本文讲的是Dridex木马使用前所未有的手段规避UAC,Flashpoint安全研究人员警告:最近观测到的Dridex投放行动利用了新的UAC(用户账户控制)规避方法。
Dridex最先于2014年被发现,因其使用了 GameOver ZeuS (GoZ) 恶意软件点对点架构改进版来保护其命令与控制(C&C)服务器,而被认为是GoZ的继任者。Dridex作为最流行的银行木马家族冒头,但其最近的活动相比2014和2015年时的还是有所平缓。
最近观察到的Dridex活动比较小型,针对英国金融机构,采用了前所未见的UAC规避方法——利用Windows默认恢复光盘程序recdisc.exe。该恶意软件还被观测到通过伪装的SPP.dll来加载恶意代码,利用svchost和spoolsrv来与第一级C&C服务器和其他节点进行通信。
与其他恶意软件类似,Dridex通过带Word文档附件的垃圾邮件进行投送,附件中就隐藏有可下载并执行恶意软件的恶意宏。最先释放的模块用于下载主Dridex负载。感染后,该木马会从当前位置移动到%TEMP%文件夹。
恶意软件感染后,Dridex令牌抢夺和Web注入模块能使欺诈操作者快速获得搞定身份验证和授权问题所需的额外信息,让这些反欺诈系统和金融机构的安全措施毫无用武之地。黑客还能创建自定义的对话窗口,伪装成来自银行的调查,诱使受害者自己填入所需信息。
在被感染的机器上,Dridex利用Windows默认恢复光盘程序recdisc.exe,来加载伪造的SPP.dll,并绕过 Windows 7 的UAC防护。之所以能做到这一点,是因为该平台会自动提升该程序的权限,其他进入自动提升权限白名单的应用也有此待遇。Dridex利用了该特性来执行两条指令。
为绕过UAC,Dridex在Windows\System32\6886下创建目录,然后将合法的程序从Windows\System32\recdisc.exe拷贝过来。接下来,将自身拷贝到%APPDATA%\Local\Temp,以临时文件的形式存在,再拷贝成为Windows\System32\6886\SPP.dll。然后,删除 Windows\System32下的 wu.exe和po.dll,执行recdisc.exe,以管理员权限将自身加载成 SPP.dll。
该银行木马会在4431-4433端口与其他节点通信。该案例中,其他对等节点就是Dridex已经控制了的其他计算机。