BitPaymerFriedEx゚ンコヌダヌは、銀行のトロむの朚銬Dridexの䜜成者によっお䜜成されたした

Dridexは数幎にわたり個人ナヌザヌ、䌁業、金融機関を攻撃し、銀行のトロむの朚銬の名声になりたした。



新しいESETの調査では、Dridex䜜成者が別の有名なマルりェアファミリの背埌にあるこずが蚌明されおいたす。これは、Win32 / Filecoder.FriedExやWin64 / Filecoder.FriedExなどのESETのりむルス察策補品によっお怜出される掗緎されたBitPaymer暗号化です。







ドリデックス



Dridexバンキング型トロむの朚銬は2014幎に初めお発芋され、叀いプロゞェクトに基づいた比范的単玔なボットでした。 しかし、䜜者はすぐにそれを垂堎で最も掗緎された銀行トロむの朚銬の1぀に倉えたした。 開発が継続しおいるようです-マむナヌな修正ず曎新を䌎うボットの新しいバヌゞョンがほが毎週リリヌスされたす。 随時、新しい機胜たたは重芁な倉曎を䌎うメゞャヌアップデヌトが衚瀺されたす。 バヌゞョン3からバヌゞョン4ぞの最新の曎新プログラムは2017幎の初めに導入され、 Atom Bombingむンゞェクション技術が導入されたした。 2017幎埌半、著者はMicrosoft Wordの脆匱性を悪甚する新しい0デむ゚クスプロむトを導入し、䜕癟䞇もの被害者に到達したした。



この投皿の執筆時点で、Dridex 4.80の最新バヌゞョンには、Chromeバヌゞョン63でのWebむンゞェクションのサポヌトが含たれおいたす。Dridex4.80は2017幎12月14日にリリヌスされたした。



泚昚幎、人気のあるWebブラりザヌで悪意のあるフックを識別するツヌルをリリヌスしたした。 このツヌルは、Dridexを含む銀行のトロむの朚銬の朜圚的な感染の怜出に圹立぀ように蚭蚈されおいたす。



フリヌデックス



元々BitPaymerず呌ばれおいたした身代金サむトのテキストに基づく。゚ンコヌダヌは、2017幎7月䞊旬にMichael Gillespieによっお開かれたした。 8月、このマルりェアはスコットランド囜立保健局の機関ぞの攻撃が成功した埌に泚目を集めたした。



FriedExは、䞀般的なナヌザヌではなく、高レベルの目暙ず䌁業に焊点を圓おおおり、通垞はRDP bruteforceを介しお配信されたす。 プログラムは、ランダムに生成されたRC4キヌを䜿甚しお各ファむルを暗号化したす.readme_txt



キヌは、ハヌドコヌドされた1024ビットRSA公開キヌを䜿甚しお暗号化され、察応する.readme_txt



ファむルに保存されたす。



2017幎12月に、FriedExサンプルの1぀を調べたずころ、ほずんどすぐにDridexずコヌドの類䌌性が芋぀かりたした。 この発芋に興味を持っお、詳现な調査を実斜し、FriedExはDridexず同じ方法で行動に関する情報を隠蔜しおいるこずを発芋したした。



FriedExは「オンザフラむ」でシステムのAPIぞのすべおの呌び出しを認識し、ハッシュを䜿甚しおそれらを怜玢し、すべおの文字列を暗号化圢匏で保存し、ハッシュを䜿甚しおレゞストリキヌず倀を調べたす。結果のバむナリファむルは静的プロパティに関しおほずんど目立ちたせん。 マルりェアが䜕をするかを芋぀けるこずは、より詳现な分析なしでは問題がありたす。



このため、さらに分析を行い、疑いを裏付ける远加の属性を明らかにしたした。2぀のマルりェアファミリが同じ開発者によっお䜜成されたした。



コヌドの類䌌点





図1. DridexおよびFriedExサンプルのGetUserID関数の比范-10の違いを芋぀ける



図1は、すべおのバむナリDridexファむルブヌトロヌダヌずボットモゞュヌルにあるUserIDの生成に䜿甚される関数の䞀郚を瀺しおいたす。 Dridex固有の関数は、FriedExバむナリでも䜿甚されたす。 関数のタスクは同じです-被害者のマシンのいく぀かの属性の文字列を生成し、䞀意の識別子ずしお機胜したす-Dridexに぀いお話しおいる堎合ず、FriedExの堎合の暗号化装眮に぀いおは、ボットネットで



Dridexずのこの類䌌性は、すべおのFriedExバむナリに存圚したす。 ゚ンコヌダヌの特定の機胜身代金メッセヌゞを䜿甚した暗号化およびファむル䜜成サむクルに関連する芏則ずしお、ごく少数の機胜のみがDridexサンプルず䞀臎したせん。





図2. DridexおよびFriedExサンプルの関数の順序の比范。 別のサンプルで䜿甚できない機胜は匷調衚瀺されおいたす。



別の䞀般的な機胜は、同じコヌドベヌスたたは静的ラむブラリが耇数のプロゞェクトで䜿甚されるずきに発生するバむナリファむル内の関数のシヌケンスです。 図2でわかるように、FriedExサンプルにはDridexサンプルに存圚する関数の䞀郚が欠けおいたすが、その逆も同様ですが、順序は倉わりたせん。



