.147.77背后用例的核心是知道何時(shí)連接服務(wù)器變?yōu)榛顒?dòng)C2服務(wù)器。如果它們最初在一段時(shí)間內(nèi)連接到179.43.147.77，然后停止通信并變?yōu)榛顒?dòng)的C2節(jié)點(diǎn)，則可能表明179.43.147.77的運(yùn)營(yíng)商移交或出售了對(duì)這些服務(wù)器的訪問權(quán)。

另一方面，如果在服務(wù)器處于活動(dòng)的C2時(shí)服務(wù)器與179.43.147.77之間的通信正在進(jìn)行，則表明179.43.147.77與Emotet和Dridex背后的組織有更緊密的聯(lián)系。

我們不認(rèn)為179.43.147.77背后的操作員與Emotet和Dridex背后的組織巧合地入侵了同一服務(wù)器，因?yàn)橹赶?79.43.147.77的接入連接幾乎完全是Emotet和Dridex C2服務(wù)器，也就是說，受控服務(wù)器中的非隨機(jī)性。

Dridex C2活動(dòng)時(shí)間表

時(shí)間線顯示，大多數(shù)IP在與179.43.147.77通信時(shí)都充當(dāng)C2，這降低了操作員179.43.147.77僅將受管服務(wù)器的訪問切換到其他參與者的可能性。

Emotet Epoch 2活動(dòng)時(shí)間表

對(duì)Emotet Epoch 2 C2進(jìn)行相同的分析顯示出一些不確定的行為：

似乎他們?cè)诔蔀镋motet C2之后或同時(shí)開始主動(dòng)與179.43.147.77通信，由于用于時(shí)間軸分析的可用netflow捕獲太少，因此從圖中排除了五個(gè)監(jiān)測(cè)點(diǎn)參差不齊的C2。NetFlow是一種網(wǎng)絡(luò)監(jiān)測(cè)功能，可以收集進(jìn)入及離開網(wǎng)絡(luò)界面的IP封包的數(shù)量及資訊，最早由思科公司研發(fā)，應(yīng)用在路由器及交換器等產(chǎn)品上。

總結(jié)

威脅檢測(cè)分析師得出的結(jié)論是，從2019年12月下旬開始，179.43.147.77的運(yùn)營(yíng)商與目前使用Dridex惡意軟件的組織有密切聯(lián)系，并且一直持續(xù)到今天。攻擊者面臨著基礎(chǔ)架構(gòu)的崩潰，并且似乎需要持久性和集中控制。

本文翻譯自：https://hello.global.ntt/en-us/insights/blog/dridex-and-emotet-infrastructure-overlaps