瞄準大型組織進行勒索:詳細分析BitPaymer勒索軟體
一、概述
INDRIK SPIDER是一個複雜的網路犯罪集團,該組織自2014年6月以來就一直在運營Dridex銀行木馬。在2015年和2016年,Dridex是全世界違法收益最高的銀行木馬之一。自2014年以來,INDRIK SPIDER已經通過該木馬獲得數百萬美元的非法利潤。經過多年的運營,目前Dridex已經進行了多次更新,開發了一些新的模組,同時在惡意軟體中添加了新的反分析功能。
據報道,2017年8月,一個名為BitPaymer的新型勒索軟體變種攻擊了英國的國民健康服務(NHS),並勒索高達53比特幣(約合20萬美元)。由於該勒索軟體以組織作為目標,並且提出了高額的贖金要求,因此在當時非常引人注目。儘管BitPaymer的加密和贖金功能從技術上來看並不複雜,但惡意軟體包含了多個與Dridex相同的反分析功能。後來,通過對BitPaymer進行技術分析,證明它是由INDRIK SPIDER開發的勒索軟體,同時也表明該組織已經將其犯罪活動範圍擴大到勒索軟體。
2017年初,INDRIK SPIDER對Dridex的運營也發生了變化。Dridex惡意軟體從“大體積+廣泛撒網”變為“小體積+特定目標攻擊”,因此Dridex惡意活動佔比也有顯著下降。在此期間,Dridex的快速發展趨勢也有所平緩,2017年釋出的版本數量與前幾年相比顯著下降。同時,我們也觀察到Dridex與BitPaymer勒索軟體具有高度相關性。我們調查了BitPaymer的相關事件,發現網路中主機在感染BitPaymer勒索軟體之前,都首先感染了Dridex。另外,還有一點不尋常之處,Dridex和BitPaymer都是通過滲透測試相關的橫向移動技術在受害者網路中實現傳播的。
因此,INDRIK SPIDER已經將模式轉變為:有針對性的面向特定組織進行高額勒索。這也標誌著該組織的運營策略發生了轉變,他們開始傾向於有針對性、低成本、高回報的犯罪活動,也就是我們稱為大型狩獵遊戲的網路犯罪行為。自從這一策略轉變以來,INDRIK SPIDER已經使用BitPaymer勒索軟體作為這些犯罪活動的重要工具,並且在勒索軟體投入運營的前15個月內獲得了約150萬美元的非法收入。
二、針對特定目標投遞
我們針對多起活躍的BitPaymer事件進行了應急響應支援。根據從這些事件應急中收集的資訊,並結合此前我們掌握的關於Dridex的情報,可以深入瞭解INDRIK SPIDER是如何部署和運營Dridex和BitPaymer的。下圖是該過程的簡要描述。
在近期處理的BitPaymer事件中,我們認為其最初感染媒介是FlashPlayer外掛和Chrome瀏覽器的虛假更新。攻擊者首先入侵合法網站,隨後釋出這些虛假更新,並通過社會工程學誘導使用者下載並執行惡意的可執行檔案。我們發現,其他惡意軟體也通過相同的虛假更新來提供,因此推斷,這些虛假更新應該是一個“根據安裝次數付費”的服務。
2.1 Shell/">PowerShell Empire的橫向移動
在感染之後,我們發現被感染主機上運行了Dridex載入程式和PowerShell Empire。PowerShell Empire是一款專為滲透測試而開發的後漏洞利用階段代理,用於在主機之間橫向移動。在主機之間橫向移動期間,PowerShell Empire代理以名為Updater的服務執行,如下圖所示。
在橫向移動過程中,我們還觀察到PowerShell Empire在被感染網路的伺服器上部署了Mimikatz模組。Mimikatz是一種用於在Windows主機上獲取憑據的後期利用工具。在獲取憑據後,惡意軟體會使用得到的憑據進行進一步的橫向移動。對於PowerShell Empire成功移動的主機,將會下載並安裝Dridex載入工具。該惡意軟體將持續進行橫向移動,一旦檢索到環境的域憑據,就會將PowerShell Empire和Dridex載入工具全部安裝在域控上。該過程自動執行,其傳播速度取決於主機被攻陷的速度。
儘管Dridex的主要功能是載入模組以進行欺詐活動,但其最新版本的更新還允許它執行系統和網路偵查。這些偵查功能包括:收集主機上當前使用者及相關資訊、列出本地網路中的計算機以及提取系統環境變數。這些資訊可能用於幫助攻擊者識別被攻擊網路中的目標。
