吳明宜安全專家發現最令人膽寒的木馬程式 Dridex 新變種,較前一代新增一種高等程式碼注入與躲避偵測能力,稱為「AtomBombing」。
IBM 安全研究員 Magal Baz 發佈報告,揭露 Dridex version 4,是專門鎖定金融機構的 Dridex 的最新變種。
Dridex 最著名的是它利用嵌入巨集病毒的 Microsoft Office 文件或是網頁程式碼注入攻擊,藉此感染用戶 PC 監控受害者到銀行網站的連線,最後再竊取網路銀行帳密及金融資料。
但是,加入最新的 AtomBombing 手法,Dridex 就成為第一隻利用高超的程式碼注入來躲避偵測的惡意程式。
本文目錄
什麼是 AtomBombing 手法?
過去版本的 Dridex 使用的程式碼注入手法已經太常見,很容易被防毒等安全解決方案偵測到。
但 AtomBombing 手法很不同,它並不像之前版本用很容易發現到的 API 呼叫手法。原子彈手法最早是由 enSilo 安全公司的 Tal Liberman 在去年發現,它讓駭客在不同版 Windows OS 中注入惡意程式碼,就連 Windows 10 也未能倖免,目前沒有一家防毒工具能偵測到。
AtomBombing 並不使用任何漏洞,而是使用系統層的原子表 (Atom Tables),原子表是一種 Windows 裏可讓應用程式把資訊儲存在字串、物件或其他資料型態中以方便經常存取的功能。攻擊者可將惡意程式碼儲存在原子表 (Atom Table) 中,誘使應用程式從表格中將之呼叫出來,以便在過去 16 年以來推出的所有 Windows 環境下執行惡意行為。
Dridex version 4 已經蔓延開來
IBM X-Force 研究人員指出,Dridex 金融木馬最近經過大改版,現在也支援 AtomBombing 手法。
但惡意程式作者成功改造 Dride,使之與一般 AtomBombing 攻擊程式很不同,它在攻擊酬載 (payload) 撰寫上使用 AtomBombing 手法,以另一個手法獲取執行許可,再以另一個方法來執行。
「這個過程和一般 AtomBombing 手法很不同。為了把惡意程式碼載入執行記憶體空間中,Dridex 在注入過程中只呼叫 NtProtecVirtualMemory,將攻擊程式寫入 RWX 記憶體中」X-Force 研究人員說。
由於以 APC 呼叫程式碼行為很可疑,會遭到偵測及封鎖,因此 Dridex v4 使用「GlobalGetAtomW 方式來修補 GlobalGetAtomA,誘騙它執行惡意程式碼。」
研究人員表示,新版 Dridex 已經被用來攻擊歐洲銀行,轉向美國金融機構只是時間早晚的問題。
IBM 的研究已經公開,讓防毒軟體及安全產品業者及早準備因應 Dridex version 4 攻擊來襲。
Source: The Hacker News