Online Banking-Bedrohungen 2015: Der seltsame Fall der DRIDEX-Übermacht

Originalbeitrag von Lord Remorin und Michael Marcos

Die Schließung von Websites führt nicht zwangsläufig zum Ende von cyberkriminellen Aktivitäten. 2014 beeinträchtigte die Schließung von ZeroAccess die Klick-Betrugsaktivitäten des Botnes, doch die Infektionen gingen weiter. Der Fall DRIDEX ist ähnlich gelagert, und das Tool bleibt trotz der Schließung der vielen C&C-Server im Oktober 2015 weiterhin die bestimmende Bedrohung für Unternehmen.
Das weitere Verbreitung von DRIDEX lässt sich zwei Hauptfaktoren zuschreiben: dem effizienten Ausliefermechanismus via Botnet, wodurch eine höhere Zahl von Nutzern betroffen ist, und der stabilen Peer-to-Peer-Infrastruktur, die den Betrieb weiter möglich macht. Es ist anzunehmen, dass DRIDEX in den cyberkriminellen Untergrundmärkten gehandelt wird, so dass weitere Cyberkriminelle das Botnet für ihre Aktivitäten nutzen können.

Bild 1. Stetiges Wachstum von Dridex im Vergleich zu anderen Online Banking-Bedrohungen

Infiltrieren des Netzwerks über effiziente Eintrittspunkte und Social Engineering-Taktiken

Ein Grund dafür, dass DRIDEX so effizient ist, sind dessen Social Engineering-Köder. Die meisten diesbezüglichen Spam-Kampagnen nutzen vorgebliche Kopien von Rechnungen, Kontoauszügen, Quittungen und rechtlichen Anschreiben. Auch werden scheinbar legitime Unternehmens-Domänennamen eingesetzt, um die Mitarbeiter dazu zu bewegen, Dateianhänge zu öffnen.


Bild 2. Beispiel-SpamU

DRIDEX missbraucht auch Makros, um ohne Wissen der Nutzer Systeminfektionen anzustoßen. Das Tool hat seinen eigenen Makro-Downloader, der in den meisten Fällen zur Erkennung von DRIDEX geführt hat, statt des tatsächlichen TSPY_DRIDEX-Schädlings. Letzten Februar beobachteten die Sicherheitsforscher, dass einige DRIDEX-Binaries neben den üblichen Makro-Dokumenten über JS-Datei-Downloader ausgeliefert wurden. In einem Beispielfall legte der Makro-Downloader ein VBScript ab, das dann die tatsächliche Payload herunterlud.

Bild 3. Spam-Aufkommen mit DRIDEX (Makro) -Anhängen (Dez. 2015 – Feb. 2016)

Auch die Art und Weise, wie DRIDEX über berüchtigte Exploit Kits wie Angler und Rid verbreitet wird, trägt zu dessen Allgegenwart bei. Kürzlich waren Aktivitäten des Angler Exploit Kits, dass DRIDEX ablegte, in Deutschland zu beobachten. Ziele, die veraltete Betriebssysteme oder Anwendungen einsetzen, könnten DRIDEX über Malvertising auf ihre Systeme herunterladen.

Kleine und mittlere Unternehmen sind auf diese Art von Bedrohungen anfällig, weil sie nicht so gute Sicherheitsmaßnahmen treffen wie größere Unternehmen. Dennoch haben sie auch relevante Daten, die im Untergrund für weitere Angriffe verkauft werden können.

Bild 4. Monatliche Zahl der DRIDEX-Erkennungen im Vergleich zur Verteilung der Opfer nach Unternehmensgröße (Okt. 2015 – Feb. 2016)

Robuste P2P-Infrastruktur

Zwar hatte eine früher erfolgte Schließung den Betrieb von DRIDEX unterbrochen, doch konnte er dank der robusten P2P-Netzwerke wiederaufgenommen werden. Bei der Schließung übernahmen US- und britischen Polizeibehörden und das FBI gemeinsam mit Sicherheitsanbietern das C&C-Backend, wo die gestohlenen Banking-Daten lagerten, sowie die Admin-Knoten, die für das Routing der Verbindungen zum C&C-Backend und das Versenden von Updates zuständig waren. Das Sperren eines Admin-Knotens verhindert, dass die gesammelten Informationen zurück an den C&C geschickt werden. Möglicherweise wurden nicht alle Admin-Knoten vom Netz genommen, oder die Cyberkriminellen erstellten Backup-Knoten. So lang es ein infiziertes System gibt, wird das DRIDEX P2P-Netzwerk weiter arbeiten.

Darüber hinaus ermöglicht die modulare Architektur die Skalierbarkeit der Schadsoftware, wenn es um Änderungen in der Funktionalität und bei den Zielen geht. Ähnlich der Architekturen von anderen berüchtigten Banking-Trojanern wie DYRE und ZBOT, besitzt DRIDEX eigenständige Datei-Plugins, die einfach hinzuzufügen oder zu modifizieren sind. Die Konfigurationsdatei ist im XML-Format, und das trägt ebenfalls zur bequemen Nutzung durch Angreifer bei.

Großangelegte Operation

DRIDEX arbeitet über ein Botnet-as-a-Service (BaaS)-Modell. Eine genaue Analyse des Codes nach der Schließung zeigt, dass es geringfügige Änderungen gegeben hat, die aber die Infektionskette nicht betreffen und auch nicht die Art und Weise, wie das Botnet funktioniert. Weitere Einzelheiten dazu gibt der Originaleintrag.

Sicherheitsmaßnahmen gegen DRIDEX

Unternehmen können grundlegende Schutzmaßnahmen ergreifen, um ihre Informationen zu sichern. Da DRIDEX vor allem Spam als Eintrittspunkt in ein System oder Netzwerk nutzt, ist es sehr zu empfehlen, Mitarbeiter zur Vorsicht beim Öffnen von Mails anzuhalten. Makros in MS Word sollten nicht aktiviert werden, wenn verdächtige Mail-Anhänge geöffnet werden. Firmen müssen Policies aufstellen, die Mails mit Anhängen von außerhalb oder aus unbekannten Quellen blocken. Systeme müssen immer auf aktuellem Stand sein als zusätzliche Sicherheitsschicht.

Endpoint-Lösungen wie Trend Micro™ Security, Smart Protection Suites und Worry-Free™ Business Security schützen Nutzer und KMUs vor dieser Bedrohung, denn sie erkennen bösartige Dateien sowie Spam-Nachrichten und blocken alle damit zusammenhängenden URLs. Auch Trend Micro Deep Discovery mit einem Mail-Inspektions-Layer, der bösartige Anhänge erkennt, schützt vor der Bedrohung.

Zusätzliche Analysen von Lala Manly, Michael Casayuran und Joseph C. Chen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*