URSNIF, EMOTET, DRIDEX, BitPaymer Gangs使用相同加载器

研究人员分析发现EMOTET, URSNIF, DRIDEX和BitPaymer和样本的加载器上存在一定的关联，本文就其关系进行分析。

图 1. EMOTET, DRIDEX, URSNIF和BitPaymer之间的关系

背景和细节

为了更好地理解这些关联的明显性，下面总结了每个恶意软件家族的背景信息：

URSNIF / GOZI-ISFB

URSNIF / GOZI-ISFB银行木马目前仍被认为是全球的顶级威胁之一，该银行木马的源代码在进化过程中被泄露了。该监控软件可以监控流量，窃取保存在浏览器和应用中的凭证信息。GOZI的创建者在2015年和2016年被捕，承认其创建和传播了该恶意软件。

DRIDEX

DRIDEX是一款攻击银行和金融机构的银行木马，背后的攻击者使用了不同的方法和技术通过恶意附件和HTML注入来窃取个人信息和凭证。DRIDEX是从CRIDEX, GameOver Zeus和ZBOT恶意软件进化而来的。

EMOTET

EMOTET是Trend Micro 2014年发现的一款恶意软件，是Gootkit, ZeusPanda, IcedID, TrickBot, 和DRIDEX等恶意软件payload的加载器。有分析称EMOTET和URSNIF/GOZI-ISFB都使用了混淆技术。

BitPaymer

BitPaymer是一款使用远程桌面协议（RDP）和其他邮件相关攻击技术来攻击医疗机构的勒索软件。安全研究人员分析称DRIDEX不仅释放了BitPaymer，还是来自同一犯罪组织的。

在分析过程中，研究人员发现这些恶意软件家族使用相同的加载器：payload解密过程和加载器的内部数据结构。研究人员分析发现4个payload解密步骤与数据结构中解密真实PE payload的步骤是相同的。

图 2. Payload loader解密步骤的结构是相同的

进一步分析发现4个恶意软件家族的内部数据结构也是相同的。研究人员比较了样本的反汇编代码，注意到放入解密步骤中的加密payload地址和大小位于offset 0x34和0x38。

图 3. 相同的数据结构显示相似的payload地址和大小

图 4. 加载器使用的数据结构

因为许多国家的网络犯罪组织机构都是有划分的，因此研究人员怀疑这4款恶意软件背后的组织可能与相同的PE加载器提供商都有联系。这4个恶意软件组织也可能建立了某种联系，用于交换资源。

总结

研究人员在监控僵尸网络和制造或使用僵尸网络的地下组织的过程中，发现EMOTET背后的网络犯罪分子可能正在与可信赖的、高技能的网络犯罪团体进行合作，这也可能是这4个组织保持持续关系的标志。这种恶意软件攻击者组成的联盟在未来可能会带来更具破坏性的恶意软件。因此，企业更加需要重视网络安全预防，比如制定处理安全威胁的制度和程序。针对员工的定期安全教育和提醒可以保护企业免受恶意电子邮件和URL的攻击。安装和更新多层防护和解决方案也是常用的预防攻击的方法之一。

IoC