EMOTET,URSNIF,DRIDEX&BitPaymer之间的关联性分析

全文没几个字，阅读时间3秒

有力气可以推荐朋友关注一下，献出爱心拯救博主

EMOTET，URSNIF，DRIDEX和BitPaymer之间的联系 

如图所示，左侧是共享诱饵文档，不共享混淆工具，右侧为来源的下载器的代码相似性，右下是纯代码相似性，然后箭头指向为释放或加载方向，这四个样本共享一种加载器。

这四种恶意软件简介如下：

• URSNIF / GOZI-ISFB

这个银行木马的源代码是由于其多变种和可移植性强的恶名而反复泄露。此间谍软件会监视流量，并具有键盘记录程序，会窃取存储在浏览器和应用程序中的凭据。GOZI的恶意软件创建者承认其创建和分发，并于2015年和2016年被判刑。

• DRIDEX

另一种针对银行和金融机构的银行木马，其背后的网络犯罪分子使用各种方法和技术通过恶意附件和HTML注入窃取个人信息和凭据。DRIDEX通过CRIDEX，GAMEOVER Zues和ZBOT演变而来。

• EMOTET

该恶意软件可作为payload的加载程序，如Gootkit，ZeusPanda，IcedID，TrickBot和DRIDEX。

• BitPaymer

这种勒索软件被用于通过远程桌面协议和其他电子邮件相关技术瞄准医疗机构，暂时关闭常规服务以获得高额赎金。

这篇证据表明DRIDEX不仅释放了BitPaymer，而且还来自同一个网络犯罪集团。

经研究发现，四个payload的解密程序在结构体中与解密实际PE 的payload的方式完全相同。

进一步分析还显示，四个恶意软件系列的内部数据结构是相同的，通过比较本中的反汇编代码，可以注意到加密的payload地址和大小放在位于偏移0x34和0x38的解密过程中。

一样的结构体

抄报告专用ioc：

URSNIF	9d38a0220b2dfb353fc34d03079f2ba2c7de1d4a234f6a2b06365bfc1870cd89
DRIDEX	cbd130b4b714c9bb0a62e45b2e07f3ab20a6db3abd1899aa3ec21f402d25779e
EMOTET	0a47f5b274e803754ce84ebd66599eb35795fb851f55062ff042e73e2b9d5763
BitPaymer	d693c33dd550529f3634e3c7e53d82df70c9d4fbd0c339dbc1849ada9e539ea2

从这篇文章，https://blog.trendmicro.com/trendlabs-security-intelligence/exploring-emotet-examining-emotets-activities-infrastructure/

可以看出，EMOTET背后的网络犯罪分子可能正在与可信赖的，高技能的网络犯罪团体进行合作，这可能是这四个团体持续和有趣的关系的标志。 。

为防止别人说我恶意推广，知识星球在公众号入口下方处，两顿饭钱，日更。

生活区