微慑信息网

银行木马 Dridex 使用“ AtomBombing ”恶意代码注入技术逃避杀软检测

安全研究人员发现了一个新的银行木马变种 Dridex 4 ,它使用一种新的、复杂的代码注入技术“ AtomBombing ”来逃避杀毒软件的查杀。目前,研究人员已检测到银行木马 Dridex 4 针对欧洲网上银行的活动,预计在未来几个月内,活动范围将扩展到美国金融机构。

IBM X-Force 博客中介绍到,Dridex 是第一个利用这种复杂代码注入技术“ AtomBombing ”来逃避检测的恶意软件。“ AtomBombing ”技术由 enSilo 的研究人员在 2016 年 10 月发现,由于原子表是系统的共享表,各类应用程序均能访问、修改这些表内的数据,攻击者可以将恶意代码注入 Windows 的原子表( atom table ),并通过检索调用恶意代码并在内存空间中执行,从而绕过杀毒软件的检查。

值得注意的是,Dridex 4 木马只使用“ AtomBombing ”技术将有效载荷写入原子表,然后利用其它方法来获得权限、执行代码。此外,木马通过调用 NtQueueAPCThread API 来利用 Windows 异步过程调用( APC )机制。总的来说,Dridex 4 出现的最大意义不在于利用了“ AtomBombing ”技术逃避检测,而是它将新型技术融入主流恶意软件的速度。可以预见,为了应对银行越来越完善的后端反欺诈算法,恶意软件将越来越多的采用更加先进的技术来提升木马能力。

本文由 HackerNews.cc 翻译整理,封面来源于网络。

 

from hackernews.cc.thanks for it.

本文标题:银行木马 Dridex 使用“ AtomBombing ”恶意代码注入技术逃避杀软检测
本文链接:
(转载请附上本文链接)
http://vulsee.com/archives/vulsee_2017/0302_5285.html
转载请附本站链接,未经允许不得转载,,谢谢:微慑信息网-VulSee.com » 银行木马 Dridex 使用“ AtomBombing ”恶意代码注入技术逃避杀软检测
分享到: 更多 (0)

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

微慑信息网 专注工匠精神

访问我们联系我们