24小时黑客接单的网站

在我们剖析一个流行的恶意软件大家族时，会最先查询其采用的故意基础设施，进而搜集案件线索，搜索背后的开发人员。

文中就以Dridex为例子，而言说怎样利用故意基础设施来推断下一次很有可能的进攻。

Dridex

Dridex金融机构木马病毒于2014年初次发生，迄今仍是最流行的恶意软件大家族之一。 2020年3月，Dridex变成最火爆的恶意软件之首。

Dridex是由一个名叫“Evil Corp”的网络诈骗机构建立的，该机构可能对全世界银行业务导致了1亿美金的损害。在这篇文章中，大家出示了目前为止相关Dridex的重要关键点的详细介绍。探寻了Dridex开发设计的历史时间，并展现其核心技术特点和推广方式。

Dridex中的重要控制模块名字：

• Evgeniy Bogachev：灭绝人性的ZeuS恶意软件的创始人。
• Maksim Yakubets：承担Eride Corp互联网犯罪团伙的责任人，该集团公司承担Dridex的经营。

Dridex发生以前，ZeuS更为流行

Zeus是木马病毒恶意软件，它的作用包含将受传染的电子计算机变为一个丧尸节点，盗取金融机构凭据，免费下载并实行独立的故意控制模块。依据中情局的调研，网络诈骗机构的组员尝试利用ZeuS在全世界盗取约2.2亿美金。

下列时间轴表明了ZeuS发展趋势的关键环节：

当ZeuS源码在2011年泄露时，此恶意软件的各种支系逐渐发生。它是十分流行的恶意软件，并发展趋势出了很多不一样的恶意软件支系。在编写此文时，ZeuS与29个不一样的恶意软件大家族密切相关，一共有大概490个版本号。

2014年5月，美国联邦调查局(FBI)公布了一份公示，在其中叙述了博加乔夫(Evgeniy Bogachev)的状况，并服务承诺悬赏任务300万美金，以获得有利于拘捕和/或判罪的信息内容。

Dridex时代

ZeuS大家族消退后，Dridex就发展趋势起来了。该恶意软件是Bugat演化(于2010年发生)的結果，Bugat v5在2014年被取名为Dridex。据悉，Andrey Ghinkul(来源于摩尔多瓦)是2015年Dridex僵尸网络身后的管理人员之一。Igor Turashev也是Dridex僵尸网络身后的管理人员之一。

Denis Gusev是EvilCorp身后的具体投资人之一，大量与Dridex相关的名称可以在美国财政部封禁申明中寻找。

下边的时间轴表明了Dridex演变的一些里程碑式：

Dridex进而从2017年逐渐应用Bitpaymer造成了很多勒索病毒，该支系再次应用2019年开发设计的DoppelPaymer和2020年开发的WastedLocker。

在2019年，Dridex最少有着14个主题活动的僵尸网络，在其中一些之前早已被发觉，而另一些则是新开发设计的。僵尸网络根据其ID号来区别。这种是现在最活泼的：10111, 10222, 10444, 40200, 40300。在2019年底，中情局公布了一份公示，在其中叙述了Dridex的创作者，并服务承诺给予500万美金的奖赏(先前为E.Bogachev给予300万美金)。

也是有直接证据说明，马克西姆过着奢侈的生活习惯，这毫无疑问是由于他的故意主题活动而致。

到现在为止，Maksim Yakubets并未被执法部门拘捕。正如之前提及的，在2020年，Dridex是世界最流行的恶意软件大家族。

感柒链

在逐渐对Dridex样版自身开展剖析以前，大家想掌握恶意软件身后的根本构造。怎样散播?发展目标?适用文档的原始检验率多少钱?

Dridex的散播

当营运商要想散播Dridex时，她们会应用来源于不一样互联网犯罪团伙的已确立的垃圾短信程序流程，将故意文档额外到纯手工制作的电子邮箱中。在Dridex生命期的不一样阶段，Necurs、Cutwail和Andromeda僵尸网络都进行了Dridex的散播。

当客户免费下载并开启该类文本文档(可能是Word或Excel)时，将运行内嵌式宏，以免费下载并实行Dridex有效载荷。

总体目标

Dridex的目标是来源于全世界的不一样著名组织：

• 英国银行帐号;
• 美国信用卡企业;
• 英国金融投资公司;
• 欧洲地区银行帐号;
• 沙特、卡塔尔、阿曼的政府部门;

鱼饵

为了更好地提升Dridex的散播通过率，故意网络攻击将其垃圾短信装扮成合理合法的电子邮箱。我们可以列举UPS、FedEx和DHL等企业的事例，这种公司的标示和邮递设计风格都被作为这类电子邮箱的鱼饵。

当受害人点开连接时，含有故意文本文档的归档或故意文本文档自身会被开启。

最开始的诊断率

当初次在野外见到Dridex传输文件时，它的诊断率极低。在下面的截屏中，大家看到了Dridex的Excel文件的原始检验率：

Dridex散播文档的原始检验率

载入程序流程和有效载荷

Dridex实例包含载入程序流程和有效载荷，大家将在下面探讨每一个部位的关键。

反调节技术性

Dridex加载程序流程利用OutputDebugStringW函数公式使恶意软件剖析更为艰难，不一样的载入程序流程会形成差异的輸出(在其中“Installing…”字符串数组十分流行)，但该观念在各个地方全是同样的：建立一个包括很多无意义调节信息的长循环系统。在下面的图中，大家看到了那样一个循环系统的实例，该循环系统的梯度下降法频次约为2亿：

