Анализ нового загрузчика банковского трояна Dridex
Мы в СМИ
17 Июн 2015
![bankovskiy-troyan-1.jpg bankovskiy-troyan-1.jpg](/upload/medialibrary/291/291b322d98a841c3dfc14e325f0936a7.jpg)
Банковский троян Dridex, потомок более раннего вируса Cridex, обратил на себя внимание специалистов по информационной безопасности еще в октябре 2014 года. От сотен своих собратьев Dridex отличался использованием порядком подзабытого механизма распространения с помощью макросов Microsoft Word (в некоторых версиях вируса — MS Excel). Длившаяся несколько месяцев эпидемия с десятками тысяч машин, заражаемых каждый день, схлынула, но сам вирус не исчез. С первых чисел мая 2015 года система Threat-Intelligence компании «Перспективный мониторинг» отслеживала эволюцию нового загрузчика Dridex, предположительно созданного в нашей стране.
Оригинальный вирус
Архитектурно Dridex представляет собой два независимых компонента — загрузчик (Trojan-Downloader) и тело вируса (exe-файл). При этом загрузчик хоть и запомнился в связи с распространением именно Dridex, на самом деле может использоваться для скрытой загрузки любого вредоносного контента (модель malware-as-a-service).
Схема заражения вирусом Dridex такова:
- На первом этапе используется социальная инженерия, а именно рассылка фишинговых писем от имени крупных финансовых корпораций Великобритании (под удар Dridex в 2014 году попали преимущественно граждане этой страны, а также, в зависимости от версии вируса, Канады, США и Чехии). «Возврат повторного платежа», «Подтверждение транзакции», «Заказ принят» — тематика писем так и подталкивает получателя ознакомиться с информацией, которая, по уверению отправителя, содержится во вложенном doc-файле.
- После скачивания и открытия документа жертва сталкивается с сообщением, что для корректного отображения сведений требуется включение макросов (по умолчанию в MS Office они отключены).
![bankovskiy-troyan-2-2.png bankovskiy-troyan-2-2.png](/upload/medialibrary/e4f/e4f5914b6ed571a2e2dd55005b0a72ca.png)
Рисунок 1. Вложенный в фишинговое письмо документ
3. Обфусцированный VBA-код, запускаемый после включения макросов, скачивает тело вируса с прописанного в нем адреса компьютера-зомби.
4. Загруженный и запущенный exe-файл крадет учетные данные аккаунтов онлайн-банкинга с компьютера жертвы.
Новый загрузчик
Так работал Dridex в 2014 году, но со временем даже самые неторопливые разработчики антивирусов к 2015-му написали сигнатуры, успешно отлавливающие как тело вируса, так и его «первую ступень». По-видимому, число заражаемых в день машин упало ниже какой-то критической отметки, и авторы Dridex решили сменить загрузчик.
Что делает новый trojan-downloader Dridex?
Шаги 1 и 2 его работы остались неизменны, а вот дальше картина становится несколько иной:
3. Запущенный макрос заходит по прописанной в своем коде ссылке на pastebin.com (сервис, позволяющий анонимно загружать отрывки текста, обычно фрагменты исходного кода, для всеобщего доступа), откуда копирует текст второго макроса и запускает его.
4. Второй макрос открывает изображение с savepic.ru (в зависимости от версии макроса .net или .org).
![bankovskiy-troyan-3.jpg bankovskiy-troyan-3.jpg](/upload/medialibrary/c1e/c1e822a8b425d4ddd88019809aadf256.jpg)
Рисунок 2. Открываемое первой версией загрузчика изображение
5. Далее макрос так же, как и ранее, подключается к компьютеру-зомби и скачивает с него exe-файл с телом вируса.
6. На этом работа макроса не заканчивается. Он запускает экзешник, и, если запуск проходит успешно (вирус появляется в списке процессов), загружает с savepic вторую картинку.
![bankovskiy-troyan-4.jpg bankovskiy-troyan-4.jpg](/upload/medialibrary/7ac/7ac54e4f66ea1762e7399c347d8073e1.jpg)
Рисунок 3. Изображение, открываемое загрузчиком после успешного запуска вируса
7. Далее Dridex опять же подключается к командным серверам и делает свое черное дело.
![bankovskiy-troyan-5.png bankovskiy-troyan-5.png](/upload/medialibrary/f41/f413c673371a1e0cb1b61a4bf7ee3255.png)
Рисунок 4. Общая схема заражения вирусом Dridex
Новый загрузчик Dridex имеет две ключевые особенности: использование анонимных сервисов и нетривиальную причину, по которой он загружает изображения с savepic.
Зачем (конечно, кроме как шутки ради) в загрузчике используются картинки, понятно из статистики каждой картинки на savepic.
![bankovskiy-troyan-6.png bankovskiy-troyan-6.png](/upload/medialibrary/706/7068743083c29f59a6228fbfd1d37507.png)
Рисунок 5. Сервисная страница изображения
Каждая такая страница содержит счетчик, причем бесплатный и анонимный, что делает его особенно удобным для сбора статистики по заражению (первый счетчик показывает, сколько пользователей запустило макрос, второй — сколько машин в конечном счете было заражено). Или, если предположить, что загрузчик используется в соответствии с моделью malware-as-a-service, счетчик отлично подходит для информирования заказчика, за сколько зараженных машин тому придется заплатить.
Макрос
Первая версия VB-скрипта от 30 апреля была очень проста. Видно, что авторы лишь пробовали свои силы. В ней не использовались даже счетчики на savepic.