在某些場景中,我們還觀察到,在域控受到攻擊後、BitPaymer安裝之前,存在幾天停止惡意活動的時間。我們認為,這段時間間隔是用於偵查和資訊收集,以便讓惡意活動運營者決定如何能最大化收益。
2.2 通過PowerShell Empire和組策略物件部署的勒索軟體
一旦域控制器被成功入侵,有兩種不同的方式執行BitPaymer的部署。在其中一個場景中,僅將域控制器和其他關鍵基礎架構(如薪資支付伺服器)作為攻擊目標,使用PowerShell Empire直接在這些伺服器上下載並執行BitPaymer惡意軟體。
在另一個場景中,BitPaymer惡意軟體被下載到目標網路的網路共享中,並且一個名為gpupdate.bat的啟動指令碼通過域控制器的組策略物件(GPO)被推送到網路中所有主機。該指令碼將從共享中複製BitPaymer,並在網路中的所有主機上執行該惡意程式,最終導致數千臺計算機的感染和檔案被加密。
2.3 發動APT攻擊
這種有針對性的部署方式,涉及到憑據竊取、橫向移動和系統管理員工具的使用,非常類似於我們此前監測到的某些惡意組織和滲透測試團隊的行為。由於目前已經針對特定受害者勒索高價贖金,因此INDRIK SPIDER組織就不再需要擴充套件其違法業務,目前已經有能力根據受害者的環境定製工具,並在攻擊的過程中發揮更積極的作用。
三、BitPaymer勒索軟體
儘管首次發現BitPaymer被使用是在2017年8月,當時有攻擊者使用這一惡意軟體攻擊了幾家NHS醫院,但實際上,該病毒最初是由Twitter使用者Michael Gillespie在2017年7月發現的。後來,在2018年1月,釋出了一份報告,確定了BitPaymer勒索軟體和Dridex惡意軟體之間的相似之處。該報告的作者將惡意軟體重新命名為“FriedEx”。我們分析了這一惡意軟體,並確認BitPaymer/FriedEx和Dridex惡意軟體之間具有相同部分。
由於勒索軟體是針對特定目標的,因此BitPaymer為每個惡意活動量身定製,具有單獨的加密金鑰、贖金通知和嵌入惡意軟體的聯絡方式。因此,惡意軟體也有多種版本。目前,我們已經確定了兩個主要變種:一種較舊的變種,它將加密過程分為多個“模式”,每種模式都用於完成一個特定的任務;此外還有一個較新的變種,它作為服務來執行。
3.1 BitPaymer也稱為“wp_encrypt”
在分析過程中,我們掌握了包含程式資料庫(PDB)字串S:\Work\_bin\Release-Win32\wp_encrypt.pdb的勒索軟體構建方式。基於這一字串,惡意軟體開發人員也將該勒索軟體稱為wp_encrypt。PDB字串還包含字首字串S:\Work\,它與其他Dridex模組相同,具體如下所示。此外,勒索軟體還包含來自Dridex模組的程式碼,勒索軟體的一些變體與Dridex載入工具的程式碼相似度高達69%。
各模組名稱與描述如下:
1、loader:下載並安裝核心Dridex模組,包括其worker。
2、vnc:提供遠端桌面訪問。
3、netcheck:檢查網路連線。
4、spammer:垃圾郵件模組。
5、worker:負責銀行木馬功能的核心元件,包括鍵盤記錄、Web注入、下載並執行第二階段Payload等。
6、trendmicro:在TrendMicro防病毒檢測軟體中,將Dridex模組列入白名單。
7、wp_decrypt:BitPaymer解密工具。
3.2 反分析技術
BitPaymer惡意軟體的兩個變種都具有多種反分析技術。惡意軟體開發人員採用了加密字串、字串雜湊和動態API解析等方案,確保二進位制檔案中不包含任何字串。
3.3 加密字串表
BitPaymer惡意軟體在二進位制檔案的rdata部分中包含一個加密字串的小表。這些字串使用標準RC4演算法加密,其中前40個位元組構成RC4金鑰,其餘資料包含加密字串表。這部分內容將在執行時根據實際需要使用。解密字串表中的字串以空位元組分隔,並且按順序引用。該字串表加密方法與其他Dridex惡意軟體中所使用的方法相同,包括40位元組金鑰長度和rdata部分中表格的字串。字串表中包含勒索軟體加密過程使用的RSA公鑰、勒索提示、副檔名和加密目標特徵字串等內容。
3.4 字串雜湊
