Dridex renforce ses fichiers de paramètres

Le chiffrement des fichiers de paramètres du botnet Dridex a été renforcé afin de compliquer l’extraction des informations et les efforts de classement automatique sur liste noire.

Encrypted Dridex settings file
Le nouveau fichier de paramètres renforcé Dridex

« Le botnet utilise en temps normal un format texte XML permettant de décerner les injections web, redirections et noms des établissements bancaires ciblés, mais il n’affiche à présent plus qu’un bloc de données chiffrées », d’expliquer Moritz Kroll, spécialiste des botnets chez Avira.

Le fichier de paramètres répertorie les institutions ciblées et les stratégies d’attaque du centre de commande et contrôle du botnet à destination des ordinateurs zombies du réseau.

En chiffrant ces paramètres, les opérateurs du botnet espèrent augmenter encore davantage leurs taux de réussite. « De nombreux acteurs de la communauté de la sécurité informatique détiennent les outils pour accéder à ces paramètres », explique M. Kroll. « La récupération de ces informations a ainsi jusque-là permis à un certain nombre d’établissements bancaires ou spécialisés dans la sécurité de créer des listes noires ciblées et de modifier leurs pages web afin de réduire leur vulnérabilité face à ces injections web. »

Paramètres Dridex traditionnels au format XML

Notre interlocuteur indique cependant avoir découvert qu’il est possible de percer ce nouveau chiffrement sans trop de difficultés. « J’ai creusé dans les routines de déchiffrement et j’ai fait quelques trouvailles », poursuit-il. « La chaîne de code concernée parcourt jusqu’à 20 fois le bloc de chiffrement, en isolant systématiquement une clé XOR 32 bits depuis le début, déchiffrant le reste du contenu et recherchant une signature RSA, jusqu’à identification d’une correspondance parfaite. »

settings-from-2016-03-16-botnet-220-screenshot-decrypted-1.2

Données binaires de Dridex sérialisées – Visuellement, les nouveaux paramètres décodés ne présentent pas aussi bien que les précédents, mais les données essentielles sont toujours présentes. « Vous pouvez constater que le fichier de paramètres se présente désormais comme un bloc de données binaires sérialisées, incorporant les mêmes chaînes chiffrées qu’auparavant : la banque HSBC reste ciblée », ajoute M. Kroll.

Cette découverte résulte d’un coup de pouce d’un ami employé auprès d’une société de sécurité française.

settings-from-2016-03-16-botnet-220-screenshot-decrypted-2
Après déchiffrement des chaînes sérialisées

Cette modification du chiffrement des fichiers de paramètres intervient au terme de deux semaines d’inactivité apparente des créateurs de Dridex.  Le calme relatif avait ainsi généré quelques tweets railleurs au sein de la communauté, sous-entendant que les créateurs de Dridex avaient pris congé afin de prendre part à la conférence RSA à San Francisco. Celle-ci étant à présent terminée, il était temps de reprendre le travail.

Plus d’infos Dridex : voici le décodeur de paramètres Dridex

Un décodeur/déchiffreur est désormais disponible pour percer les nouveaux fichiers de paramètres chiffrés de Dridex.

settings-from-2016-03-16-botnet-220-screenshot-reconstructed

Fichiers de paramètres Dridex reconstitués – « Le script permet d’extraire un fichier XML de la masse binaire illisible, proche du format original », précise Moritz Kroll. « Celui-ci pourra être utile aux analystes de sécurité spécialisés chargés de la surveillance des activités de Dridex, qui ont accès aux fichiers de paramètres et pourraient avoir besoin de les déchiffrer. »

Dridex GitHub decoder screenshot
Le chiffrement des fichiers de paramètres Dridex a été observé à partir de la version 3.188 environ. Le code est disponible sur GitHub sous dridex_helpers.

Le but est de rendre les informations des fichiers de paramètres Dridex accessibles à la communauté de la sécurité informatique le plus rapidement possible. En accélérant le décodage des fichiers de paramètres, on favorise l’adaptation des efforts défensifs et offensifs requis contre Dridex.

Cet article est également disponible en: AnglaisItalien

As a PR Consultant and journalist, Frink has covered IT security issues for a number of security software firms, as well as provided reviews and insight on the beer and automotive industries (but usually not at the same time). Otherwise, he’s known for making a great bowl of popcorn and extraordinary messes in a kitchen.