Skip to main content

FBI和趨勢科技合作,讓銀行惡意軟體 DRIDEX 停擺

 

跟著英國國家打擊犯罪調查局(NCA)的腳步,多個DRIDEX「Botnet傀儡殭屍網路」所使用的命令與控制(C&C)伺服器已經被美國聯邦調查局(FBI)關閉。

美國執法官員取得法庭命令沒收DRIDEX所使用的多台伺服器。打擊了惡意軟體的C&C網路,其被惡意軟體用來將竊得的資料發送給網路犯罪分子,並且下載包含目標銀行清單的設定檔案。此外,也已經起訴了Andrey Ghinkul(別名Andrey Ghincul和Smilex),「Botnet傀儡殭屍網路」在摩爾多瓦的管理者。

破獲網路犯罪並不是件小事。追查並關閉網路犯罪活動需要研究人員與執法機構的不斷合作,各自貢獻自己的專業知識。破獲銀行惡意軟體DRIDEX所用的命令和控制(C&C)網路是這團隊合作成功的最新例證。

 

什麼讓 DRIDEX與眾不同?

DRIDEX在這過去一年漸漸打響名號,一直被視為是 Gameover ZeuS(GoZ)惡意軟體的後繼者。它在威脅環境的普及可以歸因於它的商業模式、P2P(點對點網路)架構及獨特的行為。

不同於其他惡意軟體,DRIDEX運用BaaS(殭屍網路即服務)商業模式。它運行數個「Botnet傀儡殭屍網路」,每個都以編號標識,並且每個都對應一組特定的目標銀行。趨勢科技的調查顯示其目標銀行大多來自美國和歐洲(特別是羅馬尼亞、法國和英國)。從過去三個月內趨勢科技主動式雲端截毒服務  Smart Protection Network所提供的反饋資料顯示,美國和英國受DRIDEX感染的使用者占全部的35%以上,台灣也列入受害名單。

 

圖1、分析受影響的國家,資料來自2015年7月到10月1日

 

DRIDEX的P2P架構是GoZ架構的改進版本。從GoZ被關閉事件中學習,DRIDEX開發者在其架構中在命令與控制(C&C)伺服器前多加了一層。

除此之外,DRIDEX還會除去或隱藏其在系統中的痕跡。跟ZBOT的Chthonic變種類似,它使用一種隱形持久性技術,會在系統關閉前寫入自動啟動註冊碼,並在系統啟動後刪除自動啟動註冊碼。然而,只有DRIDEX會清理儲存在註冊表中的設定,並改變惡意軟體副本的位置。

DRIDEX可以輕易地透過惡意電子郵件附件檔散播,通常是包含巨集的Microsoft Office文件。使用巨集可看作是提高攻擊成功機會的方式。巨集常被用在自動化和互動文件中。該功能通常預設關閉,但如果它在攻擊前就已經啟用,就可以直接進行攻擊。否則,攻擊者必須利用強大的社交工程(social engineering )來說服使用者啟用該功能。此外,我們發現巨集程式碼中會包含垃圾和無用程式碼。造成偵測上更多的挑戰。

DRIDEX惡意軟體做了什麼?

DRIDEX是自2014年7月開始就一直危害著使用者的網路銀行惡意軟體。自那時候起,它就一直是我們每季威脅綜合報告內的常客,經常出現在最常見網路銀行惡意軟體家族列表中。DRIDEX知名的是會在使用者連上目標銀行網站時竊取登錄憑證。它可以透過螢幕截圖或是擷取欄位內的資料以竊取資訊。一個DRIDEX顯著的資料竊取行為是利用HTML注入,將惡意程式碼注入某些網頁。一旦使用者輸入登錄憑證到被變動過的網頁時,該資料就會被送給網路犯罪分子。

竊取登錄憑證和其他個人資料只是故事的一半。偷來的資料可以在地下市場賣給網路犯罪分子。從受害者帳戶偷來的錢也可以用來資助更多網路犯罪活動。

 

你要怎麼解決DRIDEX問題?

關閉C&C伺服器可以阻止DRIDEX進行惡意活動,但要完整清除仍需使用者確保DRIDEX已經從系統中刪除。

趨勢科技主動式雲端截毒服務  Smart Protection Network來保護使用者免於DRIDEX所害。我們的網頁信譽評比服務會追踪網域可信度和安全性,阻止對惡意網址的存取。電子郵件信譽評比服務會掃描電子郵件並封鎖包含垃圾郵件和惡意內容的郵件,包括連結和附件檔。同時,我們的檔案信譽評比服務會比對我們的資料庫來檢查檔案信譽,並標誌那些含有惡意和可疑行為的檔案。

趨勢科技的產品已經可以偵測我們所收集到的所有DRIDEX惡意軟體樣本。我們發現DRIDEX可執行在32位元和64位元系統上。會以各種病毒名稱被偵測,如:

 

  • BKDR_DRIDEX
  • TROJ_DRIDEX
  • TSPY_DRIDEX
  • TSPY64_DRIDEX

 

和執法單位合作是趨勢科技策略的關鍵部分,以幫助消除全球的網路犯罪活動。這只是我們最新一次成功地和執法單位合作的例子;今年早些時候,我們協助提供資訊去剷除SIMDA殭屍網路。這些成功都讓我們以更大的決心前進,並幫助剷除更多的犯罪網路,讓網路成為更加安全的地方。

 

 

@原文出處:FBI, Security Vendors Partner for DRIDEX Takedown
想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚

《提醒》在粉絲頁橫幅,讚的右邊三角形選擇接收通知新增到興趣主題清單,重要通知與好康不漏接

想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚

《提醒》在粉絲頁橫幅,讚的右邊三角形選擇接收通知新增到興趣主題清單,重要通知與好康不漏接
推薦】防毒軟體大評比: 惡意程式防禦力 PC- cillin雲端版榮獲第一名!
【推薦】PC-cillin 雲端版 榮獲世界著名防毒評鑑機構高度評比

防毒軟體推薦免費下載,中毒了嗎?趕緊掃毒! Av test 防毒軟體評比排名第一,趨勢科技 PC-cillin 2015雲端版

趨勢科技PC-cillin雲端版 ,榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載

FB_banner0331-2

◎ 歡迎加入趨勢科技社群網站