Összefoglaló
A Dridex egy korábbi malware (W32.Cridex, még korábban ZeuS/Zbot trójai) továbbfejlesztésével jött létre és 2014 óta ismert a működése. P2P (peer-to-peer) alapú hálózatot használ, amely további alhálózatokra bontható. Ennek a struktúrának az alkalmazásával mindeddig sikeresen védekezett a lekapcsolására indított kezdeményezésekkel szemben. A Symantec jelentése szerint 2015. évben az összes banki trójai támadás közel fele ehhez a kártevőhöz volt köthető.
Leírás
Célját tekintve banki, illetve egyéb személyes adatok ellopására szakosodott és jellemzően spam üzenetek csatolmányában található makró vírussal (W97M.Downloader) fertőzött Microsoft Office dokumentumok útján, kampányszerűen terjed.
A támadások elsősorban angol nyelvű országokat érintenek, de több, mint 40 régióban regisztráltak eseteket. Az üzenetek többnyire valamilyen valós cégre hivatkoznak, jellemző (de nem kizárólagos), hogy a tárgy mezőben, vagy a csatolmány neveként “Invoice” szerepel.
Amennyiben a felhasználó megnyitja ezt a fertőzött file-t és a makrók engedélyezettek, egy .vbs kiterjesztésű fájl jön létre (VBS.Downloader.Trojan), és kerül végrehajtásra, ami letölti magát a Dridex káros kódot. Mindezek mellett az utóbbi hetekben egy újabb variáns is megjelent, amely már JavaScript (JScript) kódokkal (JS.Downloader) fertőz.
Ezt követően az áldozat számítógépe egy botnet hálózat részévé válik, ahonnan közbeékelődéses (man-in-the-browser) technikákat alkalmazva indítanak támadásokat online bankolások “lehallgatására”.
A Dridex moduláris felépítésű, ezáltal a támadók könnyen bővíthetik újabb funkciókkal.
1) Loader modul: A main modul letöltéséért felel, amihez HTTPS kapcsolatot és RC4 titkosítást használ.
2) A Main modul főbb tevékenységei:
- Webes űrlapokból információ kinyerése.
- Képernyőmentések készítése.
- HTTP kérések eltérítése.
- Kódok beillesztése webes alkalmazásokba.
- Billentyűleütések logolása.
- Jelszólopás.
- Hátsó ajtó létesítése.
- Peer node-ként való működés.
- Fájlok törlése.
- Cookie-k lopása.
- Valamint további modulok beszerzése.
A fertőzésre utaló ismert indikátorok:
Fájlok:
- C:Documents and SettingsAdministratorApplication DataLocal Settingsedge or edg[random.hex].exe
- C:Documents and SettingsAdministratorApplication DataLocal SettingsTempcab[random.hex].tmp
Registry bejegyzések:
- HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun] “wwnotify”=”rundll32.exe C:\Document and Settings\AdministratorLocal SettingsTempcab[random hex].tmp NotifierInit”
- HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerCLSID[GENERATEDCLSID]ShellFolder
Dridex malware minták (SHA256):
de25222783cdcbe20ca8d8d9a531f150387260e5297f672474141227eeff7773
a497de7f2488f093aa74562695a2ce705cbddbd2c4a357f5c785f23ea7450f43
cd1b462be0821eed24a97523206399b9e83266e6675a26a2b070edfe9dcd2b5a
0cafdcbcb2d8ec175ccf605ae898ef1fd5f775e933370e40f3a2c9e3f22c1377
Megoldás
- Böngészők bővítményeinek patchelése (frissítése).
- P2P használatának blokkolása.
- Operációs rendszer frissítéseinek telepítése (sérülékenységek javítása).
- Biztonsági mentések készítése.
- Erős jelszavak használata (időközönkénti megváltoztatása).
- Felhasználói jogok korlátozása.
- Ne látogasson nem megbízható weboldalakat és ne kövessen ilyen hivatkozásokat (linkeket).
- Ne nyisson meg ismeretlen feladótól érkező üzeneteteket, különösen ügyeljen az olyan e-mailekre, amelyek csatolmányokban Microsoft Office file szerepel.
- Az eltávolításban segítséget nyújthat: Norton Power Eraser (NPE), Norton Bootable Recovery Tool
Támadás típusa
Command InjectionCross Site Scripting (XSS/CSS)
Information disclosure (Információ/adat szivárgás)
Manipulation of data
Security bypass (Biztonsági szabályok megkerülése)
System access (Rendszer hozzáférés)
Trójai
backdoor
man in the middle
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.symantec.com
Egyéb referencia: kc.mcafee.com
CERT-Hungary CH-11359
Virustotal minták és egyéb információk:
Egyéb referencia: www.virustotal.com