含有0xBEBBE7C(大概2亿个)梯度下降法的循环系统启用OutputDebugStringW

日志中的輸出如下所示所显示：

Dridex调节信息吞没了剖析日志

搞混

有效载荷被比较严重搞混，几乎沒有函数公式被立即启用。调用分析是在标志库以及涵盖的函数公式的哈希值的幫助下运行的。下边的截屏表明了那样的屏幕分辨率实例：

Dridex有效载荷中的启用分析实例

全部对重要Dridex任务关键的函数公式全是那样启用的。

对Internet函数公式的分析启用实例

大家应用Labeless专用工具来处理搞混的调用函数，恶意软件中的字符串数组应用RC4优化算法和样版中存放的破译密匙开展搞混。

配备

有效载荷内部结构的首要着眼点是其配备，它包括下列关键关键点：

• 木马病毒ID;
• C&C网络服务器的总数;
• C&C网络服务器自身的目录;

配备实例：

有效载荷内部结构Dridex配备的实例

本示例中的木马病毒ID为12333，指令和操纵网络服务器包含：

• 92.222.216.44:443
• 69.55.238.203:3389
• 66.228.47.181:443
• 198.199.106.229:5900
• 104.247.221.104:443
• 178.254.38.200:884
• 152.46.8.148:884

互联网主题活动

Dridex从配备向服务器发送POST请求以获得大量命令，等待200 OK响应。请注意，这种网络服务器并不是现实的C&C网络服务器，反而是联接到真正网络服务器的代理商。

Dridex僵尸网络基础设施建设

恶意程序发送至C&C网络服务器的信息内容包括下列数据信息：

• 主机名;
• 僵尸网络身份证号;
• 请求种类;
• 电脑操作系统的构架;
• 已安装程序目录;

这种数据信息用RC4优化算法数据加密，密匙存放在恶意程序的数据加密字符串数组中。

最少有6种不一样种类的请求;在其中有下列几类：

• " list "：获得配备;
• " bot "：接受bot控制模块;

应用IOC尽快发觉

感柒越快被发觉，减轻的机遇就越大。为了更好地在耗费至少資源的情形下尽早捕获感柒，大家期待致力于原始散播环节。

可是，检验仅仅一个层面。大家也许会自信心地说一些事物是故意的，但咱们也想对危害开展归类。因此，大家需要保证该特殊恶意程序的确是Dridex。

使我们再度看一下Dridex感柒链，并明确我们可以用以监测和辨别的差异环节：

Dridex检验的差异环节

在Dridex感柒的差异环节，我们可以应用下列指标值开展检验。

第一阶段，故意文档：

文件hach;

• 文档内的照片;
• 文档的内部构造;
• 内部结构应用的宏;

第二阶段，网络服务器：

• 域;
• 网站地址;

第三阶段，载入程序流程和有效载荷：

• 样版hach;
• 环境变量中的IP地址;

为何这么多要素很重要?

大家早已见到Dridex的基础建设和指标值及其别的时兴的恶意程序大家族(例如Emotet和Ursnif)中间的关系。当用以传输以上全部恶意程序时，故意文本文档具备相同的指标值。一些C2网络服务器，准确地说，是服务器代理——被Dridex和Emotet应用，虽然端口号和联接种类是不一样的。

因而，在得出以下结论：以前，大家需要剖析许多关键点。与大家所具有的特殊僵尸网络有关的与众不同要素越多，就越非常容易讲出另一种进攻是不是有着同样的方式。

自然，对恶意程序开展归类的理想化方式或许是获得并剖析最后的有效载荷：如果是Dridex，则在恶意程序以前运行的任何內容也都归到Dridex。可是，在了解結果以前很有可能要一些時间(有时候在得到最开始的故意文本文档以后必须非常长的時间)。根据剖析感柒链初期环节的全部指标值，我们可以更快、更有信心地开展归类。

另一个趣味的常见问题是运用同样的互联网下载Dridex实例，大家剖析了用以此目标的域，分析了他们的IP，发觉在其中许多都坐落于同一互联网84.38.180.0/22中，一共可以用详细地址低于1024个。该互联网归属于俄国ASN Selectel企业，该公司非常少删掉故意內容或垃圾短信。

我们在84.38.180.0/22互联网(及其同一ASN内的别的互联网)中看到了下列连接到Dridex域的IP地址，日期表明Dridex域初次偏向对应的IP：

虽然光凭此要素不能鉴别Dridex，但这也是解决Dridex IOC时要参照的一个有效的輔助关键点。

检验

下边的图形表明了不一样日期的Dridex最高值

6月29日Dridex感柒最高值

7月6日至7月8日Dridex感柒最高值

可以尽快阻拦Dridex进攻尤为重要，在很多情形下，假如7月6日至7月8日中间持续两天也没有推送垃圾短信，则僵尸网络的行动在第二天便会减缓，而且大家得到的IOC配对频次不容易像高峰时段那般多

Dridex的发展趋势

自7月22日至今，大家都还没发觉一切新的Dridex垃圾短信样版。 Dridex在9月7日再次发生，表明其主题活动最高值持续2天大幅度提升：

Dridex营运商升级了Dridex实行的第一阶段：她们加上了大量可从其免费下载有效载荷的URL，而不是最开始版本号的故意文本文档中的单独URL。如今，在单一文档中，她们的数目很有可能达到50个。

大家一直在监管这一僵尸网络，并在不一样的实施环节检验它的有效载荷。

文中翻譯自：https://research.checkpoint.com/2021/stopping-serial-killer-catching-the-next-strike/