Dridex irrobustisce la crittografia dei propri file delle impostazioni

Encrypted Dridex settings file
Il nuovo file delle impostazioni di Dridex con crittografia irrobustita

La botnet Dridex ha irrobustito la crittografia dei propri file delle impostazioni, un passo progettato per complicare l’estrazione delle informazioni e il loro inserimento automatico all’interno di blacklist.

“Solitamente usano un formato di testo XML nel quale sono visibili i web inject, ossia i codici maligni introdotti nel web, i reindirizzamenti e i nomi delle banche prese di mira, ma ora tale file non mostra altro che un blocco di dati crittografati”, spiega Moritz Kroll, specialista di botnet presso Avira.

Nel file delle impostazioni sono riportati gli istituti presi di mira e le strategie di attacco adottate dal centro di comando e controllo della botnet per i computer zombie della loro rete.

Crittografando queste impostazioni, gli operatori della botnet sperano di incrementare il loro successo. “Sono parecchi i membri della community della sicurezza che dispongono di strumenti per ottenere tali impostazioni”, spiega Kroll. “Sfruttando queste informazioni, alcune banche e aziende responsabili della sicurezza sono riuscite a creare blacklist mirate e a modificare le pagine, riducendone la vulnerabilità ai web inject”.

Impostazioni tradizionali di Dridex in formato XML

Ad ogni modo, Kroll ha scoperto che la nuova crittografia può essere decifrata senza troppe difficoltà. “Ho analizzato la routine di decrittografia e ho scoperto alcune cose”, aggiunge. “Analizza il blocco crittografato fino a 20 volte, ogni volta eliminando una chiave xor a 32 bit dall’inizio, decrittografando il resto e verificando una firma RSA fino a che non riesce a trovare una corrispondenza”.

Serialized Dridex binary data after decyption
Serialized Dridex binary data after decyption

Dati binari Dridex serializzati Guardando le impostazioni così decodificate si ha l’impressione che la loro qualità ne abbia sofferto rispetto ai risultati precedenti, ma l’importante è che contengono ugualmente i dati necessari. “Ora il file delle impostazioni è un blocco di dati serializzati in formato binario con le stesse stringhe crittografate e, come si può vedere, HSBC è ancora un obiettivo”, aggiunge Kroll.

settings-from-2016-03-16-botnet-220-screenshot-decrypted-2La scoperta di Kroll è il frutto di un suggerimento ricevuto da un amico che lavora presso una società di sicurezza francese.

(PICTURE DESCRIPTION) Dopo aver decrittografato le stringhe serializzate

Il passaggio a file delle impostazioni crittografati giunge dopo circa due settimane di apparente inattività dei creatori di Dridex.  La calma relativa ha portato alcuni membri della community della sicurezza a suggerire scherzosamente su Twitter che i creatori di questo malware si fossero presi una pausa per partecipare alla conferenza RSA di San Francisco e che ora fosse giunto il momento di tornare al lavoro.

Ulteriori novità su Dridex: arriva il decoder delle impostazioni di Dridex

File delle impostazioni di Dridex recentemente ricostruiti “Lo script converte il blocco binario illeggibile in un file XML leggibile simile al formato originale”, afferma Moritz Kroll. “Questo dovrebbe aiutare gli analisti di sicurezza responsabili dell’aspetto prettamente tecnico che già monitorano l’attività di Dridex accedendo ai file delle impostazioni e che ora hanno bisogno di decrittografarli”.

settings-from-2016-03-16-botnet-220-screenshot-reconstructedDridex ha iniziato a crittografare i propri file delle impostazioni pressappoco in concomitanza con la pubblicazione della versione 3.188. Il codice è disponibile su GitHub come dridex_helpers.

Dridex GitHub decoder screenshot
L’obiettivo è quello di rendere nuovamente disponibili alla community della sicurezza le informazioni contenute nei file delle impostazioni di Dridex nel minor tempo possibile. Quanto prima verranno decodificati i file delle impostazioni, tanto più velocemente la community potrà perfezionare la propria strategia di difesa e attacco contro Dridex.

Questo articolo è disponibile anche in: IngleseFrancese

As a PR Consultant and journalist, Frink has covered IT security issues for a number of security software firms, as well as provided reviews and insight on the beer and automotive industries (but usually not at the same time). Otherwise, he’s known for making a great bowl of popcorn and extraordinary messes in a kitchen.