BitPaymer（FriedEx）エンコーダーは、銀行のトロイの木馬Dridexの作成者によって作成されました

Dridexは数年にわたり個人ユーザー、企業、金融機関を攻撃し、銀行のトロイの木馬の名声になりました。



新しいESETの調査では、Dridex作成者が別の有名なマルウェアファミリの背後にあることが証明されています。これは、Win32 / Filecoder.FriedExやWin64 / Filecoder.FriedExなどのESETのウイルス対策製品によって検出される洗練されたBitPaymer暗号化です。

ドリデックス

Dridexバンキング型トロイの木馬は2014年に初めて発見され、古いプロジェクトに基づいた比較的単純なボットでした。 しかし、作者はすぐにそれを市場で最も洗練された銀行トロイの木馬の1つに変えました。 開発が継続しているようです-マイナーな修正と更新を伴うボットの新しいバージョンがほぼ毎週リリースされます。 随時、新しい機能または重要な変更を伴うメジャーアップデートが表示されます。 バージョン3からバージョン4への最新の更新プログラムは2017年の初めに導入され、 Atom Bombingインジェクション技術が導入されました。 2017年後半、著者はMicrosoft Wordの脆弱性を悪用する新しい0デイエクスプロイトを導入し、何百万もの被害者に到達しました。



この投稿の執筆時点で、Dridex 4.80の最新バージョンには、Chromeバージョン63でのWebインジェクションのサポートが含まれています。Dridex4.80は2017年12月14日にリリースされました。



注：昨年、人気のあるWebブラウザーで悪意のあるフックを識別するツールをリリースしました。 このツールは、Dridexを含む銀行のトロイの木馬の潜在的な感染の検出に役立つように設計されています。

フリーデックス

元々BitPaymerと呼ばれていました（身代金サイトのテキストに基づく）。エンコーダーは、2017年7月上旬にMichael Gillespieによって開かれました。 8月、このマルウェアはスコットランド国立保健局の機関への攻撃が成功した後に注目を集めました。



FriedExは、一般的なユーザーではなく、高レベルの目標と企業に焦点を当てており、通常はRDP bruteforceを介して配信されます。 プログラムは、ランダムに生成されたRC4キーを使用して各ファイルを暗号化します.readme_txt



キーは、ハードコードされた1024ビットRSA公開キーを使用して暗号化され、対応する.readme_txt



ファイルに保存されます。



2017年12月に、FriedExサンプルの1つを調べたところ、ほとんどすぐにDridexとコードの類似性が見つかりました。 この発見に興味を持って、詳細な調査を実施し、FriedExはDridexと同じ方法で行動に関する情報を隠蔽していることを発見しました。



FriedExは「オンザフライ」でシステムのAPIへのすべての呼び出しを認識し、ハッシュを使用してそれらを検索し、すべての文字列を暗号化形式で保存し、ハッシュを使用してレジストリキーと値を調べます。結果のバイナリファイルは静的プロパティに関してほとんど目立ちません。 マルウェアが何をするかを見つけることは、より詳細な分析なしでは問題があります。



このため、さらに分析を行い、疑いを裏付ける追加の属性を明らかにしました。2つのマルウェアファミリが同じ開発者によって作成されました。

コードの類似点

図1. DridexおよびFriedExサンプルのGetUserID関数の比較-10の違いを見つける



図1は、すべてのバイナリDridexファイル（ブートローダーとボットモジュール）にあるUserIDの生成に使用される関数の一部を示しています。 Dridex固有の関数は、FriedExバイナリでも使用されます。 関数のタスクは同じです-被害者のマシンのいくつかの属性の文字列を生成し、一意の識別子として機能します-Dridexについて話している場合と、FriedExの場合の暗号化装置については、ボットネットで



Dridexとのこの類似性は、すべてのFriedExバイナリに存在します。 エンコーダーの特定の機能（身代金メッセージを使用した暗号化およびファイル作成サイクル）に関連する規則として、ごく少数の機能のみがDridexサンプルと一致しません。





図2. DridexおよびFriedExサンプルの関数の順序の比較。 別のサンプルで使用できない機能は強調表示されています。



別の一般的な機能は、同じコードベースまたは静的ライブラリが複数のプロジェクトで使用されるときに発生するバイナリファイル内の関数のシーケンスです。 図2でわかるように、FriedExサンプルにはDridexサンプルに存在する関数の一部が欠けていますが、その逆も同様ですが、順序は変わりません。



注：コード内のアドレスに基づいて自動的に生成された関数名のペア（ sub_CA5191



およびsub_2A56A2



など）は明らかに一致しませんが、参照するコードは一致します。



DridexとFriedExの両方が同じ悪意のあるパッカーを使用していることに言及する価値があります。 ただし、このパッカーは現在非常に人気があります。これはおそらく、検出を防止し、分析を複雑にする効果があるためです。 QBot、Emotet、Ursnifなどの他のマルウェアファミリで使用されているため、その存在を決定的な証拠とは見なしません。

