Dridex Best Practices

By on

Limiter et protéger votre entreprise contre les attaques de type Dridex peut se faire à différents niveaux d’interception : Fichiers, Registre, URL et IP, et celà à travers plusieurs technologies des gammes de produits McAfee. La protection contre ce type de codes malveillants extrêment volatile nécessite une approche multi niveaux et une coordination entre les différents outils.

Pour tous les détails sur DRIDEX et le downloalder l’accompagnement:

  1. https://kc.mcafee.com/corporate/index?page=content&id=PD25689 – W97M/Downloader
  2. https://kc.mcafee.com/corporate/index?page=content&id=PD25982 – Dridex

Au niveau de vos Endpoints:

Il est primordial au niveau du Endpoint de mettre en place et d’activer les détections par réputations à travers le Global Threat Intelligence sur toutes les technologies utilisées.

Il est possible de plus au regard du fonctionnement des codes DRIDEX d’activer des régles de détections au niveau de la protection d’accés de Virusscan Enterprise.

Pour plus de détails sur les étapes à suivre pour mettre en place les régles de protections ou d’alertes d’accés :

How to create a user-defined Access Protection Rule from a VSE 8.x or ePO 5.x console

How to use wildcards when creating exclusions in VirusScan Enterprise 8.x

DRIDEX présente un comportement dans lequel il se copie dans le répertoire Admin d’Application Data en utilisant le terme Edge ou edg et une valeur numérique aléatoire, voici des exemples :

Win XP:

 C:\Documents and Settings\Administrator\Application Data\Local Settings\edge or edg[random.hex].exe

 WIN7:

C:\Users\Administrator\Appdata\local\edge or edg[random.hex].exe

Nos utilisateurs peuvent ainsi utiliser une régles d’Access Protection pour restreindre ou auditer la création de nouveaux fichiers ou repertoires :

Selectionner New files being created et ajouter les information suivantes : File or folder name to block:

  • [OS installed drive]\Documents and Settings\[administrator]Application Data\Local Settings\edge or edg[random.hex].exe

[random. hex] peut être remplacé par ‘*’ ou par un élément plus précis ce qui peut donner par exemple *.tmp ou edge123.tmp.

Example Access Protection Rules

Windows 7:

 Premier

 Windows XP:

Second

Pour la DLL droppée:

Troisieme

Il est possible aussi de bloquer des éléments de DRIDEX via Host Intrusion Prevention

  • Pour blacklister une application avec une signature personnalisée Host Intrusion Prevention (Host IPS) KB71329.
  • Pour bloquer un binaire à travers une règle KB71794.
  • Pour créer une règle qui protége contre le hooking entre executables KB71794.

*** Disclaimer: Usage of *.* in access protection rules will prevent all types of files from running and being accessed from that specific location. If specifying a process path under “Processes to Include”, the use of wildcards for Folder Names may lead to unexpected behavior. Users are requested to make this rule as specific as possible.

Au niveau des passerelles mails :

Il n’est pas nécessaire de repasser trop de temps sur les basiques mais néanmoins réenforcer l’attention des utilisateurs reste clef :

  • Ne pas ouvrir les pièces jointes venant d’expéditeur inconnu
  • Si un email parait trop intéressant, sur-vendeur, ou étrange supprimez le
  • Aucun organisme ne vous demande jamais vos coordonnées bancaires

Le renforcement des régles dans les passerelles mails permet aussi de limiter les impacts de DRIDEX via :

  • Interdiction des executables en pièces jointes
  • L’activation de la fonction : Find all macros and treat as infected

mail

Nouvelles technologies:

Il est a noter que la technologie Threat Intelligence Exchange associée à Advanced Threat Defense vous permet de protéger vos employés des attaques de type DRIDEX. De plus ces technologies vous permettent aussi d’utiliser les IOCs d’autres sources afin d’augmenter votre niveau de protection global: https://www.youtube.com/watch?v=Wxvizasvj8k&feature=player_embedded

Dans TIE la régle :  Malware Dropped by Infected Microsoft Office Documents permet une anticipation de la menace, plus d’information sur : https://community.mcafee.com/docs/DOC-6908

Enfin Application Control permet une couverture optimale sur les machines.

Conclusion:

Même si les techniques utilisées par DRIDEX ne sont pas nouvelles il est toujours compliqué de bloquer toutes les variantes avec une approche uniquement basée sur les signatures. L’activation de GTI , la soumission d’échantillons permettent une amélioration significative du taux de couverture. La meilleure approche étant l’utilisation de la Sécurité Connectée à travers TIE, et ATD afin de travailler sur le comportement et découvrir les patients zéros afin de protéger le reste de l’infrastructure à travers le partage d’intelligence https://community.mcafee.com/docs/DOC-6462

Merci à mes collégues, Emmanuel Flores, Vinoo Thomas et John Health.

5 comments on “Dridex Best Practices

Leave a Comment

Similar articles

Destructive malware has been employed by adversaries for years. Usually such attacks are carefully targeted and can be motivated by ideology, politics, or even financial aims. Destructive attacks have a critical impact on businesses, causing the loss of data or crippling business operations. When a company is impacted, the damage can be significant. Restoration can ...
Read Blog