Dridex 恶意软件

Dridex恶意软件（又名Bugat和Cridex）被归类为具有复杂僵尸网络功能的信息窃取程序和特洛伊木马程序，使其成为邪恶公司网络犯罪集团的高利润恶意软件即服务（MaaS）企业。Dridex 僵尸网络的规模使其成为全球威胁环境中最活跃的恶意软件之一。

Dridex 历史悠久，与Emotet 起源相同：两者都起源于多产的银行木马恶意软件 Zeus，Zeus 于 2006 年首次发现，并于 2011 年公开泄露了源代码。2014年，联邦调查局试图摧毁俄罗斯黑客组织 "商业俱乐部 "的行动灰飞烟灭，Dridex的第一个版本与Emtotet同时出现。Dridex 仍在使用 Zeus 的部分源代码，并继承了 Zeus 的做法，将受害者整合成一个全球僵尸僵尸网络。 

全球 Dridex 僵尸网络被分割成多个区块，并出租给邪恶公司的关联公司，后者利用该僵尸网络传播网络钓鱼和恶意垃圾邮件，以扩大僵尸网络并发起勒索软件攻击--通常是通过导入邪恶公司的另一款产品 BitPaymer 勒索软件。邪恶公司的附属公司每月为每个僵尸机器人区块支付固定费用，并将勒索赎金的一半返还给邪恶公司。基于 Dridex 僵尸网络的 MaaS 模式为 Evil Corp 带来了超过 1 亿美元的非法利润，尽管美国司法部和联邦调查局在 2019 年指控两名俄罗斯人涉嫌黑客攻击和银行欺诈，但尽管悬赏 300 万美元，却没有逮捕任何人。

Dridex 的第一阶段攻击通常部署在网络钓鱼和恶意垃圾邮件活动中，这些活动使用受密码保护的 Microsoft Office 文档，其中包含恶意 VBA 宏，但也以其他格式发布。一旦入侵受害者，Dridex 就会利用其模块化设计，根据操作员希望受感染系统执行的任务导入组件。

Dridex 的第二阶段战术包括

• 通过在 Windows 计划任务和 Autorun 注册表键值中注入对其可执行文件的调用来保持持久性 
• 充当垃圾邮件机器人，供攻击者远程操作网络钓鱼和垃圾邮件活动，有效保护攻击者的身份
• 从 100 多个应用程序中窃取和渗出密码和电子邮件数据
• 使用多种不同的网络注入技术感染浏览器，从银行和加密货币网站窃取登录数据、多因素身份验证（MFA）令牌和会话令牌
• 使用各种协议组合来躲避防火墙；通常使用 TCP/HTTP 将其通信掩盖为普通互联网流量，但也使用 UDP 流协议和 Secured Over Credential-Based Kerberos Services (SOCKS) 代理连接
• 安装 VNC 模块以获得远程桌面连接
• 监视功能，如渗入键盘记录和屏幕截图
• 通过清除主引导记录（MBR）使系统瘫痪来攻击恶意软件研究环境

Dridex 最令人印象深刻的能力是其先进的点对点 (P2P) 僵尸网络功能，包括多层次的基础设施和多跳代理链。这种架构很难识别最远端的后端命令和控制（C2）源，因为中间的 C2 前端可以直接与受损的本地主节点通信，而主节点反过来又可以管理本地僵尸机器人群。这种分层基础架构还通过维护本地模块缓存，有效减少了需要通过网络边界的流量。

Dridex 还引入了几种前所未见的技术，例如 AtomBombing，它可以在不使用恶意软件使用的标准 API 调用的情况下，向另一个进程注入并执行代码。相反，AtomBombing 会劫持 Windows "原子表"，即应用程序临时存储功能的内存位置。Dridex 是 AtomBombing 技术的先驱，它能隐蔽地注入命令。

防范 Dridex 需要强大的企业网络安全计划，包括能够检测和阻止新型技术的端点安全。以下是减轻 Dridex 攻击的防御策略：

• 确保 Office 应用程序配置为在无通知的情况下禁用所有宏，或禁用除数字签名宏之外的所有宏设置 
• 特别注意电子邮件客户端和 Office 应用程序中的警告通知，它们会提醒您注意可疑的上下文，例如未经恶意软件扫描或包含 VBA 宏的文件
• 考虑开展用户意识培训，让员工了解网络钓鱼技术，并制定处理可疑电子邮件和文件的标准操作程序 (SOP)。
• 配置电子邮件客户端，以便在电子邮件来自组织外部时通知用户
• 实施可靠的备份策略，提供保护完好的离线备份，并实践灾难恢复程序，以确保实现平均恢复时间 (MTTR) 目标
• 使用内容代理监控互联网使用情况，限制用户访问可疑或有风险的网站
• 定期对所有网络基础设施进行漏洞扫描和渗透测试，并尽快修复发现的任何漏洞
• 安装和配置端点安全产品，在加密文档解密后立即对其进行扫描
• 安装并维护全面更新的入侵检测和防御 (IDS/IPS) 安全设备，以检测异常网络行为