犯罪集团INDRIK SPIDER，使用APT＋勒索手段针对大型企业实行天价敲诈＆其他情报

威胁情报：

一、

老牌网络犯罪集团INDRIK SPIDER ，一个从2014年6月就开始批量投放Dridex银行木马的组织，这么多年来持续运营。而经过crowdstrike的观察发现，该集团开始使用名为BitPaymer的勒索软件进行定点攻击投放。

具体作案流程图如下，很具体的图，不解释了。

感染途径目前被定位为针对FlashPlayer插件和Chrome浏览器来提供伪造更新。

类似如下。

这些伪造更新通过已被入侵的合法网站提供，并使用社会工程学诱骗用户下载和运行恶意可执行文件。

这些伪造更新系列似乎是付费服务（这年头提供这种服务都是发财之道），INDRIK SPIDER仅使用该服务来传送其恶意软件，因为其他恶意软件也通过相同的广告系列提供。

感染后就开始进行横向移动了。

在受害者主机上运行着Dridex加载器和PowerShell Empire。

PowerShell Empire是一种专为渗透测试而开发的后期开发代理，用于在主机之间横向移动。

之后PowerShell Empire会在受害者服务器上部署Mimikatz模块。然后开始抓密码，搞域控。

需要注意的是，Dridex加载程序的最新版本还允许它执行系统和网络侦察。这些侦察功能包括收集有关主机上当前用户的信息，列出本地网络上的计算机以及提取系统环境变量的功能，当然是为了寻找有价值目标。

一旦搞完域控，会采用两种不同的方法部署BitPaymer勒索。

一、

仅针对域控制器和其他关键基础架构（如工资单服务器），并使用PowerShell Empire直接在这些服务器上下载和执行BitPaymer恶意软件。

二、

BitPaymer恶意软件被下载到受害者网络中的网络共享，并且调用的启动脚本gpupdate.bat通过域控制器的组策略对象（GPO）被推送到网络上的所有主机。

该脚本从共享中复制了BitPaymer，并在网络中的每台主机上执行它，加密了数千台计算机。

好了，涨完知识，搞完所有的,下面对BitPaymer勒索开始分析了

Dridex模块：

该勒索软件具有反检测功能，有加密字符串表，字符串哈希，动态API解析，注册表持久性，网络共享加密，被劫持的服务持久性，Windows事件查看器UAC绕过（eventvwr.msc），删除shadow文件等功能，具体看报告，只介绍特色。

最后从账户可以看出，目前已经收入人民币1千万了。

除了INDRIK SPIDER之外，由BOSS SPIDER开发运营的Samas（又名SamSam），以及GRIM SPIDER的Ryuk的勒索软件，同样是针对大型公司勒索的集团，同样需要长期进行关注。

ioc：

PDB: \Work\ _bin\Release-Win32\wp_encrypt.pdb