DRIDEX - 資安趨勢部落格

專門盜取網路銀行資訊的DRIDEX 殭屍網路為何無法斬草除根?

2016 年 04 月 21 日2016 年 04 月 21 日趨勢科技 TrendMicro

網路犯罪破獲行動有時不一定能徹底瓦解網路犯罪集團的營運。2014 年， ZeroAccess 的破獲行動，減少了該「Botnet傀儡殭屍網路」所造成的點閱詐騙案例，但過沒多久，其感染數量就又開始暴增。專門用來竊取銀行密碼的DRIDEX 殭屍網路也出現類似的情況，儘管警方在 2015 年 10 月查獲了它多個幕後操縱 (C&C) 伺服器，但它至今仍是企業的一大威脅。我們也觀察到了這樣的趨勢，並且在去年的年度資安總評報告當中加以探討。

DRIDEX 往往是透過受感染的Word和Excel文件檔作為附件發送網路釣魚信件，誘使受害人使用巨集查看這些內容。一旦用戶執行被感染的檔案，感染系統將成為殭屍網路一環,它可以竊取個人訊息和網路銀行帳戶密碼等資料,再偷偷轉出被害用戶的金錢。

DRIDEX 之所以無法斬草除根，主要有兩大原因：第一，其殭屍網路的派送機制效率很高，因此擁有廣大的受害者；第二，其不易斬草除根的點對點 (P2P) 網路基礎架構，讓它很快就能恢復營運。除此之外，根據我們推測，DRIDEX 目前也在網路犯罪地下市場上兜售，因此還有其他網路犯罪集團和駭客也會利用此殭屍網路來從事不法行動。繼續閱讀

從勒索軟體 Locky 加速散播,看巨集惡意軟體新伎倆

2016 年 04 月 06 日2016 年 04 月 07 日趨勢科技 TrendMicro

巨集惡意軟體使用新手法，利用表單儲存程式碼

巨集惡意軟體會捲土重來並持續流行可能有幾個原因，其中之一是它們繞過傳統防惡意軟體解決方案及沙箱技術的能力。另一個原因是它們會不斷地改善攻擊方式：就在最近，我們看到相關巨集惡意軟體及最新的 Locky勒索軟體會用巨集內的表單物件來混淆惡意程式碼。這種做法可以進一步地讓攻擊者得以隱藏在目標網路或系統內執行的惡意活動。

編按:勒索軟體 Locky 近日在台灣有加速散播的趨勢,它利用使用者對 Microsoft Word 檔比較沒有防備的心態，造成不少台灣民眾檔案被綁架。如果你近日接到一封看似發票的信件主旨:ATTN: Invoice J-98223146 ,請當心不要任意開啟其所附的 Word 檔

PC-cillin 2016雲端版已有增加對勒索軟體 Ransomware加密行為的防護機制，可預防檔案被勒索軟體惡意加密

趨勢科技PC-cillin雲端版，榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦，採用全球獨家趨勢科技「主動式雲端截毒技術」，以領先業界平均 50 倍的速度防禦惡意威脅！即刻免費下載

使用表單（就像應用程式介面的文字方塊），攻擊者會用巨集表內的腳本來產生並執行惡意程式。跟之前的巨集惡意軟體一樣，這也需要使用者手動啟用巨集以觸發執行。但這種新做法需要能夠存取儲存在表單中的shellcode。雖然這種做法被認為比典型技術更困難，但並不一定會影響其安裝。

繼續閱讀

惡名昭彰的網路銀行惡意程式-DRIDEX,尚未出局

2015 年 11 月 04 日2015 年 11 月 26 日趨勢科技 TrendMicro

今年 10 月 13 日，美國和英國執法單位對惡名昭彰的 DRIDEX殭屍網路採取行動，希望能終止這項知名的網路銀行威脅。美國賓夕法尼亞州西區律師 David J. Hickton 稱這次的行動為「技術性中斷及打擊全世界最惡劣的惡意程式威脅之一。」
【延伸閱讀】FBI和趨勢科技合作,讓銀行惡意軟體 DRIDEX 停擺

