Dridex:第一批银行木马,具有Atombombogment,以更好的逃避检测

2022-02-25 11:46:43来源:

Dridex Trojan是最具破坏性银行的银行木工特洛伊木马,已经用新的注射方法升级,因此恶意软件更好地删除检测。

根据IBM X-Force的报告,最新版本的Dridex V4,现在是第一批利用Atombombing的银行木星。与一些更常见的代码注入技术不同,Atombombation旨在避免安全解决方案。一旦一个有组织的网络犯罪团伙成功地拉开了一个光滑的技巧,就预计其他网络暴徒将采用该方法。

“在本释放中,”研究人员写道,“我们注意到,通过采用一系列增强的防研究和反抗AV功能,给予避险杀毒(AV)产品和妨碍研究。”

当Atombombing首次被Ensilo在10月份发现时,安全公司警告攻击者正在使用Windows'Atom表;代码注入技术影响了所有版本的Windows。该公司写道,“攻击者使用代码注入将恶意代码添加到合法的过程中,使其更容易绕过安全产品,从用户隐藏,并提取否定的敏感信息,否则将无法实现。”

最新版本的Dridex不完全依赖于Atombombing,只使用部分漏洞利用。IBM X-Force研究人员解释说,在Riddex V4中,恶意软件作者“使用了Atombombogping技术来写入有效载荷,然后使用不同的方法来实现执行权限,并且执行本身。”

升级的恶意软件使用Windows'Atom表将恶意代码加载到读写执行(RWX)内存中,但避免了对Windows API的可疑呼叫,以避免Atombombing检测。代码注入方法的变化“允许DRIDEX在受感染的终点中传播,以最小的呼叫对标记的API函数。”

向Dridex添加Atombombomath不是唯一的变化。命名算法被修改为更好地防止检测,并且恶意软件的“隐形”持久机制被抛弃有利于DLL劫持技术。恶意软件作者也“显着升级了配置的加密保护。”更好的加密意味着攻击者将能够更好地保护有关配置中的攻击和有针对性的银行URL的详细信息。

“看到这个帮派的开发人员发布的新主要版本并不令人惊讶的是,”X-Force写道。“重大版本升级的发布是任何软件的大量交易,同样适用于恶意软件。这种升级的重要性是,Dridex继续在复杂中发展,投资进一步努力逃避安全并提高其能力以实现财务欺诈。“

在英国,但很快就到了美国银行?

现在,Dridex V4正在针对英国银行的广告系列中使用;在某些时候,美国银行很可能也将最终成为目标。

IBM X-Force得出结论:

在发现后不久的采用了新的注射技术,证明了Dridex努力跟上时代和安全控制的演变。虽然它们依赖于宣传方法,但是Dridex的开发人员创建了自己的版本,虽然是它的自己版本,这是一个符合他们通常偏好的选择,它们为Dridex编写专有代码方案,因为它们为其二进制配置格式为二进制配置格式。


返回科技金融网首页 >>

版权及免责声明:凡本网所属版权作品,转载时须获得授权并注明来源“科技金融网”,违者本网将保留追究其相关法律责任的权力。凡转载文章,不代表本网观点和立场,如有侵权,请联系我们删除。


相关文章