【安全通告】Dridex银行木马最新变种来袭,可进行欺诈性交易
安全通告
近日,亚信安全网络实验室接到客户反馈DDEI产品拦截多个垃圾邮件,通过对被拦截的垃圾邮件进行深入分析,确认附件是Dridex银行木马最新变种。由此可见,Dridex银行木马近期处于活跃状态。Dridex是目前全球活跃且技术比较先进的银行木马之一,又被称为BUGAT和Cridex,其通常通过垃圾邮件传播,主要目的是窃取受害者网上银行和系统信息,进行欺诈性交易。本文将对该银行木马进行深入分析。
攻击流程
病毒详细分析
Dridex通过邮件附件传播,其伪装成发票通知邮件,附件是Excel文档,该邮件可以被DDEI拦截。
【DDAN检测截图】
使用oletools扫描此文件,我们发现其具有自动运行的宏模块,且会调用ExecuteExcel4Macro运行宏代码。
通过oledump提取宏代码后发现其功能是从Sheet1中获取内容解密后执行,经确认在Sheet1中包含大量文字颜色与背景色一致的Hex编码内容。修改字体颜色后如下:
将其使用7-zip解压后修改vbaProject.bin二进制数据,破坏宏结构后重新打包打开,即可正常查看并调试其宏代码。
经确认此文件宏的功能是提取Sheet1内容后,将其转换为字符形式运行,采用此种方式可以降低其被静态查杀的概率。
之后多次调用VirtualProtect函数修改自身进程数据,将新解密的DLL文件对齐后写入到内存中,完成进程替换的目的,此后的动作实际上是在调用新解密的DLL而非母体文件。
获取DllRegisterServer函数地址并调用。
如下为Kelnel32.GetCommandLineW的调用示例。
值得一提的是其在枚举注册表时,也是在用HASH校检的方式逐级枚举,当前注册表项名HASH匹配之后再枚举下一层注册表子项,此行为也是为了防止安全人员分析使用。
最终此变种会将收集到的所有信息回传至硬编码的服务器中,这4个IP地址在内存中也是加密的,在使用时才会进行解密访问,Dridex重复向它们发送最终的数据包,直到收到HTTP状态为“200OK”的响应数据包为止。
亚信安全产品解决方案
亚信安全病毒码版本16.325.60,云病毒码版本16.325.71,全球码版本16.325.00已经可以检测,请用户及时升级病毒码版本。
亚信安全用户开启OfficeScan的行为监控功能,有效拦截恶意软件运行。
亚信安全沙箱可以及时有效的侦测到已知及未知病毒威胁。
安全建议
建议默认情况下禁止宏运行; 及时更新病毒码版本; 打开系统自动更新,并检测更新进行安装; 不要点击来源不明的邮件以及附件; 不要点击来源不明的邮件中包含的链接; 请到正规网站或者应用商店下载程序; 采用高强度的密码,避免使用弱口令密码,并定期更换密码; 尽量关闭不必要的端口; 尽量关闭不必要的网络共享。
IOCs
