安全研究

业界动态
AtomBombing内存注入技术有应用了 Dridex银行木马用它成功绕开了防病毒软件 攻击英国银行

201610月,安全加报道了Windows所有版本绕过漏洞 AtomBombing内存注入技术 现有杀毒软件无效 ,现在IBM X-Force研究员发现,Dridex银行木马的新版本已经开始利用这种技术了。这种银行木马针对银行领域,监控受害人的在线银行操作,窃取登录与账号信息。   

 

Dridex银行木马的新版本开始利用AtomBombing技术躲避查杀   

本月初,研究员们发现了一个名为Dridex v4的新威胁样本。这款恶意软件曾被用于攻击英国的银行。专家认为,它很快就会向世界各地的金融机构发起攻击。   

 

根据IBM分析,“Dridex银行木马在金融网络犯罪领域臭名昭著。IBM X-Force发现,最近它进行了一次重要的版本升级,而在这之前,它就已经屡次出现在欧洲的在线银行攻击中。”“我们注意到,这个版本尤其关注的是规避防病毒(AV)产品与阻挠研究,为此目的,它采用了一系列加固后的技术来对抗研究和AV产品。Dridex代码注入方法上的变化是v4中最显著的功能提升,使用这种方法,Dridex可以尽量少地调用标记API函数,通过受感染终端进行传播。”    

 

详细的技术分析报告在这里:https://securityintelligence.com/dridexs-cold-war-enter-atombombing/    

 

Dridex银行木马V4版本新功能   

  • Dridex v4保留了之前版本中的功能:针对银行领域,监控受害人的在线银行操作,窃取登录与账号信息。    
  • 代码注入方法明显改进。之前版本使用的是大家熟知的API调用,易于检测。因此,软件作者在新版本中使用了AtomBombing。    
  • Dridex v4的其他改进包括加固了配置加密、修改了命名算法、更新了持久感染机器机制等。    

AtomBoming在威胁领域并不是新鲜事物。10月份,安全公司ENSILO的安全研究员设计了这个方法,向Windows操作系统注入恶意代码,任何现有恶意软件防护工具都无法察觉。   

 

原子表是啥?应该是注册表吧   

原子表(Atom Table)是操作系统使用的数据结构,分为全局和局部两种类型,用于存储字符串,每个字符串有对应标识。报告分析,“AtomBombing利用Windows的原子表与本地API NtQueueApcThread复制内容至目标进程的读写内存空间。然后再使用NtSetContextThread调用一个简单的面向返回的编程链,分配读/写/执行内存,复制内容到该内存并执行。最后,恢复被劫持线程的原始上下文。”    

 


根据微软的描述,“原子表是系统定义的表,用于存储字符串及相应标识。应用将字符串放入原子表,收到一个16位整型量(即原子),用于访问该字符串。字符串放入原子表后被称为“原子名”(Atom Name)。“系统提供多个原子表,每个原子表作用不同。例如,动态数据交换(DDE)应用使用全局原子表与其他应用共享数据项名称和主题名称字符串。”这样,攻击者就可以在原子表中写入恶意代码,再迫使合法应用从表中检索该代码。代码一旦被检索到,就可以被操控并执行。   

 

Dridex银行木马还在持续升级   

回到Dridex v4,作者利用AtomBombing技术隐藏了原子表中的恶意内容。IBM分析说“通。过分析Dridex v4版本,我们发现恶意软件作者使用AtomBoming技术的第一步研究出了自己的注入方法。他们利用原子表和NtQueueAPCThread将内容和导入表复制进目标进程的读写内存空间。但是,仅此而已—他们利用AtomBombing技术写入内容,然后使用新方法获得执行权限,最后再执行内容,”  这种AtomBombing执行方式专门用于银行恶意软件代码编写,只是Dridex v4使用的多种技术之一。Dridex木马还在持续演进,上一次我们读到相关威胁的新闻是1月份,当时Flashpoint的研究员发现了一个新变种,它使用了一种新手段绕过用户账户控制(UAC)。   

 

本文由:securityaffairs 发布,版权归属于原作者。                        
如果转载,请注明出处及本文链接:                        
http://toutiao.secjia.com/dridex-banking-trojans-use-memory-injection-method-atombombing
如果此文章侵权,请留言,我们进行删除。


浏览次数:

关 闭