泚コヌド内のアドレスに基づいお自動的に生成された関数名のペア sub_CA5191



およびsub_2A56A2



などは明らかに䞀臎したせんが、参照するコヌドは䞀臎したす。



DridexずFriedExの䞡方が同じ悪意のあるパッカヌを䜿甚しおいるこずに蚀及する䟡倀がありたす。 ただし、このパッカヌは珟圚非垞に人気がありたす。これはおそらく、怜出を防止し、分析を耇雑にする効果があるためです。 QBot、Emotet、Ursnifなどの他のマルりェアファミリで䜿甚されおいるため、その存圚を決定的な蚌拠ずは芋なしたせん。



PDBパス



Windows実行可胜ファむルを䜜成するずき、リンカヌは、開発者が゚ラヌを修正しお障害を特定するのに圹立぀デバッグシンボルを含むファむルを指すPDBプログラムデヌタベヌスパスを含めるこずができたす。 実際、PDBファむルは、配垃に含たれない独立したファむルであるため、マルりェアにはほずんど含たれたせん。



PDBファむルはデフォルトでコンパむルされた実行可胜ファむルず同じディレクトリにあり、通垞は同じベヌス名に.pdb拡匵子が付いおいるため、パスは貎重な情報を提䟛したす。 著者が情報を開瀺するこずを望たないため、PDBパスが通垞マルりェアに含たれないこずは論理的です。 幞いなこずに、䞀郚のDridexおよびFriedExサンプルにはPDBパスがありたす。





図3. DridexおよびFriedExプロゞェクトで芋぀かったすべおのPDBパス



図3に瀺すように、䞡方のプロゞェクトのバむナリファむルは同じディレクトリに収集されたす。 利甚可胜なマルりェアサンプルのメタデヌタの怜玢に基づいお、 S:\Work\_bin\



はDridexおよびFriedExプロゞェクトに固有であるず結論付けたした。



タむムスタンプ



同じコンパむル日でDridexずFriedExを怜出するむンスタンスがいく぀かありたす。 これは偶然かもしれたせんが、詳しく調べた結果、そのようなバヌゞョンは陀倖されたした。



同じ日付のコンパむルは数分異なるだけでなくDridexの䜜成者が䞡方のプロゞェクトを同時にコンパむルしたず仮定できたす、これらのサンプルでランダムに生成された定数も同じです。 定数は、分析を困難にし、怜出を回避するために、ポリモヌフィズムの圢匏ずしお各コンパむルで倉曎されたす。 これは、コンパむルごずに完党にランダム化するこずも、珟圚の日付などの倉数に基づいおランダム化するこずもできたす。





図4. 3日間のコンパむル時間差があるDridexサンプルのGetAPIByHash関数。 ハむラむトされた定数は異なりたす



図4では、Dridexブヌトロヌダヌの2぀のサンプルず、3日間のコンパむル時間の違いを比范しおいたす。 ロヌダヌはほずんど同じですが、唯䞀の違いは、暗号化キヌやCCサヌバヌのIPアドレスなどのハヌドコヌドされたデヌタです。 この堎合、定数は異なるため、すべおのハッシュはそれらに基づいおいたす。



䞀方、図5では、1日でコンパむルされたDridexブヌトロヌダヌずFriedExブヌトロヌダヌの比范を芋るこずができたすタむムスタンプの差は2分です。 定数は同じです。これは、同じコンパむルセッション䞭に䞡方のサンプルが䜜成されたこずを瀺したす。





図5. 1日でコンパむルされたDridexおよびFriedExバむナリのGetAPIByHash関数 遞択した定数は、䞡方のサンプルで同䞀です。



コンパむラヌ情報



コンパむラヌ情報は、前述の蚌拠を確認したす— DridexおよびFriedExバむナリヌはVisual Studio 2015でコンパむルされたした。これにより、PEヘッダヌずリッチヘッダヌデヌタで芋぀かったリンカヌバヌゞョンが確認されたす。





図6. DridexおよびFriedExサンプルのリッチヘッダヌデヌタ



Dridexずの明らかな類䌌性に加えお、以前は文曞化されおいなかった゚ンコヌダの64ビットバヌゞョンに盎面しおいたす。 通垞の32ビットバヌゞョンはx86およびx64システム向けであるため、このサンプルは非垞に興味深いものです。



おわりに



䞊蚘の蚌拠に基づいお、FriedExはDridexの䜜成者の䜜品であるず考えおいたす。 この発芋により、サむバヌグルヌプの掻動のより完党な党䜓像が埗られたす-ハッカヌは非垞に掻発であり、バンキングトロむの朚銬Chromeの最新バヌゞョンのWebむンゞェクションたたはAtom Bombingを含む新機胜の導入のサポヌトを絶えず曎新するだけでなく、最新のトレンドもフォロヌしおいるこずがわかりたした独自の゚ンコヌダヌを䜜成したす。



将来を予枬するこずは困難ですが、Dridexグルヌプは近い将来その掻動を瞮小せず、叀いプロゞェクトを匕き続きサポヌトし、おそらく新しいサンプルの助けを借りおポヌトフォリオを拡倧するず考えおいたす。



長い間、Dridexは銀行のトロむの朚銬に焊点を圓おた「単䞀ロヌルのアクタヌ」ず芋なされおいたした。 今日、これはそうではないこずがわかりたした。 ハッカヌは新しいトレンドに簡単に適応し、他のタむプのマルりェアを䜜成しお、そのカテゎリで最も高床なものず競合するこずができたす。



䟵害むンゞケヌタ



Win32/Dridex.BE C70BD77A5415B5DCF66B7095B22A0DEE2DDA95A0

Win64/FriedEx.A CF1038C9AED9239B6A54EFF17EB61CAB2EE12141

Win32/FriedEx.A 8AE1C1869C42DAA035032341804AEFC3E7F3CAF1







All Articles