今年银行木马Dridex首次跻身十大恶意软件排行榜,成为第三大常见的恶意软件。EMOTET银行木马自2014年以来,一直活跃至今,目前已经成为最具有影响力的恶意软件家族之一。该木马通常是通过垃圾邮件传播,已经迭代出很多个版本。在早期通过恶意的JavaScript脚本进行投递,后来转为通过含有恶意宏代码的文档下载进行传播。亚信安全曾多次对该木马进行过披露,截至当前,该木马的基础设施仍然在不断更新。
在此文中,我们将解释我们的威胁检测分析师如何使用从全球互联网基础设施捕获的netflow数据来发现之前未被研究的Dridex运营商使用的分层网络方法,以及它与Emotet基础设施的意外重叠。
威胁检测分析师发现,Emotet C2服务器正在通过端口TCP / 38400与IP 179.43.147.77重复通信。这是迄今为止我们所看到的Emotet网络基础架构行为中的一个异常。
针对这种异常,我们的威胁检测小组进行了调查,以试图确定179.43.147.77的目的和行为。
在对全球互联网基础设施中收集的网络流进行长期监视和分析期间,我们观察到多个恶意软件家族通过同一端口TCP / 38400与IP通信。我们的观察结果如下图所示:
在数量上,我们观察到通过TCP/38400与179.43.147.77对话的数量:
- 10个Emotet时代2个C2;
- 4个Emotet时代3个C2;
- 7个Dridex C2。
对可用开源情报(OSINT)的分析显示,TA505组织在2019-06-20已使用179.43.147.77来传播恶意软件FlawedAmmyy1 2 3。该IP所属的托管公司,Private Layer Inc,是一家离岸托管公司,被观察到在过去被威胁行动者利用。
179.43.147.77的目的是什么?它仍然由TA505管理吗?
探索与TA505的连接
鉴于FlawedAmmyy于2019.6.2发布于179.43.147.77,已对TA505是否仍在管理该服务器进行了调查。由于Shodan每月至少执行一次互联网范围的扫描,因此根据历史扫描数据在当前时间范围2019.6.2-20197.20中设置了当前使用的SSH密钥:
如果将新的SSH密钥设置为2019.6.2的情况,则表明传播TA505绑定的FlawedAmmy示例的同一操作员也在操作通过端口38400连接的命令和控制服务器的管理。
Dridex已由TA5055传播和使用,从而加强了连接。
与此理论相反的是,TA505与Emotet组没有已知的联系,这就引出了一个问题,即他们为什么要管理Emotet C2服务器。
此外,除了Dridex之外,TA505使用的恶意软件家族都没有与179.43.147.77进行过通信,从而使连接更加脆弱。
根据这些观察结果,我们认为179.43.147.77的运算符在FlawedAmmy发行后发生了变化。
179.43.147.77的用例
179.43.147.77背后用例的核心是知道何时连接服务器变为活动C2服务器。如果它们最初在一段时间内连接到179.43.147.77,然后停止通信并变为活动的C2节点,则可能表明179.43.147.77的运营商移交或出售了对这些服务器的访问权。
另一方面,如果在服务器处于活动的C2时服务器与179.43.147.77之间的通信正在进行,则表明179.43.147.77与Emotet和Dridex背后的组织有更紧密的联系。
我们不认为179.43.147.77背后的操作员与Emotet和Dridex背后的组织巧合地入侵了同一服务器,因为指向179.43.147.77的接入连接几乎完全是Emotet和Dridex C2服务器,也就是说,受控服务器中的非随机性。
Dridex C2活动时间表
时间线显示,大多数IP在与179.43.147.77通信时都充当C2,这降低了操作员179.43.147.77仅将受管服务器的访问切换到其他参与者的可能性。
Emotet Epoch 2活动时间表
对Emotet Epoch 2 C2进行相同的分析显示出一些不确定的行为:
似乎他们在成为Emotet C2之后或同时开始主动与179.43.147.77通信,由于用于时间轴分析的可用netflow捕获太少,因此从图中排除了五个监测点参差不齐的C2。NetFlow是一种网络监测功能,可以收集进入及离开网络界面的IP封包的数量及资讯,最早由思科公司研发,应用在路由器及交换器等产品上。
总结
威胁检测分析师得出的结论是,从2019年12月下旬开始,179.43.147.77的运营商与目前使用Dridex恶意软件的组织有密切联系,并且一直持续到今天。攻击者面临着基础架构的崩溃,并且似乎需要持久性和集中控制。
本文翻译自:https://hello.global.ntt/en-us/insights/blog/dridex-and-emotet-infrastructure-overlaps