Как выглядела первая версия VB-скрипта после деобфускации:
![kod1-2.png kod1-2.png](/upload/medialibrary/08a/08a2b64dffdcc786fe719085755b7ed0.png)
Последняя на момент написания статьи версия (от 3 июня):
![kod2-3.png kod2-3.png](/upload/medialibrary/13a/13ac7f47b1b1ef9121267da61a3d5b18.png)
![kod3-2.png kod3-2.png](/upload/medialibrary/08a/08ab7050eb077e680bbce20430dab6d0.png)
То есть:
- Программа скачивает файл трояна с http://95.47.161.88/ и сохраняет его на диск.
- Увеличивает счетчик № 1 (http://savepic.ru/7167468.png).
- Запускает скачанный файл и проверяет, что процесс находится в памяти.
- В случае успеха загрузчик увеличивает второй счетчик (http://savepic.ru/7193071.png). Троян успешно запущен.
- В последних версиях загрузчика, к сожалению, используются уже не столь забавные картинки.
Аналитическая система АО «ПМ» впервые столкнулась с образцом новой версии загрузчика Dridex 30 апреля и на момент написания статьи получила из доступных в интернете источников данных 168 образцов вируса. В течение этого времени загружаемый с pastebin.com скрипт менялся 12 раз.
![bankovskiy-troyan-7.png bankovskiy-troyan-7.png](/upload/medialibrary/0b6/0b61c9db9f596bc15ee66b7a327ec907.png)
Рисунок 6. Список образцов загрузчика Dridex в системе Threat-Intelligence АО «ПМ»
![bankovskiy-troyan-8.png bankovskiy-troyan-8.png](/upload/medialibrary/cbb/cbbd78fdb9c267b56b7e6a35a636e21a.png)
Рисунок 7. Сводная информация об одном конкретном образце
![bankovskiy-troyan-9.png bankovskiy-troyan-9.png](/upload/medialibrary/53d/53d0e7dc457ee739280f25f04ed1f71a.png)
Рисунок 8. Фрагмент характерного трафика, порождаемого данным образцом
Как мы видим, в нем легко выделить загрузку VB-кода с pastebin.com и загрузку изображений.
![bankovskiy-troyan-10.jpg bankovskiy-troyan-10.jpg](/upload/medialibrary/812/8127e0fe6e8feb324ee9c62020588071.jpg)
Рисунок 9. Использовавшиеся для загрузки трояна серверы-зомби
![bankovskiy-troyan-11.jpg bankovskiy-troyan-11.jpg](/upload/medialibrary/744/744068a6f8a6098be4579b60130975ca.jpg)
Рисунок 10. Командные серверы, к которым пытался подключиться exe-файл Dridex
![bankovskiy-troyan-12.jpg bankovskiy-troyan-12.jpg](/upload/medialibrary/361/36125dcf26b6eda513f57febae7bab89.jpg)
Рисунок 11. Командные серверы, подключение к которым прошло успешно
Заключение
Новая эпидемия сопровождается в среднем 10-15 тысячами заражений в день, что очень хорошо показывает, насколько эффективным оказался новый Trojan-Downloader и насколько плохо смогли противостоять ему современные антивирусы, IDS и IPS.
По ссылкам ниже можно посмотреть, как документы MS Word с исследуемым загрузчиком различных версий определялись антивирусами:
www.virustotal.com/ru/file/a020f63e81347f4994e5ac433ae2110193a6da3b5f7c1926330bb643676fe77f/analysis... www.virustotal.com/ru/file/04dedc6d3ad608a935618d54cb04bc8e7d4ee7ca08c38cd408133a61327991cb/analysis... www.virustotal.com/ru/file/eb6359d689674a55bed1747f0f204731fae10997554f6bd0d72cd01dc3da00d1/analysis... www.virustotal.com/ru/file/96019071ca68bcf77f39bf0587d64f22d0d7d0c0601f295129f44f04998b3565/analysis...
Рисунок 12. Неутешительный результат сканирования одного из заражённых документов 57 различными антивирусами
С целью защиты от этого загрузчика и ему подобных нашими специалистами был сформирован набор сигнатур для используемого в «Перспективном мониторинге» ViPNet IDS, который теперь однозначно определяет любую его версию как AM TROJAN W97M.Downloader VB Obfuscated Script Download from Pastebin.com.
Но, впрочем, как и на любой войне, нападение здесь опережает защиту, и каждый день вирусописатели придумывают новые и новые не детектируемые пока вредоносы.
А до окончания Dridex-эпидемии, по-видимому, еще далеко. Судя по данным счетчиков, только за один день, 8 июня, макрос загрузчика был запущен 53657 раз, успешно заразив 44102 машины.
![bankovskiy-troyan-13.png bankovskiy-troyan-13.png](/upload/medialibrary/40d/40dd68479f83465e325253831151244b.png)
Рисунок 13. Первый счетчик — http://savepic.ru/7237013m.htm
![bankovskiy-troyan-14-2.png bankovskiy-troyan-14-2.png](/upload/medialibrary/805/805f89cf5c0dd89aba593f52860f3f92.png)
Рисунок 14. Второй счетчик — http://savepic.ru/7234965m.htm
Похоже, самое интересное еще ждет нас впереди.
Автор: Максим Авдюнин
Источник на Anti-Malware.ru
Другие публикации
Все публикации
Мы в СМИ
23 Июл 2024
Разбираемся с MavenGate. Настолько ли он страшен на самом деле
Мы в СМИ
01 Июл 2024
«Мифы и заблуждения в информационной безопасности»: что обсудили эксперты на IT IS conf – 2024
Мы в СМИ
01 Июл 2024
Обзор российского рынка СКЗ элементов интеллектуальных систем учёта электроэнергии (ИСУЭ)
Мы в СМИ
26 Июн 2024
Отечественная ИБ-отрасль входит в новую эру