Dridex Banking特洛伊木马获得“AtomBombing”代码注入能力以逃避检测

AtomBombing

周二，Trusteer IBM的安全研究员马加尔·巴兹（Magal Baz）公布了新的研究结果，揭露了新的Dridex版本4，这是臭名昭著的金融特洛伊木马及其新功能的最新版本。

德里克斯是最著名的特洛伊木马之一，其典型行为是使用嵌入Microsoft文档中的宏或通过网络注入攻击渗透受害者PC，然后窃取网上银行凭证和财务数据，从而监控受害者访问银行网站的流量。
然而，通过包含AtomBombing功能，Dridex成为有史以来第一个利用这种复杂的代码注入技术来逃避检测的恶意软件样本。

什么是“AtomBombing”技术？

以前版本的Dridex特洛伊木马的代码注入技术已经变得非常常见，并且很容易被防病毒和其他安全解决方案发现。

但由于AtomBombing技术是一种不同的代码注入方法，它不依赖于旧版本的Dridex使用的易于检测的API调用，因此在最新版本的Dridex中利用AtomBombing使抗病毒药物难以检测。

AtomBombing最初是由enSilo安全公司的Tal Liberman在10月发现的，它是一种代码注入技术，攻击者可以在微软的每一个Windows操作系统版本，甚至是Windows 10上，以现有反恶意软件工具无法检测到的方式注入恶意代码。

AtomBombing没有利用任何漏洞，而是滥用系统级Atom表，这是Windows的一项功能，允许应用程序存储字符串、对象和其他类型数据的信息，以便定期访问。

攻击者可以将恶意代码写入atom表，并诱使合法应用程序从表中检索恶意代码，从而在过去16年中发布的几乎所有Windows操作系统上执行恶意操作。

在野外发现的Dridex版本4

据IBM X-Force研究人员称，Dridex banking特洛伊木马最近进行了重大版本升级，现在支持AtomBombing。

但恶意软件作者只做了一半，这使得Dridex v4与其他AtomBombing攻击不同—；攻击者使用“AtomBombing技术写入有效负载，然后使用另一种方法获得执行权限，以及执行本身”。

X-Force的研究人员说：“该流程与AtomBombing技术中描述的流程不同。为了将有效负载放入可执行的内存空间，Dridex只需在注入过程中调用NtProtectVirtualMemory，即可更改有效负载已写入RWX的内存”。

由于对有效负载使用APC调用会非常可疑，可能会被检测到并停止，Dridex v4使用“相同的GlobalGetAtomW方法修补GlobalGetAtomA，将其挂起以执行有效负载”。

研究人员表示，新的Dridex v4已经在针对欧洲银行的积极行动中使用，黑客也开始攻击美国金融机构只是时间问题。

防病毒软件和安全产品现在可以实现他们的系统来跟踪和防止Dridex v4攻击，因为IBM的发现对所有人都是可用的。