详细内容或原文请订阅后点击阅览
带有锁定 Excel 宏的 Dridex 下载器的分析
摘要前几天我遇到了一个相当有趣的 Dridex 恶意文档,我认为值得快速写一下我看到的混淆和反分析技术。这是一个 Excel 文档,其 VBA 宏项目被威胁行为者“锁定”以破坏分析。进一步的反分析包括大量……阅读
来源:Security Soup _恶意软件分析摘要
前几天我偶然发现了一个相当有趣的 Dridex 恶意文档,我觉得有必要对我所看到的混淆和反分析技术做一个简短的介绍。这是一个 Excel 文档,其 VBA 宏项目被威胁者“锁定”,以破坏分析。进一步的反分析包括大量多层 DOSfuscation,也旨在破坏分析和逃避沙箱。在这篇文章中,我将简要介绍 Dridex,然后讨论这些反分析技术以及如何使用一些开源工具和 Python 脚本来克服它们。我们开始吧!
Dridex 概述
Dridex 恶意软件是一种模块化银行木马和信息窃取程序,由一个以经济为目的的犯罪集团运营,该集团被称为“Indrik Spider”等别名。 Dridex 能够执行网络注入以窃取银行凭证,这些凭证本身可以作为商品货币化或用于支持进一步的电信欺诈活动。最近,这些威胁行为者还利用 Dridex 感染在网络环境中横向移动,并手动将 BitPaymer 勒索软件部署到高价值目标上。Indrik Spider 通常通过垃圾邮件钓鱼活动分发 Dridex 恶意软件。
Dridex 手动部署文档钓鱼诱饵
“INV_984748.xls”附件是一个 Microsoft Excel 文档,其命名约定中包含发票主题,这在许多类似的活动中很常见。该文件的内容还采用了 Intuit 税务主题,旨在利用最终用户对时事的好奇心,这是另一种以经济为目的的犯罪分子常用的策略。该文档使用 VBA 宏进行武器化,这也很常见,但是,正如我们将看到的,参与者在该文档中使用了一些有趣的技术。
- 文件名:INV_984748.xlsSHA256:7F8F24884E26B4B508D5147F8F54269E452D1200904323544EF36E30400190B1