银行木马 Dridex 使用“ AtomBombing ”恶意代码注入技术逃避杀软检测

安全研究人员发现了一个新的银行木马变种 Dridex 4 ，它使用一种新的、复杂的代码注入技术“ AtomBombing ”来逃避杀毒软件的查杀。目前，研究人员已检测到银行木马 Dridex 4 针对欧洲网上银行的活动，预计在未来几个月内，活动范围将扩展到美国金融机构。

IBM X-Force 博客中介绍到，Dridex 是第一个利用这种复杂代码注入技术“ AtomBombing ”来逃避检测的恶意软件。“ AtomBombing ”技术由 enSilo 的研究人员在 2016 年 10 月发现，由于原子表是系统的共享表，各类应用程序均能访问、修改这些表内的数据，攻击者可以将恶意代码注入 Windows 的原子表（ atom table ），并通过检索调用恶意代码并在内存空间中执行，从而绕过杀毒软件的检查。

值得注意的是，Dridex 4 木马只使用“ AtomBombing ”技术将有效载荷写入原子表，然后利用其它方法来获得权限、执行代码。此外，木马通过调用 NtQueueAPCThread API 来利用 Windows 异步过程调用（ APC ）机制。总的来说，Dridex 4 出现的最大意义不在于利用了“ AtomBombing ”技术逃避检测，而是它将新型技术融入主流恶意软件的速度。可以预见，为了应对银行越来越完善的后端反欺诈算法，恶意软件将越来越多的采用更加先进的技术来提升木马能力。

本文由 HackerNews.cc 翻译整理，封面来源于网络。

from hackernews.cc.thanks for it.