除了加密的字串表之外,BitPaymer還是用雜湊值替換二進位制檔案中的剩餘字串,並使用演算法將這些雜湊值與主機上存在的字串進行匹配。例如,在設定永續性執行鍵時,BitPaymer並沒有簡單地開啟登錄檔項HKCU\Software\Microsoft\Windows\CurrentVersion\Run,而是使用API RegEnumKeyW迭代所有登錄檔項,比較它們的雜湊值,直至找到正確的鍵值。雜湊演算法負責生成字串的CRC32雜湊。該雜湊使用簡單的XOR與DWORD組合。對於每個惡意軟體版本,其DWORD都不同。這裡使用到的字串雜湊演算法,與其他Dridex模組中使用的雜湊演算法相同。雜湊值演算法如下面的Python程式碼所示。
Import binascii Def get_string_hash(string_value, key_dword): Crc_hash = binascii.crc32(string_value.lowercase()) & 0xffffffff Hash_value = crc_hash ^ key_dword Return hash_value
3.5 動態API解析
惡意軟體中使用到的Windows API會在執行時動態解析。針對每個API,其函式名稱和DLL名稱都經過雜湊處理,並存儲在二進位制檔案中。在執行過程中,如果需要API,惡意軟體會遍歷Windows系統目錄中的所有DLL,將其名稱的雜湊值與預先計算好的DLL雜湊值進行比較,直至找到。然後,惡意軟體將載入DLL,並迭代匯出表,將API名稱的雜湊值與預期雜湊值進行比較,直至找到。用於API名稱的雜湊演算法與用於字串雜湊的CRC32演算法相同。但是,在對DLL名稱進行雜湊處理時,BitPaymer會事先將字串轉換為大寫。此過程也適用於其他Dridex模組。
3.6 持久化
BitPaymer的舊“模式”變種使用Windows登錄檔實現持久化,而新版變種則嘗試將其自身安裝為服務。如果失敗,則會嘗試使用Windows登錄檔。
舊的“模式”變種首先將自身複製到%USERPROFILE%\AppData\Local或%USERPROFILE%\AppData\LocalLow目錄下,具體選擇取決於其程序完整性級別。然後,它將向登錄檔項HKCU\Software\Microsoft\Windows\CurrentVersion\Run中新增一個新的登錄檔值,其中包含剛剛複製的惡意軟體的路徑。登錄檔值名稱是一個隨機生成的字串,介於5-15個字元之間,其中包含大寫字母、小寫字母及數字。
3.7 Windows事件檢視器UAC繞過(eventvwr.msc)
當執行BitPaymer的新版變種時,它首先會確定是否正在從備用資料流(ADS)中執行。如果沒有,惡意軟體將在%APPDATA%資料夾中建立一個檔案,其檔名長度在3-8個字元之間,包含大寫字母、小寫字母及數字。然後,它將自身複製到新建立檔案的備用資料流:bin,並從流中建立新程序。
當從備用資料流執行惡意軟體時,它會檢查程序完整性級別。如果沒有以高於中等完整性(Medium Integrity)的級別執行,則會嘗試提升其許可權。為了防止在許可權提升期間產生使用者訪問控制(UAC)提示,惡意軟體早在2016年8月就使用了UAC繞過技術。該繞過需要臨時設定登錄檔項HKCU\Software\Classes\ms-settings\shell\open\command(Win 10)或HKCU\Software\Classes\mscfile\shell\open\command(Win 7),來執行惡意軟體。在設定登錄檔項後,惡意軟體將啟動Windows事件檢視器程序eventvwr.msc,該程序將會在無意中以提升後的許可權啟動登錄檔項中的惡意軟體集。
3.8 劫持服務
如果沒有成功實現許可權提升,那麼惡意軟體將會採取與舊變種相同的技術,利用登錄檔項HKCU\Software\Microsoft\Windows\CurrentVersion\Run來新增永續性。如果惡意軟體成功實現許可權提升,則會開始遍歷主機上配置為以LocalSystem身份執行的現有Windows服務。惡意軟體選擇當前未處於活動狀態的服務,並會忽略啟動可執行檔案svchost.exe和lsass.exe的服務。針對每個服務,惡意軟體會嘗試控制服務的可執行檔案,首先使用帶有/reset標誌的icacls.exe來重置可執行檔案的許可權,隨後使用帶有/F標誌的takeown.exe獲取可執行檔案的所有權。
