安全研究人员发现了一个新的银行木马变种 Dridex 4 ,它使用一种新的、复杂的代码注入技术“ AtomBombing ”来逃避杀毒软件的查杀。目前,研究人员已检测到银行木马 Dridex 4 针对欧洲网上银行的活动,预计在未来几个月内,活动范围将扩展到美国金融机构。
IBM X-Force 博客中介绍到,Dridex 是第一个利用这种复杂代码注入技术“ AtomBombing ”来逃避检测的恶意软件。“ AtomBombing ”技术由 enSilo 的研究人员在 2016 年 10 月发现,由于原子表是系统的共享表,各类应用程序均能访问、修改这些表内的数据,攻击者可以将恶意代码注入 Windows 的原子表( atom table ),并通过检索调用恶意代码并在内存空间中执行,从而绕过杀毒软件的检查。
值得注意的是,Dridex 4 木马只使用“ AtomBombing ”技术将有效载荷写入原子表,然后利用其它方法来获得权限、执行代码。此外,木马通过调用 NtQueueAPCThread API 来利用 Windows 异步过程调用( APC )机制。总的来说,Dridex 4 出现的最大意义不在于利用了“ AtomBombing ”技术逃避检测,而是它将新型技术融入主流恶意软件的速度。可以预见,为了应对银行越来越完善的后端反欺诈算法,恶意软件将越来越多的采用更加先进的技术来提升木马能力。
本文由 HackerNews.cc 翻译整理,封面来源于网络。
转载请注明“转自 HackerNews.cc ” 并附上原文链接。
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
喜欢就支持一下吧
请登录后发表评论
注册