Dridex Banking特洛伊木馬獲得“AtomBombing”代碼注入能力以逃避檢測

AtomBombing

周二，Trusteer IBM的安全研究員馬加爾·巴茲（Magal Baz）公布了新的研究結果，揭露了新的Dridex版本4，這是臭名昭著的金融特洛伊木馬及其新功能的最新版本。

德里克斯是最著名的特洛伊木馬之一，其典型行為是使用嵌入Microsoft文檔中的宏或通過網絡注入攻擊滲透受害者PC，然后竊取網上銀行憑證和財務數據，從而監控受害者訪問銀行網站的流量。 

然而，通過包含AtomBombing功能，Dridex成為有史以來第一個利用這種復雜的代碼注入技術來逃避檢測的惡意軟件樣本。

什么是“AtomBombing”技術？

以前版本的Dridex特洛伊木馬的代碼注入技術已經變得非常常見，并且很容易被防病毒和其他安全解決方案發現。

但由于AtomBombing技術是一種不同的代碼注入方法，它不依賴于舊版本的Dridex使用的易于檢測的API調用，因此在最新版本的Dridex中利用AtomBombing使抗病毒藥物難以檢測。

AtomBombing最初是由enSilo安全公司的Tal Liberman在10月發現的，它是一種代碼注入技術，攻擊者可以在微軟的每一個Windows操作系統版本，甚至是Windows 10上，以現有反惡意軟件工具無法檢測到的方式注入惡意代碼。

AtomBombing沒有利用任何漏洞，而是濫用系統級Atom表，這是Windows的一項功能，允許應用程序存儲字符串、對象和其他類型數據的信息，以便定期訪問。

攻擊者可以將惡意代碼寫入atom表，并誘使合法應用程序從表中檢索惡意代碼，從而在過去16年中發布的幾乎所有Windows操作系統上執行惡意操作。

在野外發現的Dridex版本4

據IBM X-Force研究人員稱，Dridex banking特洛伊木馬最近進行了重大版本升級，現在支持AtomBombing。

但惡意軟件作者只做了一半，這使得Dridex v4與其他AtomBombing攻擊不同—；攻擊者使用“AtomBombing技術寫入有效負載，然后使用另一種方法獲得執行權限，以及執行本身”。

X-Force的研究人員說：“該流程與AtomBombing技術中描述的流程不同。為了將有效負載放入可執行的內存空間，Dridex只需在注入過程中調用NtProtectVirtualMemory，即可更改有效負載已寫入RWX的內存”。

由于對有效負載使用APC調用會非常可疑，可能會被檢測到并停止，Dridex v4使用“相同的GlobalGetAtomW方法修補GlobalGetAtomA，將其掛起以執行有效負載”。

研究人員表示，新的Dridex v4已經在針對歐洲銀行的積極行動中使用，黑客也開始攻擊美國金融機構只是時間問題。

防病毒軟件和安全產品現在可以實現他們的系統來跟蹤和防止Dridex v4攻擊，因為IBM的發現對所有人都是可用的。