【FireEye解读】Dridex鱼叉式钓鱼攻击
字数 1501 2025-08-07 00:34:58

Dridex鱼叉式钓鱼攻击技术分析与防御指南

1. 攻击概述

Dridex是一种银行木马恶意软件,主要用于窃取用户的银行凭证信息。虽然最初在2016年被发现,但其变种在2022年仍然活跃。该恶意软件主要通过鱼叉式钓鱼邮件传播,具有以下特点:

  • 使用精心设计的社交工程手段诱骗受害者
  • 采用多层加密和混淆技术逃避检测
  • 通过恶意宏代码下载并执行最终payload
  • 主要针对金融机构和企业的财务人员

2. 攻击载体分析

2.1 钓鱼邮件特征

攻击者发送的钓鱼邮件具有以下典型特征:

  1. 邮件主题:伪装成发票报销信息等财务相关内容
  2. 邮件分类:常被标记为SPAM(垃圾邮件)
  3. 附件类型:携带伪装成RTF格式的恶意文档
    • 实际是WordprocessingML格式伪装的RTF
    • WordprocessingML是Microsoft Word支持的一种XML格式

2.2 恶意文档技术

  1. 文件格式:使用WordprocessingML生成的docm文件
  2. 宏利用:文档包含加密的VBA宏代码
  3. 混淆技术
    • 将关键恶意代码存储在创建的文本框中
    • 保持VB代码表面正常以逃避静态检测

3. 攻击流程分析

3.1 初始感染阶段

  1. 受害者打开恶意RTF文档
  2. 文档释放并执行宏代码
  3. 在临时目录(%temp%)创建加密的VBE脚本文件(如rdFVJHkdsff.vbe)

3.2 载荷下载阶段

  1. 加密的VBE脚本实际上是下载器
  2. 脚本解密后访问指定网址下载exe文件
  3. 下载的exe文件被保存并执行

3.3 网络通信特征

  1. 使用HTTP协议与C2服务器通信
  2. 流量中可以观察到特定的URL请求模式

4. 技术分析与逆向工程

4.1 样本获取

  1. IOC指标:MD5: 33b2a2d98aca34b66de9a11b7ec2d951
  2. 获取途径:可通过微步情报中心等威胁情报平台搜索MD5获取样本

4.2 分析工具

  1. 静态分析

    • 010 Editor:分析文件结构
    • oledump-py:提取和分析OLE对象
    • EvilClippy:处理恶意宏文档

  2. 动态分析

    • Process Monitor:监控文件创建和行为
    • Wireshark:分析网络流量

  3. 解密工具

    • VBE-decoder(https://github.com/JohnHammond/vbe-decoder):解密VBE脚本

4.3 分析难点

  1. 宏代码被多层加密和混淆
  2. 非常规RTF结构导致标准工具无法直接解析
  3. 使用文本框存储恶意代码的技术增加了分析难度

5. 防御措施

5.1 技术防护

  1. 邮件安全

    • 部署高级邮件安全网关
    • 对可疑附件进行沙箱分析
    • 标记和隔离SPAM邮件

  2. 终端防护

    • 禁用Office宏执行(或限制为仅受信任来源)
    • 部署EDR解决方案监控可疑行为
    • 定期更新反病毒软件特征库

  3. 网络防护

    • 监控和阻止可疑出站连接
    • 实施TLS流量检查

5.2 安全意识培训

  1. 识别钓鱼邮件特征培训
  2. 可疑附件处理流程教育
  3. 财务操作安全规范

5.3 应急响应

  1. IOC监控

    • 监控系统中出现的已知Dridex相关哈希
    • 监控临时目录中的.vbe文件创建

  2. 事件响应

    • 隔离受感染主机
    • 重置受影响账户凭证
    • 检查金融交易记录

6. 总结

Dridex攻击展示了高级持续性威胁的典型特征:精心设计的社交工程、多层加密混淆、持续的变种开发。防御此类攻击需要技术防护、员工培训和威胁情报的综合应用。安全团队应当:

  1. 持续跟踪Dridex等银行木马的最新变种
  2. 建立针对Office文档攻击的专项检测能力
  3. 定期演练针对金融木马的应急响应流程

通过深入理解攻击技术和完善防御体系,可以有效降低此类攻击的成功率。

Dridex鱼叉式钓鱼攻击技术分析与防御指南 1. 攻击概述 Dridex是一种银行木马恶意软件,主要用于窃取用户的银行凭证信息。虽然最初在2016年被发现,但其变种在2022年仍然活跃。该恶意软件主要通过鱼叉式钓鱼邮件传播,具有以下特点: 使用精心设计的社交工程手段诱骗受害者 采用多层加密和混淆技术逃避检测 通过恶意宏代码下载并执行最终payload 主要针对金融机构和企业的财务人员 2. 攻击载体分析 2.1 钓鱼邮件特征 攻击者发送的钓鱼邮件具有以下典型特征: 邮件主题 :伪装成发票报销信息等财务相关内容 邮件分类 :常被标记为SPAM(垃圾邮件) 附件类型 :携带伪装成RTF格式的恶意文档 实际是WordprocessingML格式伪装的RTF WordprocessingML是Microsoft Word支持的一种XML格式 2.2 恶意文档技术 文件格式 :使用WordprocessingML生成的docm文件 宏利用 :文档包含加密的VBA宏代码 混淆技术 : 将关键恶意代码存储在创建的文本框中 保持VB代码表面正常以逃避静态检测 3. 攻击流程分析 3.1 初始感染阶段 受害者打开恶意RTF文档 文档释放并执行宏代码 在临时目录(%temp%)创建加密的VBE脚本文件(如rdFVJHkdsff.vbe) 3.2 载荷下载阶段 加密的VBE脚本实际上是下载器 脚本解密后访问指定网址下载exe文件 下载的exe文件被保存并执行 3.3 网络通信特征 使用HTTP协议与C2服务器通信 流量中可以观察到特定的URL请求模式 4. 技术分析与逆向工程 4.1 样本获取 IOC指标 :MD5: 33b2a2d98aca34b66de9a11b7ec2d951 获取途径 :可通过微步情报中心等威胁情报平台搜索MD5获取样本 4.2 分析工具 静态分析 : 010 Editor:分析文件结构 oledump-py:提取和分析OLE对象 EvilClippy:处理恶意宏文档 动态分析 : Process Monitor:监控文件创建和行为 Wireshark:分析网络流量 解密工具 : VBE-decoder(https://github.com/JohnHammond/vbe-decoder):解密VBE脚本 4.3 分析难点 宏代码被多层加密和混淆 非常规RTF结构导致标准工具无法直接解析 使用文本框存储恶意代码的技术增加了分析难度 5. 防御措施 5.1 技术防护 邮件安全 : 部署高级邮件安全网关 对可疑附件进行沙箱分析 标记和隔离SPAM邮件 终端防护 : 禁用Office宏执行(或限制为仅受信任来源) 部署EDR解决方案监控可疑行为 定期更新反病毒软件特征库 网络防护 : 监控和阻止可疑出站连接 实施TLS流量检查 5.2 安全意识培训 识别钓鱼邮件特征培训 可疑附件处理流程教育 财务操作安全规范 5.3 应急响应 IOC监控 : 监控系统中出现的已知Dridex相关哈希 监控临时目录中的.vbe文件创建 事件响应 : 隔离受感染主机 重置受影响账户凭证 检查金融交易记录 6. 总结 Dridex攻击展示了高级持续性威胁的典型特征:精心设计的社交工程、多层加密混淆、持续的变种开发。防御此类攻击需要技术防护、员工培训和威胁情报的综合应用。安全团队应当: 持续跟踪Dridex等银行木马的最新变种 建立针对Office文档攻击的专项检测能力 定期演练针对金融木马的应急响应流程 通过深入理解攻击技术和完善防御体系,可以有效降低此类攻击的成功率。