如果成功,惡意軟體會在可執行檔案中建立:0備用資料流,並將可執行檔案的內容複製到流中,從而可以在後面恢復可執行檔案。然後,惡意軟體使用自身副本,替換可執行檔案的內容,並啟動該服務。可執行檔案的檔案修改時間也被人為地更改為00:00:00 UTC。這一更改的目的是通過解密工具識別和恢復檔案。
一旦服務被成功劫持,惡意軟體就會停止嘗試劫持其他服務,並退出。如果沒有符合要求的服務,那麼BitPaymer將會退出,同時不會對任何檔案進行加密。
3.9 刪除影子檔案
在加密之前,BitPaymer的兩種變種都試圖從主機中刪除備份影子檔案(Shadow Files),從而使使用者無法恢復加密檔案。這一過程是通過使用以下命令啟動vssadmin程序來實現的:
vssadmin.exe Delete Shadows /All /Quiet
3.10 加密
字串表中包含一個字串,其作用類似於惡意軟體加密目標的配置標誌。字串包含字母F、R、N、S的組合。在加密過程中,將會檢查此標誌中的字母,以確定要加密的驅動器型別。每個字母所代表的驅動器型別如下,我們分析的所有BitPaymer樣本都啟用了全部四個標誌,從而實現對儘可能多的檔案進行加密。
字母F:加密固定驅動器
字母R:加密可移動驅動器
字母N:加密網路驅動器(已裝載)
字母S:搜尋域/工作組上的網路共享,並進行加密
3.11 網路共享加密
為了實現加密網路共享,BitPaymer將嘗試遍歷登入到被感染主機上每個使用者的會話,並使用每個使用者的Token建立一個新的程序。這些新程序將首先使用view引數生成net.exe程序,用於收集網路中可訪問主機的列表。針對每個主機,BitPaymer會使用新發現的主機作為引數,使用命令net view <host>生成另一個net.exe程序。這樣一來,將會返回主機上可以模擬使用者的網路共享列表。一旦收集了所有網路共享的列表後,BitPaymer就會嘗試掛載它們,並進行加密。
3.12 加密例程
針對每個目標驅動器,惡意軟體會遞迴遍歷所有檔案和目錄。對於每個檔案,都會將其檔名和路徑,與“排除的檔名列表”和兩個排除的目錄名列表進行比較。這些排除的列表由位於加密字串表中的正則表示式型別字串組成。如果檔名和路徑與排除列表中的任何正則表示式都不匹配,就會對檔案進行加密。
檔案加密演算法使用CryptImportPublicKeyInfo,從加密字串表中匯入硬編碼的RSA 1024位公鑰,並且對於每個檔案使用CryptGenKey生成128位RC4金鑰。 然後使用RC4金鑰加密檔案。 加密後,檔案將變為具有相同名稱的新檔案,其副檔名後將附加關鍵字.locked。
RC4金鑰將會匯出,作為使用RSA金鑰和Base64編碼加密的SIMPLEBLOB。此後,勒索軟體將建立第二個檔案,其名稱與被加密檔案的名稱相同,但其副檔名後將附加關鍵字.readme_txt。該檔案將用於儲存勒索提示,同時將RSA加密、Base64編碼後的RC4金鑰與KEY: 字串一同附加到此檔案中,如下圖所示。
由於金鑰沒有附加到加密檔案,而是寫入到單獨的檔案,所以如果包含勒索提示的檔案被意外刪除或移動到單獨的目錄,則加密檔案將無法恢復。在較新的變種中,我們找到了關於不要對readme_txt檔案進行操作的警告,而舊版勒索軟體的提示中則沒有這段內容。
根據勒索提示,我們可以看出這種勒索軟體專門針對的是公司,而不是個人。如果沒有支付贖金,勒索軟體製作者還威脅將會洩露收集到的隱私資訊。儘管勒索軟體自身並沒有功能來收集資訊,但實際上勒索軟體是與Dridex惡意軟體一起部署到主機上的,而Dridex惡意軟體包含可以從受感染主機中收集資訊的模組。
嵌入式RSA公鑰的使用,表明勒索軟體建立的每個二進位制檔案對於特定目標來說都是唯一的。根據設計,解密工具需要包含相應的RSA私鑰。因此,如果二進位制檔案用於多個目標,那麼只需支付一次贖金,就可以獲取私鑰,隨後便可以使用私鑰解密所有受感染的主機。我們已經掌握了與BitPaymer相關的多種解密工具,這些工具也證實了攻擊者針對每個目標使用單獨金鑰的推測。