英國國家打擊犯罪局 (National Crime Agency，簡稱 NCA) 則稱此行動為「一項針對 Dridex 各版本及其幕後集團永久、持續的打擊行動，這些集團都躲藏在世界上難以發現的角落。」

雖然這項行動已經將 DRIDEX 擊倒，這離消滅它還很遠。在 DRIDEX 遭到破獲之後，趨勢科技估計受害使用者的數量已經降到破獲之前的 24%。這是根據 DRIDEX 感染數量在破獲前一星期和破獲後一星期的比較結果。

在深入觀察這項數據之後，我們發現受害者的分布情況也出現些許變化。尤其，美國的受害者數量大幅下降，從原本的將近 30% 降至不到 14%。

圖 1：受害者分布 (破獲前)台灣也列入其中 繼續閱讀

FBI和趨勢科技合作,讓銀行惡意軟體 DRIDEX 停擺

2015 年 10 月 27 日2015 年 10 月 15 日趨勢科技 TrendMicro

跟著英國國家打擊犯罪調查局（NCA）的腳步,多個DRIDEX「Botnet傀儡殭屍網路」所使用的命令與控制（C&C）伺服器已經被美國聯邦調查局（FBI）關閉。

美國執法官員取得法庭命令沒收DRIDEX所使用的多台伺服器。打擊了惡意軟體的C&C網路，其被惡意軟體用來將竊得的資料發送給網路犯罪分子，並且下載包含目標銀行清單的設定檔案。此外，也已經起訴了Andrey Ghinkul（別名Andrey Ghincul和Smilex），「Botnet傀儡殭屍網路」在摩爾多瓦的管理者。

破獲網路犯罪並不是件小事。追查並關閉網路犯罪活動需要研究人員與執法機構的不斷合作，各自貢獻自己的專業知識。破獲銀行惡意軟體DRIDEX所用的命令和控制（C&C）網路是這團隊合作成功的最新例證。

什麼讓 DRIDEX與眾不同？

DRIDEX在這過去一年漸漸打響名號，一直被視為是 Gameover ZeuS（GoZ）惡意軟體的後繼者。它在威脅環境的普及可以歸因於它的商業模式、P2P（點對點網路）架構及獨特的行為。

不同於其他惡意軟體，DRIDEX運用BaaS（殭屍網路即服務）商業模式。它運行數個「Botnet傀儡殭屍網路」，每個都以編號標識，並且每個都對應一組特定的目標銀行。趨勢科技的調查顯示其目標銀行大多來自美國和歐洲（特別是羅馬尼亞、法國和英國）。從過去三個月內趨勢科技主動式雲端截毒服務 Smart Protection Network所提供的反饋資料顯示，美國和英國受DRIDEX感染的使用者占全部的35%以上,台灣也列入受害名單。

DRIDEX的P2P架構是GoZ架構的改進版本。從GoZ被關閉事件中學習，DRIDEX開發者在其架構中在命令與控制（C&C）伺服器前多加了一層。

除此之外，DRIDEX還會除去或隱藏其在系統中的痕跡。跟ZBOT的Chthonic變種類似，它使用一種隱形持久性技術，會在系統關閉前寫入自動啟動註冊碼，並在系統啟動後刪除自動啟動註冊碼。然而，只有DRIDEX會清理儲存在註冊表中的設定，並改變惡意軟體副本的位置。

DRIDEX可以輕易地透過惡意電子郵件附件檔散播，通常是包含巨集的Microsoft Office文件。使用巨集可看作是提高攻擊成功機會的方式。巨集常被用在自動化和互動文件中。該功能通常預設關閉，但如果它在攻擊前就已經啟用，就可以直接進行攻擊。否則，攻擊者必須利用強大的社交工程（social engineering ）來說服使用者啟用該功能。此外，我們發現巨集程式碼中會包含垃圾和無用程式碼。造成偵測上更多的挑戰。

繼續閱讀