드리덱스 멀웨어 탐지: SOC 콘텐츠로 선제적 방어

Dridex 멀웨어는 거의 10년 동안 은행과 금융 기관을 공격해 왔습니다. 2019년, 미국 법무부는 Dridex 멀웨어를 제작하고 약 1억 달러의 수익을 얻는 범죄 활동을 주도한 러시아 국적자들을 기소했습니다. 2015년에도 Dridex는 영국에서 약 3,050만 달러, 미국에서 1,000만 달러의 손실을 초래했습니다.

에 따르면 Unit 42 보고서, 2020년 9월, Dridex의 새로운 버전의 공격이 한 달간의 비활성기 이후 다시 발견되었습니다.

Dridex 멀웨어 분석

Dridex 트로이 목마(“Cridex” 또는 “Burgat”로도 알려짐)를 전달하는 첫 번째 악성 스팸 공격은 2011년에 발견되었으며, 몇 년 만에 금융 부문을 목표로 하는 가장 악명 높은 트로이 목마 중 하나로 자리 잡았습니다. Dridex 스파이웨어 공격은 EU 및 아시아 태평양 지역, 주로 고소득 조직을 대상으로 합니다. Dridex의 다양한 변형은 XML 또는 이진 형식의 구성 파일을 적용하여 시간이 지남에 따라 더욱 정교해졌습니다. Dridex의 네 번째 보다 발전된 버전은 RC4 암호화와 훨씬 더 엄격한 로더 인증 프로토콜을 사용하여 이전의 변형과 비교됩니다.

Dridex 트로이 목마를 다른 멀웨어와 함께 익스플로잇 키트를 통해 전파하는 사례가 있었습니다. 2019년 악명 높은 Spelevo 익스플로잇 키트 는 손상된 연락처 웹사이트를 통해 은행 트로이 목마를 배포했습니다. 손상된 웹사이트 페이지의 악성 스크립트, 포함된 홈페이지 등은 사용자 운영 체제, Adobe Flash 버전, 플러그인, 사용 가능한 패치 및 기타 환경 특성에 따라 CVE-2018-15982 또는 CVE-2018-8174에 대한 익스플로잇으로 사용자들을 리디렉션했습니다. 두 익스플로잇은 최종 페이로드로 Dridex를 배포하는 데 사용되었습니다.

Dridex 악성 스팸 공격과 피싱 이메일

이 멀웨어는 은행 기관과 그 고객에게 적극적이며 위험합니다. 피싱 이메일은 피해자에게 악성 코드를 전달하는 가장 쉬운 방법 중 하나이기 때문입니다. 피싱 이메일은 전문적인 언어와 용어를 사용하여 적절하게 작성되며, 종종 즉각적인 주의를 요구하는 메시지로 작성되어 잠재적인 피해자를 함정에 빠뜨리기 위해 설계됩니다. 종종 합법적인 비즈니스 이메일 주소로 보입니다. Dridex 악성 스팸 공격은 난독화된 매크로가 포함된 금융 기록 이름을 포함할 수 있는 첨부 파일을 제공합니다. 매크로가 활성화되면 은행 트로이 목마 다운로드가 시작되어 자격 증명을 수집하고 금융 사기 거래를 수행합니다.

2018년, Dridex 은행 트로이 목마를 확산시키는 악명 높은 스팸 캠페인이있었습니다. 손상된 사용자들은 감염된 FTP 서버에 연결하는 링크가 포함된 10,000개 이상의 이메일을 받았습니다. 공격자는 Dridex를 다운로드하기 위해 DDE 기능을 악용한 MS Word 파일과 악성 매크로가 포함된 Excel 파일 모두를 활용했습니다. 따라서 회사 직원의 성숙한 행동은 Dridex 트로이 목마로 시스템을 감염시킬 확률을 상당히 줄입니다.

Spambrella 사진 드:

Dridex 멀웨어 방지 및 탐지 콘텐츠

SOC Prime 위협 탐지 마켓플레이스 는 85,000개 이상의 SOC 콘텐츠 항목을 금융 부문을 포함한 다양한 산업의 5,500개 이상의 조직에 제공하여 ‘탐지 코드로서의 운영’을 가능하게 합니다. 보안 수행자는 “Dridex 활동” 커뮤니티 Sigma 규칙 by Osman Demir 를 사용하여 시스템에서 최신 Dridex 공격을 탐지할 수 있습니다.

이 Sigma 규칙은 다음 15개 플랫폼에 대한 번역도 제공합니다:

• SIEMs: Azure Sentinel, Humio, Splunk, Sumo Logic, ELK Stack, ArcSight, QRadar, Graylog, RSA NetWitness, LogPoint
• EDR: Carbon Black
• Chronicle Security
• Apache Kafka ksqIDB
• Microsoft PowerShell
• Regex Grep

이 규칙은 다음 ATT&CK 기법을 다룹니다:

• 초기 액세스 전술의 Spearphishing 첨부 파일 기법 (T1193)
• 실행 전술의 사용자 실행 기법 (T1204)

Dridex 공격에 대한 추가 위협 탐지 콘텐츠를 찾고 계십니까? Threat Detection Marketplace는 Dridex 멀웨어를 대상으로 한 200개 이상의 SOC 콘텐츠 항목과 100개 이상의 커뮤니티 규칙을 제공합니다.

SOC Prime 위협 탐지 마켓플레이스를 사용해볼 준비가 되셨습니까? 무료 가입하세요. 또는 위협 현상금 프로그램에 참여 하여 자체 SOC 콘텐츠를 제작하고 세계 최대의 위협 탐지 커뮤니티에 기여하세요.