어떻게 작동합니까?
Dridex 멀웨어는 다양한 방법으로 배포할 수 있습니다. 몇 가지 일반적인 예는 다음과 같습니다 phishing emails, 익스플로잇 키트 및 Emotet과 같은 멀웨어 다른 멀웨어 제품군에 의한 2단계 감염으로 전달됩니다.
감염된 시스템에서 실행되면 Dridex는 프로세스 주입 및 후킹을 사용하여 스크린샷 및 키 입력 정보에 액세스합니다. 또한 웹 브라우저에서 정보를 수집하고, 공격자가 원격으로 제어하고, 다른 멀웨어를 다운로드하여 실행할 수 있습니다. 종종 Dridex는 man-in-the-browser 공격을 수행하고 사이버 범죄자가 은행 계좌, 이메일 및 소셜 미디어에 대한 자격 증명을 훔칠 수 있도록 하는 웹 주입 모듈을 사용합니다.
Dridex 멀웨어의 진화
Dridex 멀웨어는 은행으로 시작되었습니다. 트로이 목마, 감염된 컴퓨터에서 온라인 뱅킹 플랫폼에 대한 로그인 자격 증명을 수집합니다. 이것은 계속해서 기능의 핵심 부분이며 대부분의 Dridex 공격은 금융 서비스 산업을 대상으로 합니다., 최근 몇 년 동안 기능을 확장했습니다.
이제 Dridex는 TrickBot 및 Qbot과 유사한 정보 훔치기 및 봇넷 기능도 통합합니다. 멀웨어는 이러한 경쟁사에 비해 쇠퇴하는 것처럼 보이지만 여전히 활발한 개발이 진행 중입니다. 2021년 9월, 멀웨어의 새로운 변종 발견되었다 멀웨어의 정보 도용 기능을 확장하고 악성 Excel 문서를 전달하는 새로운 피싱 캠페인에 사용되었습니다. Dridex는 또한 2021년 12월에 Log4J 취약점 취약성을 활용하는 멀웨어 중 선두 주자였습니다.
Dridex 멀웨어로부터 보호하는 방법
Dridex는 뱅킹 트로이 목마, 봇넷 멀웨어 및 인포스틸러의 기능을 결합하고 다양한 방식으로 배포됩니다. 조직이 Dridex 감염으로부터 보호하고 그 영향을 관리할 수 있는 몇 가지 방법은 다음과 같습니다.
- Anti-Phishing Protection: Dridex는 주로 악성 첨부 파일 내에서 피싱 캠페인을 통해 배포됩니다. 멀웨어가 기업 시스템에 도달하는 것을 방지하려면 멀웨어가 직원의 받은 편지함에 도달하기 전에 샌드박스 환경에서 멀웨어를 분석하고 식별할 수 있는 안티피싱(Anti-Phishing) 솔루션이 필요합니다.
- Content Disarm and Reconstruction (CDR): 종종 Dridex는 Microsoft Office 매크로를 사용하여 악성 문서에 포함됩니다. CDR을 사용하면 삭제된 버전이 의도한 수신자에게 전송되기 전에 문서에서 악성 기능을 제거할 수 있습니다.
- 업데이트 및 패치 관리: 피싱 공격 외에도 Dridex는 Log4J 취약점과 같은 패치되지 않은 취약점을 악용하여 확산됩니다. 업데이트 및 패치를 즉시 설치하면 Dridex의 악용 및 감염으로부터 취약한 시스템을 보호하는 데 도움이 될 수 있습니다.
- 엔드포인트 탐지 및 대응(EDR): 시스템에 존재하면 Dridex 멀웨어는 다양한 기술을 사용하여 민감한 정보를 훔치고 기타 악성 기능을 수행합니다. EDR 솔루션은 이러한 작업을 식별하고 감염 치료 프로세스를 시작할 수 있습니다.
- 다중 인증(MFA): Dridex 멀웨어는 손상된 컴퓨터에서 로그인 자격 증명을 훔쳐 직원의 계정을 탈취하도록 설계되었습니다. 기업 전체에서 MFA를 사용하도록 적용하면 공격자가 멀웨어에서 훔친 자격 증명을 사용하기가 더 어려워집니다.
- 최소 권한 액세스(Least Privilege Access): Dridex 공격이 성공하면 공격자는 하나 이상의 회사 계정을 제어하게 됩니다. 조직이 제로 트러스트 원칙을 따르고 최소 권한을 구현한 경우 이러한 손상된 계정의 영향이 최소화됩니다.
- 계정 행동 모니터링: 공격자가 회사 계정에 대한 액세스 권한을 얻으면 이 액세스 권한을 악용하여 목표를 수행합니다. 회사 계정의 동작을 모니터링하면 조직에서 손상된 계정을 가리킬 수 있는 변칙을 감지할 수 있습니다.
- Employee Security Training: Dridex를 확산시키는 데 사용되는 것과 같은 피싱 캠페인은 수신자를 속여 멀웨어를 실행하도록 하는 데 의존합니다. 피싱 공격을 인식하고 적절하게 대응하도록 직원을 교육하면 기업 사이버 보안에 대한 위험을 줄일 수 있습니다.
Dridex 멀웨어를 어떻게 제거할 수 있습니까?
Dridex는 탐지를 피하고 제거하기 어렵게 설계된 정교한 멀웨어입니다. 감염된 시스템에서 멀웨어를 완전히 근절하지 못하면 재감염될 수 있습니다. 이러한 이유로 Dridex 멀웨어를 제거하는 가장 좋은 방법은 엔드포인트 보안 솔루션을 사용하는 것입니다. 이러한 도구는 감염된 컴퓨터에서 멀웨어를 완전히 제거할 수 있습니다.
Dridex Detection and Protection with 체크 포인트
Dridex는 인포스틸러, 뱅킹 트로이 목마 및 봇넷 기능으로 엔터프라이즈 데이터 및 사이버 보안에 심각한 위협을 가합니다. Dridex 및 조직이 직면한 다른 주요 멀웨어 위협에 대해 자세히 알아보려면 2022 Cybersecurity Report Check Point Research.
Dridex 및 기타 멀웨어로부터 보호하려면 새로운 위협과 새로운 위협을 식별할 수 있는 강력한 엔드포인트 보안이 필요합니다. 방법에 대해 자세히 알아보기 Harmony Endpoint 조직의 디바이스를 보호하는 데 도움이 될 수 있습니다. 무료 데모 요청.
피드백