PDBパス

Windows実行可能ファイルを作成するとき、リンカーは、開発者がエラーを修正して障害を特定するのに役立つデバッグシンボルを含むファイルを指すPDB（プログラムデータベース）パスを含めることができます。 実際、PDBファイルは、配布に含まれない独立したファイルであるため、マルウェアにはほとんど含まれません。



PDBファイルはデフォルトでコンパイルされた実行可能ファイルと同じディレクトリにあり、通常は同じベース名に.pdb拡張子が付いているため、パスは貴重な情報を提供します。 著者が情報を開示することを望まないため、PDBパスが通常マルウェアに含まれないことは論理的です。 幸いなことに、一部のDridexおよびFriedExサンプルにはPDBパスがあります。





図3. DridexおよびFriedExプロジェクトで見つかったすべてのPDBパス



図3に示すように、両方のプロジェクトのバイナリファイルは同じディレクトリに収集されます。 利用可能なマルウェアサンプルのメタデータの検索に基づいて、 S:\Work\_bin\



はDridexおよびFriedExプロジェクトに固有であると結論付けました。

タイムスタンプ

同じコンパイル日でDridexとFriedExを検出するインスタンスがいくつかあります。 これは偶然かもしれませんが、詳しく調べた結果、そのようなバージョンは除外されました。



同じ日付のコンパイルは数分異なるだけでなく（Dridexの作成者が両方のプロジェクトを同時にコンパイルしたと仮定できます）、これらのサンプルでランダムに生成された定数も同じです。 定数は、分析を困難にし、検出を回避するために、ポリモーフィズムの形式として各コンパイルで変更されます。 これは、コンパイルごとに完全にランダム化することも、現在の日付などの変数に基づいてランダム化することもできます。





図4. 3日間のコンパイル時間差があるDridexサンプルのGetAPIByHash関数。 ハイライトされた定数は異なります



図4では、Dridexブートローダーの2つのサンプルと、3日間のコンパイル時間の違いを比較しています。 ローダーはほとんど同じですが、唯一の違いは、暗号化キーやC＆CサーバーのIPアドレスなどのハードコードされたデータです。 この場合、定数は異なるため、すべてのハッシュはそれらに基づいています。



一方、図5では、1日でコンパイルされたDridexブートローダーとFriedExブートローダーの比較を見ることができます（タイムスタンプの差は2分です）。 定数は同じです。これは、同じコンパイルセッション中に両方のサンプルが作成されたことを示します。





図5. 1日でコンパイルされたDridexおよびFriedExバイナリのGetAPIByHash関数 選択した定数は、両方のサンプルで同一です。

コンパイラー情報

コンパイラー情報は、前述の証拠を確認します— DridexおよびFriedExバイナリーはVisual Studio 2015でコンパイルされました。これにより、PEヘッダーとリッチヘッダーデータで見つかったリンカーバージョンが確認されます。





図6. DridexおよびFriedExサンプルのリッチヘッダーデータ



Dridexとの明らかな類似性に加えて、以前は文書化されていなかったエンコーダの64ビットバージョンに直面しています。 通常の32ビットバージョンはx86およびx64システム向けであるため、このサンプルは非常に興味深いものです。

おわりに

上記の証拠に基づいて、FriedExはDridexの作成者の作品であると考えています。 この発見により、サイバーグループの活動のより完全な全体像が得られます-ハッカーは非常に活発であり、バンキングトロイの木馬（Chromeの最新バージョンのWebインジェクションまたはAtom Bombingを含む新機能の導入のサポート）を絶えず更新するだけでなく、最新のトレンドもフォローしていることがわかりました独自のエンコーダーを作成します。



将来を予測することは困難ですが、Dridexグループは近い将来その活動を縮小せず、古いプロジェクトを引き続きサポートし、おそらく新しいサンプルの助けを借りてポートフォリオを拡大すると考えています。



長い間、Dridexは銀行のトロイの木馬に焦点を当てた「単一ロールのアクター」と見なされていました。 今日、これはそうではないことがわかりました。 ハッカーは新しいトレンドに簡単に適応し、他のタイプのマルウェアを作成して、そのカテゴリで最も高度なものと競合することができます。

侵害インジケータ

Win32/Dridex.BE C70BD77A5415B5DCF66B7095B22A0DEE2DDA95A0

Win64/FriedEx.A CF1038C9AED9239B6A54EFF17EB61CAB2EE12141

Win32/FriedEx.A 8AE1C1869C42DAA035032341804AEFC3E7F3CAF1