四、勒索提示和解密過程
BitPaymer的勒索提示發生了多次變化,第一次更改是在2017年7月首次發現惡意活動後不久進行的。最初,INDRIK SPIDER在勒索提示或基於TOR的支付門戶中,提供了所有必須的資訊,這意味著受害者只需與攻擊者進行很少的互動,即可完成支付。但是,後來的勒索提示中刪除了一些關鍵資訊,從而迫使受害者需要向INDRIK SPIDER組織傳送電子郵件,從而獲取付款和解密詳情。下表列舉了BitPaymer勒索提示所發生的變化。
通過從提示中刪除贖金要求,INDRIK SPIDER可以隨意更改勒索的金額,這一金額可能取決於組織的規模和受害者聯絡的速度。
4.1 電子郵件支援解密
與其他的一些勒索軟體操作不同,INDRIK SPIDER要求受害者與運營者進行通訊。我們針對受害者與運營者的電子郵件通訊過程進行了分析,揭示了勒索軟體運營者是如何與受害者進行付款談判,以及如何傳送解密指令的。
在我們嘗試與INDRIK SPIDER運營者進行郵件通訊後,運營者提供了一些關鍵資訊,例如比特幣地址和贖金金額。同時,該惡意阻止也願意對受害者選擇的兩個特定檔案進行解密,以此證明他們能夠成功解密。
在通訊過程中,惡意組織明確表示,他們不願意就贖金金額進行談判,並且明確說明受害者可以通過多個比特幣交易所來購買比特幣,匯率應根據當時價格來進行計算。
惡意組織的贖金要求,可能是準確美元價格對應的比特幣,也可能是特定數量的比特幣,我們推測會根據比特幣的行情而發生變化。在通訊中,受害者被告知要使用TOP 10的比特幣交易所進行交易,同時他們還應該尋求當地IT支援公司的協助。值得注意的是,INDRIK SPIDER還限定了受害者應該聯絡的IT支援公司的地理位置範圍,以確認他們掌握受害者的關鍵資訊。
在付款完成後,INDRIK SPIDER將確認收到,並說明解密器將在幾個小時內交付。儘管在此前,惡意組織承諾會在收到付款後1小時之內交付解密器,但實際上他們是在4小時內完成交付的。我們認為,這一情況,可能是由於INDRIK SPIDER運營者和受害者存在時差造成的。
INDRIK SPIDER使用檔案共享平臺來分發BitPaymer解密器。在向受害者傳送的大量電子郵件中,INDRIK SPDIER運營者提供瞭解密器下載連結、解密器刪除連結(在解密器下載後使用)和密碼。同一封郵件中,還提供了有關如何下載和使用BitPaymer解密器的說明,包括如何刪除惡意軟體的永續性。運營者還說明,他們將使用相同電子郵件地址進行通訊,提供更長時間的協助,這一時間通常會持續到那一週的結束。有趣的是,INDRIK SPIDER為受害者提供了幾個重要的安全建議,有助於避免進一步感染惡意軟體,其中不僅包含安全建議,還包含INDRIK SPIDER如何破壞組織並橫向移動,直至獲得域控制器訪問許可權的說明。
4.2 贖金支付
針對不同目標,其贖金支付的要求也有所不同,這表明INDRIK SPIDER可能會根據受害組織的規模和價值來計算贖金金額。目前,已經發現的最低付款金額為10000美元,最高金額接近200000美元。
以下是惡意組織所使用的比特幣地址,以及他們所收到的美元金額:
12AWdHJkwF193ud21XWGontyCJTW6A9i6p$197,596.05 1Ln9RxSRuDqqFhCTuqBPBKRMeyhVhRaUG4$0 1BWj247jtipKr1wuFciKypeidZVwZWHCi9$77,651.59 19aF868XPJhNqheXWgvrHPqnXpwhttf3Hw$173,315.48 14uAWnPnhtrXDB9DTBCruToawM65dUgwot$740,752.71 1PNmBWJHzJGqTUemastR7E4ccrUNASktmZ$172,793.80 1DWbPyjmbKA1NFqv3nyL47y9Vsz6WFU4Hw$192,867.22
截至2018年11月1日,我們觀察到受害者已經向INDRIK SPIDER控制的比特幣地址共支付了185.7個比特幣,總金額為1554977美元(根據文章撰寫時的當前匯率)。
五、INDRIK SPIDER惡意組織未來發展趨勢
