分類: 資安名詞/什麼是?/ 何謂?

跟著英國國家打擊犯罪調查局（NCA）的腳步,多個DRIDEX「Botnet傀儡殭屍網路」所使用的命令與控制（C&C）伺服器已經被美國聯邦調查局（FBI）關閉。

美國執法官員取得法庭命令沒收DRIDEX所使用的多台伺服器。打擊了惡意軟體的C&C網路，其被惡意軟體用來將竊得的資料發送給網路犯罪分子，並且下載包含目標銀行清單的設定檔案。此外，也已經起訴了Andrey Ghinkul（別名Andrey Ghincul和Smilex），「Botnet傀儡殭屍網路」在摩爾多瓦的管理者。

破獲網路犯罪並不是件小事。追查並關閉網路犯罪活動需要研究人員與執法機構的不斷合作，各自貢獻自己的專業知識。破獲銀行惡意軟體DRIDEX所用的命令和控制（C&C）網路是這團隊合作成功的最新例證。

什麼讓 DRIDEX與眾不同？

DRIDEX在這過去一年漸漸打響名號，一直被視為是 Gameover ZeuS（GoZ）惡意軟體的後繼者。它在威脅環境的普及可以歸因於它的商業模式、P2P（點對點網路）架構及獨特的行為。

不同於其他惡意軟體，DRIDEX運用BaaS（殭屍網路即服務）商業模式。它運行數個「Botnet傀儡殭屍網路」，每個都以編號標識，並且每個都對應一組特定的目標銀行。趨勢科技的調查顯示其目標銀行大多來自美國和歐洲（特別是羅馬尼亞、法國和英國）。從過去三個月內趨勢科技主動式雲端截毒服務  Smart Protection Network所提供的反饋資料顯示，美國和英國受DRIDEX感染的使用者占全部的35%以上,台灣也列入受害名單。

DRIDEX的P2P架構是GoZ架構的改進版本。從GoZ被關閉事件中學習，DRIDEX開發者在其架構中在命令與控制（C&C）伺服器前多加了一層。

除此之外，DRIDEX還會除去或隱藏其在系統中的痕跡。跟ZBOT的Chthonic變種類似，它使用一種隱形持久性技術，會在系統關閉前寫入自動啟動註冊碼，並在系統啟動後刪除自動啟動註冊碼。然而，只有DRIDEX會清理儲存在註冊表中的設定，並改變惡意軟體副本的位置。

DRIDEX可以輕易地透過惡意電子郵件附件檔散播，通常是包含巨集的Microsoft Office文件。使用巨集可看作是提高攻擊成功機會的方式。巨集常被用在自動化和互動文件中。該功能通常預設關閉，但如果它在攻擊前就已經啟用，就可以直接進行攻擊。否則，攻擊者必須利用強大的社交工程（social engineering ）來說服使用者啟用該功能。此外，我們發現巨集程式碼中會包含垃圾和無用程式碼。造成偵測上更多的挑戰。

繼續閱讀