Español | English
rss facebook linkedin Twitter

Dridex aprende un nuevo truco: P2P sobre HTTP



Después de varios meses por fin tenemos una respuesta a la pregunta lanzada por nuestro amigo Roman en este post sobre la saga Cridex/Feodo/Geodo/Dridex. Entonces presenciamos el nacimiento de una nueva versión de de Feodo bautizada como Dridex y hace unos días el departamento de Ecrime de S21Sec detectó una nueva variante de Dridex que incorporaba cambios evidentes.


Mas allá del cifrado de la configuración (previamente esta siempre se encontraba en texto plano), el cambio que inmediatamente capto nuestra atención fue la presencia de una nueva etiqueta dentro del XML intercambiado durante la comunicación del troyano con el panel de control.

La muestra fue detectada por nuestro sistema de seguimiento para la botnet de Dridex cuando este falló en actualizar automáticamente la actualización de los binarios del C&C. Quedamos sorprendidos al comprobar que la versión de este nuevo binario era 2.0.17 (131089), lo que supone un gran salto respecto a actualizaciones anteriores las cuales habían incrementado gradualmente la versión desde 1.0.135 (65671) a 1.0.158 (65694).


En la siguiente imagen se puede apreciar como se hace referencia a la nueva etiqueta dentro en el código de la muestra:


Otro cambio evidente es que la nueva variante ejecuta un servidor de HTTP que se sitúa a al escucha en el puerto 80.

Como se puede comprobar en la captura del Wireshark bajo estas lineas, los nodos usan un esquema básico de autenticación para conectarse.


El bot notifica su existencia al resto de nodos su existencia enviando el siguiente mensaje:



Durante los últimos tres días, todas las peticiones enviadas a esta botnet han resultado en una respuesta vacía. Por ello asumimos que se está utilizando el protocolo de comunicación tanto para la administración como para la actualización de la botnet.

Nos gustaría señalar que la comunicación P2P se realiza sobre HTTP. Solo podemos conjeturar los motivos de los sus desolladores para hacerlo así, pero partimos de la base que no ha sido para incrementar el rendimiento o eficiencia sino para incrementar la resistencia de la botnet ante intentos de cierre e así como incrementar el sigilo de la misma.

Hasta donde hemos podido ver, los ficheros de configuración actualizados afectan a más de 120 entidades en más de 20 paises, incluyendo muchos del Sudeste Asiático, afectando a diversos sectores más allá del bancario tales como: medios digitales, hosting y publicidad online.

Como se puede ver los des arrolladores de malware siguen mejorando su código y añadiendo nuevas funcionalidades para dificultar el cierre y seguimiento de las botnets. Esta vez ha sido Dridex, sin embargo hemos apreciado cambios en otras familias que esperamos discutir en futuras publicaciones




(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login