Skip to Main Content

Dridex renforce ses fichiers de paramètres

Le chiffrement des fichiers de paramètres du botnet Dridex a été renforcé afin de compliquer l’extraction des informations et les efforts de classement automatique sur liste noire.

Encrypted Dridex settings file
Le nouveau fichier de paramètres renforcé Dridex

« Le botnet utilise en temps normal un format texte XML permettant de décerner les injections web, redirections et noms des établissements bancaires ciblés, mais il n’affiche à présent plus qu’un bloc de données chiffrées », d’expliquer Moritz Kroll, spécialiste des botnets chez Avira.

Le fichier de paramètres répertorie les institutions ciblées et les stratégies d’attaque du centre de commande et contrôle du botnet à destination des ordinateurs zombies du réseau.

En chiffrant ces paramètres, les opérateurs du botnet espèrent augmenter encore davantage leurs taux de réussite. « De nombreux acteurs de la communauté de la sécurité informatique détiennent les outils pour accéder à ces paramètres », explique M. Kroll. « La récupération de ces informations a ainsi jusque-là permis à un certain nombre d’établissements bancaires ou spécialisés dans la sécurité de créer des listes noires ciblées et de modifier leurs pages web afin de réduire leur vulnérabilité face à ces injections web. »

Paramètres Dridex traditionnels au format XML

Notre interlocuteur indique cependant avoir découvert qu’il est possible de percer ce nouveau chiffrement sans trop de difficultés. « J’ai creusé dans les routines de déchiffrement et j’ai fait quelques trouvailles », poursuit-il. « La chaîne de code concernée parcourt jusqu’à 20 fois le bloc de chiffrement, en isolant systématiquement une clé XOR 32 bits depuis le début, déchiffrant le reste du contenu et recherchant une signature RSA, jusqu’à identification d’une correspondance parfaite. »

settings-from-2016-03-16-botnet-220-screenshot-decrypted-1.2

Données binaires de Dridex sérialisées – Visuellement, les nouveaux paramètres décodés ne présentent pas aussi bien que les précédents, mais les données essentielles sont toujours présentes. « Vous pouvez constater que le fichier de paramètres se présente désormais comme un bloc de données binaires sérialisées, incorporant les mêmes chaînes chiffrées qu’auparavant : la banque HSBC reste ciblée », ajoute M. Kroll.

Cette découverte résulte d’un coup de pouce d’un ami employé auprès d’une société de sécurité française.

settings-from-2016-03-16-botnet-220-screenshot-decrypted-2
Après déchiffrement des chaînes sérialisées

Cette modification du chiffrement des fichiers de paramètres intervient au terme de deux semaines d’inactivité apparente des créateurs de Dridex.  Le calme relatif avait ainsi généré quelques tweets railleurs au sein de la communauté, sous-entendant que les créateurs de Dridex avaient pris congé afin de prendre part à la conférence RSA à San Francisco. Celle-ci étant à présent terminée, il était temps de reprendre le travail.

Plus d’infos Dridex : voici le décodeur de paramètres Dridex

Un décodeur/déchiffreur est désormais disponible pour percer les nouveaux fichiers de paramètres chiffrés de Dridex.

settings-from-2016-03-16-botnet-220-screenshot-reconstructed

Fichiers de paramètres Dridex reconstitués – « Le script permet d’extraire un fichier XML de la masse binaire illisible, proche du format original », précise Moritz Kroll. « Celui-ci pourra être utile aux analystes de sécurité spécialisés chargés de la surveillance des activités de Dridex, qui ont accès aux fichiers de paramètres et pourraient avoir besoin de les déchiffrer. »

Dridex GitHub decoder screenshot
Le chiffrement des fichiers de paramètres Dridex a été observé à partir de la version 3.188 environ. Le code est disponible sur GitHub sous dridex_helpers.

Le but est de rendre les informations des fichiers de paramètres Dridex accessibles à la communauté de la sécurité informatique le plus rapidement possible. En accélérant le décodage des fichiers de paramètres, on favorise l’adaptation des efforts défensifs et offensifs requis contre Dridex.

Cet article est également disponible en: Anglais

Avira souhaite que ses clients vivent 'libérés' des spywares, phishing, virus et autres menaces basées sur internet. La société a été créée il y a 25 ans sur la promesse de son fondateur Tjark Auerbach de « concevoir un logiciel qui réalise de belles choses pour mes amis et ma famille ». Plus de 100 millions de consommateurs et de petites entreprises font maintenant confiance à l'expertise d'Avira en matière de sécurité et à son antivirus primé, faisant de l'entreprise le numéro deux mondial en termes de parts de marché.