文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

Dridex和Emotet基础架构的相似之处

2024-12-03 12:04

关注

[[379224]]

今年银行木马Dridex首次跻身十大恶意软件排行榜,成为第三大常见的恶意软件。EMOTET银行木马自2014年以来,一直活跃至今,目前已经成为最具有影响力的恶意软件家族之一。该木马通常是通过垃圾邮件传播,已经迭代出很多个版本。在早期通过恶意的JavaScript脚本进行投递,后来转为通过含有恶意宏代码的文档下载进行传播。亚信安全曾多次对该木马进行过披露,截至当前,该木马的基础设施仍然在不断更新。

在此文中,我们将解释我们的威胁检测分析师如何使用从全球互联网基础设施捕获的netflow数据来发现之前未被研究的Dridex运营商使用的分层网络方法,以及它与Emotet基础设施的意外重叠。

威胁检测分析师发现,Emotet C2服务器正在通过端口TCP / 38400与IP 179.43.147.77重复通信。这是迄今为止我们所看到的Emotet网络基础架构行为中的一个异常。

针对这种异常,我们的威胁检测小组进行了调查,以试图确定179.43.147.77的目的和行为。

在对全球互联网基础设施中收集的网络流进行长期监视和分析期间,我们观察到多个恶意软件家族通过同一端口TCP / 38400与IP通信。我们的观察结果如下图所示:

在数量上,我们观察到通过TCP/38400与179.43.147.77对话的数量:

对可用开源情报(OSINT)的分析显示,TA505组织在2019-06-20已使用179.43.147.77来传播恶意软件FlawedAmmyy1 2 3。该IP所属的托管公司,Private Layer Inc,是一家离岸托管公司,被观察到在过去被威胁行动者利用。

179.43.147.77的目的是什么?它仍然由TA505管理吗?

探索与TA505的连接

鉴于FlawedAmmyy于2019.6.2发布于179.43.147.77,已对TA505是否仍在管理该服务器进行了调查。由于Shodan每月至少执行一次互联网范围的扫描,因此根据历史扫描数据在当前时间范围2019.6.2-20197.20中设置了当前使用的SSH密钥:

如果将新的SSH密钥设置为2019.6.2的情况,则表明传播TA505绑定的FlawedAmmy示例的同一操作员也在操作通过端口38400连接的命令和控制服务器的管理。

Dridex已由TA5055传播和使用,从而加强了连接。

与此理论相反的是,TA505与Emotet组没有已知的联系,这就引出了一个问题,即他们为什么要管理Emotet C2服务器。

此外,除了Dridex之外,TA505使用的恶意软件家族都没有与179.43.147.77进行过通信,从而使连接更加脆弱。

根据这些观察结果,我们认为179.43.147.77的运算符在FlawedAmmy发行后发生了变化。

179.43.147.77的用例

179.43.147.77背后用例的核心是知道何时连接服务器变为活动C2服务器。如果它们最初在一段时间内连接到179.43.147.77,然后停止通信并变为活动的C2节点,则可能表明179.43.147.77的运营商移交或出售了对这些服务器的访问权。

另一方面,如果在服务器处于活动的C2时服务器与179.43.147.77之间的通信正在进行,则表明179.43.147.77与Emotet和Dridex背后的组织有更紧密的联系。

我们不认为179.43.147.77背后的操作员与Emotet和Dridex背后的组织巧合地入侵了同一服务器,因为指向179.43.147.77的接入连接几乎完全是Emotet和Dridex C2服务器,也就是说,受控服务器中的非随机性。

Dridex C2活动时间表

时间线显示,大多数IP在与179.43.147.77通信时都充当C2,这降低了操作员179.43.147.77仅将受管服务器的访问切换到其他参与者的可能性。

Emotet Epoch 2活动时间表

对Emotet Epoch 2 C2进行相同的分析显示出一些不确定的行为:

似乎他们在成为Emotet C2之后或同时开始主动与179.43.147.77通信,由于用于时间轴分析的可用netflow捕获太少,因此从图中排除了五个监测点参差不齐的C2。NetFlow是一种网络监测功能,可以收集进入及离开网络界面的IP封包的数量及资讯,最早由思科公司研发,应用在路由器及交换器等产品上。

总结

威胁检测分析师得出的结论是,从2019年12月下旬开始,179.43.147.77的运营商与目前使用Dridex恶意软件的组织有密切联系,并且一直持续到今天。攻击者面临着基础架构的崩溃,并且似乎需要持久性和集中控制。

本文翻译自:https://hello.global.ntt/en-us/insights/blog/dridex-and-emotet-infrastructure-overlaps

 

来源:嘶吼网内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