INDRIK SPIDER惡意組織由經驗豐富的惡意軟體開發者和運營者組成,可能他們自2014年6月開始就在運營Dridex惡意軟體。該惡意組織的運作方式在2017年初發生了顯著吧電話,Dridex運營開始變得更有針對性,從而導致分發數量和Dridex子殭屍網路數量的減少。BitPaymer勒索軟體的運營始於2017年7月。
毫無疑問,BitPaymer勒索軟體對於這個犯罪集團來說是成功的,每位願意支付贖金的受害者都支付了高昂的費用。與此同時,該惡意組織持續運營Dridex銀行木馬。在近四年的運營中,Dridex持續為他們帶來非法收入,但一些針對特定目標的銀行詐騙活動可能需要事先進行細緻的規劃。因此,勒索軟體為該惡意組織提供了高收益,也降低了運營者和開發者所需付出的成本。
我們預計,INDRIK SPIDER將會繼續運營Dridex和BitPaymer,兩種惡意軟體將互為補充。在銀行欺詐不能得到足夠收益的時候,他們會將重心放在勒索軟體上。目前可以看出,他們的低規模、針對特定目標、高贖金價格策略非常有效。
INDRIK SPDIER並不是唯一一個將大型企業作為目標的犯罪分子。第一個針對大型企業進行勒索的勒索軟體名為Samas(又稱為SamSam),由BOSS SPDIER惡意組織開發和運營。自從1月2日至1月16日首次發現它們以來,這一惡意組織始終以大型企業為目標,並要求高額贖金。2017年7月,INDRIK SPIDER釋出了BitPaymer勒索軟體。此後,被稱為Ryuk的勒索軟體在2017年8月被發現,我們將其運營團隊稱為GRIM SPIDER惡意組織,該勒索軟體也針對大型組織。
我們預計,INDRIK SPIDER、BOSS SPIDER和GRIM SPIDER這三個惡意組織將在短時間內繼續運營,並且其他針對大型組織的威脅也將發生增長。其他犯罪分子可能也在考慮開發並使用複雜的勒索軟體。但考慮到需要擁有熟練的技術、適合的工具和特定的惡意軟體,我們預計只有少數犯罪集團能夠發動這種型別的攻擊。然而,我們認為這一攻擊的趨勢將持續增長。
六、IoC
我們分析的BitPaymer樣本,SHA256雜湊值及建立時間(UTC)如下:
c7f8c6e833243519cdc8dd327942d62a627fe9c0793d899448938a3f101494812017-10-22 07:48:04 17526923258ff290ff5ca553248b5952a65373564731a2b8a0cff10e56c293a42017-06-08 14:20:38 282b7a6d1648e08c02846820324d932ccc224affe94793e9d63ff468180036362017-06-30 09:33:52 8943356b0288b9463e96d6d0f4f24db068ea47617299071e6124028a8160db9c2018-01-26 14:43:27
我們分析的BitPaymer解密器樣本,SHA256雜湊值及建立時間(UTC)如下:
f0e600bdca5c6a5eae155cc82aad718fe68d7571b7c106774b4c731baa01a50c2017-06-07 15:08:59 b44e61de54b97c0492babbf8c56fad0c1f03cb2b839bad8c1c8d3bcd0591a0102017-08-02 15:40:03 13209680c091e180ed1d9a87090be9c10876db403c40638a24b5bc893fd875872017-11-07 14:40:50
我們分析的BitPaymer感染階段部署的Dridex樣本,SHA256雜湊值及建立時間(UTC)如下:
91c0c6ab8a1fe428958f33da590bdd52baec868c7011461da8a8972c3d989d422018-05-01 14:43:04 f1d69b69f53af9ea83fe8281e5c1745737fd42977597491f942755088c994d8e2018-05-01 00:35:47 39e7a9b0ea00316b232b3d0f8c511498ca5b6aee95abad0c3f1275ef029a0bef2018-02-18 12:38:40