自2011年被发现以来,Dridex银行木马已经成为最流行的银行木马家族。仅在2015年,Dridex就造成了超过4000万美元的损失,并且与其他银行木马家族不同的是,它一直在进化并变得更加复杂。Dridex是一种针对Windows平台的复杂银行恶意软件,它可以通过垃圾邮件活动感染计算机并窃取银行凭证和其他个人信息以进行欺诈性汇款。该恶意软件在过去十年中得到系统更新和开发。最新的Dridex已经更新并通过多个垃圾邮件活动广泛传播,用于下载有针对性的勒索软件。今年,银行木马Dridex首次闯入恶意软件排行榜前10名,成为第三大常见恶意软件。EMOTET银行木马自2014年开始活跃,已成为最有影响力的恶意软件家族之一。该木马一般通过垃圾邮件传播,迭代出多个版本。早期通过恶意JavaScript脚本传递,后期转为下载含有恶意宏代码的文件。趋势科技已多次披露木马程序。截至目前,木马的基础设施仍在更新中。在本文中,我们解释了我们的威胁检测分析师如何使用从全球互联网基础设施捕获的netflow数据来揭示Dridex运营商使用的以前未研究的分层网络方法及其与Emotet基础设施的意外重叠。威胁检测分析师发现,EmotetC2服务器通过端口TCP/38400反复与IP179.43.147.77通信。这是我们目前看到的Emotet网络基础设施行为的异常。针对此异常,我们的威胁检测团队进行了调查,试图确定179.43.147.77的目的和行为。在对全球互联网基础设施中收集的网络流量进行长期监控和分析的过程中,我们观察到多个恶意软件家族通过同一端口TCP/38400与IP通信。我们的观察如下图所示:在数字方面,我们观察到TCP/38400上与179.43.147.77的对话数量:10个Emotetepochs,2个C2s;4个Emotet时代,3个C2;7个DridexC2。对可用开源情报(OSINT)的分析表明,TA505组织已于2019-06-20使用179.43.147.77传播恶意软件FlawedAmmyy123。IP所属的托管公司PrivateLayerInc是一家离岸托管公司,过去曾被观察到被威胁行为者利用。179.43.147.77的用途是什么?还是由TA505管理?探索与TA505的连接鉴于FlawedAmmyy在2019.6.2179.43.147.77发帖,已对TA505是否仍在管理此服务器进行了调查。由于Shodan每月至少进行一次全网扫描,根据历史扫描数据,当前使用的SSH密钥设置在当前时间范围2019.6.2-20197.20:如果新的SSH密钥设置为2019.6.2,则表明传播绑定TA505的FlawedAmmy实例的同一运营商也在管理通过端口38400连接的命令和控制服务器。Dridex已被TA5055传播和使用,从而加强了连接。与这一理论相反,TA505与Emotet组织没有已知联系,这就引出了他们为何管理EmotetC2服务器的问题。此外,除了Dridex之外,TA505使用的恶意软件家族均未与179.43.147.77通信,这使得连接更加脆弱。基于这些观察,我们认为179.43.147.77的运营商在FlawedAmmy发布后发生了变化。179.43.147.77的用例179.43.147.77背后用例的核心是知道连接服务器何时成为活动的C2服务器。如果他们最初连接到179.43.147.77一段时间,然后停止通信并成为活跃的C2节点,则可能表明179.43.147.77的运营商移交或出售了对这些服务器的访问权限。另一方面,如果服务器与179.43.147.77之间的通信在服务器处于活动C2时正在进行,则表明179.43.147.77与Emotet和Dridex背后的组织有更紧密的联系。我们不认为179.43.147.77背后的运营商巧合地破坏了与Emotet和Dridex背后的组织相同的服务器,因为到179.43.147.77的传入连接几乎完全是Emotet和DridexC2服务器,也就是说,在受控服务器中非随机性.DridexC2活动时间线时间线显示,大多数IP在与179.43.147.77通信时充当C2,这降低了操作员179.43.147.77只是将对托管服务器的访问权切换到其他参与者的可能性。EmotetEpoch2活动时间线对EmotetEpoch2C2的相同分析显示了一些不确定的行为:似乎他们在成为EmotetC2之后或同时开始积极地与179.43.147.77通信,因为时间线分析可用的网络流捕获太多很少,因此具有5个参差不齐的监测点的C2被排除在图中。NetFlow是一种网络监控功能,可以收集进入和离开网络接口的IP数据包的数量和信息。它最早由思科开发,应用于路由器、交换机等产品。总结威胁检测分析师得出结论,从2019年12月下旬开始,179.43.147.77的运营商与目前使用Dridex恶意软件的团体有着密切的联系,并且一直持续到今天。攻击者面临基础设施崩溃,似乎需要持久性和集中控制。本文翻译自:https://hello.global.ntt/en-us/insights/blog/dridex-and-emotet-infrastructure-overlaps
