Dridexマルウェア

Dridexマルウェア（別名BugatおよびCridex）は、高度なボットネット機能を備えた情報窃取およびトロイの木馬に分類され、Evil Corpサイバー犯罪グループにとって収益性の高いMaaS（Malware as a Service）企業となっています。Dridexのボットネットの規模は、グローバルな脅威環境において最も活発なマルウェア系統の1つとして区別されています。

Dridexには長い歴史があり、Emotetと同じ起源から生まれました：両者とも、2006年に初めて特定され、2011年にソースコードとして公にリークされた多量のバンキング型トロイの木馬マルウェアZeusに端を発する。Dridexの最初のバージョンは、Emtotetと並んで2014年にロシアのハッカーグループBusiness Clubを倒そうとしたFBIの作戦の灰の中から出現した。DridexはまだZeusのソースコードの一部を使用しており、犠牲者をグローバルなゾンビボットネットに統合することで、Zeusの足跡をたどっている。 

グローバルなDridexボットネットはブロックに分割され、Evil Corpの関連会社に貸し出される。Evil Corpの関連会社はボットネットを使用してフィッシングやマルスパムを拡散し、ボットネットを拡大し、通常Evil Corpの別の製品であるBitPaymerランサムウェアをインポートしてランサムウェア攻撃を仕掛ける。Evil Corp のアフィリエイトは、ゾンビボットのブロックごとに毎月定額料金を支払っており、恐喝された身代金の半分を Evil Corp に返却していると報告されています。DridexボットネットベースのMaaSモデルはEvil Corpに1億ドル以上の不正利益をもたらし、当社 司法省とFBIは2019年に2人のロシア人をハッキングと銀行詐欺で起訴したが、300万ドルの報奨金にもかかわらず逮捕者は出ていない。

Dridexの第一段階の攻撃は、通常、悪意のあるVBAマクロを含むパスワードで保護されたMicrosoft Officeドキュメントを使用するフィッシングやマルスパム・キャンペーンで展開されますが、その他の形式で配布されることもあります。いったん被害者を危険にさらすと、Dridexはモジュラー設計を活用し、操作者が感染したシステムに実行させたいタスクに応じてコンポーネントをインポートします。

ドリデックスのセカンドステージの戦術には次のようなものがある：

• WindowsのスケジュールタスクやAutorunレジストリキーに実行ファイルへの呼び出しを注入することで、永続性を維持する。 
• 攻撃者がフィッシングやマルスパムキャンペーンを遠隔操作するためのスパムボットとして機能し、攻撃者の身元を効果的に保護する。
• 100以上のアプリケーションからパスワードと電子メールデータを盗み出し、流出させる。
• 複数の異なるウェブインジェクション技術を使用してブラウザを感染させ、銀行や暗号通貨のウェブサイトからログインデータや多要素認証（MFA）トークン、セッショントークンを盗み出す。
• ファイアウォールを回避するために様々なプロトコルの組み合わせを使用する。通常、TCP/HTTPを使用して通常のインターネットトラフィックとして通信をマスクするが、UDPストリーミングプロトコルやSOCKS（Secured Over Credential-Based Kerberos Services）を使用してプロキシ接続を行うこともある。
• リモートデスクトップ接続のためのVNCモジュールのインストール
• キーストロークやスクリーンショットの流出などの監視機能
• マスターブートレコード（MBR）を消去してシステムを無効にすることで、マルウェア研究環境を攻撃する。

Dridexの最も印象的な能力は、インフラとマルチホッププロキシチェーンのいくつかの階層からなる高度なピアツーピア（P2P）ボットネット機能です。このアーキテクチャにより、中間C2フロントエンドが侵害されたローカルのマスターノードと直接通信し、そのマスターノードがローカルのゾンビボットのグループを管理するため、最も遠いバックエンドのコマンド＆コントロール（C2）ソースを特定することが困難になります。また、この階層化されたインフラストラクチャは、モジュールのローカルキャッシュを維持することで、ネットワーク境界を通過する必要のあるトラフィックを効果的に削減します。

Dridexはまた、マルウェアが使用する標準的なAPIコールを使用することなく、別のプロセスにコードを注入して実行するAtomBombingなど、これまでにないテクニックをいくつか導入し、その成功に貢献している。その代わりに、AtomBombingはWindowsの「アトムテーブル」（アプリケーションが一時的に関数を格納するメモリ位置）をハイジャックする。DridexはAtomBombingの先駆者であり、こっそりとコマンドを注入する。

Dridex から身を守るには、新手のテクニックを検出してブロックするエンドポイントセキュリティを含む、強力な企業サイバーセキュリティプログラムが必要です。以下は、Dridex 攻撃を軽減するための防御戦術です：

• Officeアプリケーションが、通知なしにすべてのマクロを無効にするか、デジタル署名されたマクロ以外の設定をすべて無効にするように構成されていることを確認する。 
• 電子メールクライアントやOfficeアプリケーションで、マルウェアのスキャンが行われていないファイルやVBAマクロを含むファイルなど、不審なコンテキストを警告する警告通知に特に注意してください。
• フィッシング・テクニックについて担当者を教育するためのユーザー意識向上トレーニングを検討し、不審な電子メールや文書を取り扱うための標準作業手順書（SOP）を作成する。
• 社外から送信された電子メールをユーザーに通知するよう、電子メールクライアントを設定する。
• 十分に保護されたオフライン・バックアップによる信頼性の高いバックアップ戦略を導入し、目標平均復旧時間（MTTR）目標を達成できるよう災害復旧手順を実践する。
• コンテンツ・プロキシを使ってインターネット利用を監視し、不審なサイトや危険なサイトへのアクセスを制限する。
• すべてのネットワーク・インフラストラクチャの脆弱性スキャンと侵入テストを定期的に実施し、発見された脆弱性を早急に修正する。
• 暗号化された文書を暗号化解除後すぐにスキャンするエンドポイントセキュリティ製品のインストールと設定
• ネットワークの異常な挙動を検知するために、完全に更新された侵入検知・防御（IDS/IPS）セキュリティ・アプライアンスをインストールし、維持する。