本文深入探讨了Dridex银行木马的演变历程,从2011年至今,Dridex通过不断更新和采用高级技术,如代码注入、DLL劫持和AtomBombing,以逃避检测。2019年的新变体甚至伪装成合法的Windows系统进程,利用五种代码注入技术进行自我保护。文章详述了Dridex的攻击链,包括下载程序、进程注入、DLL劫持、建立持久性和挂起进程等阶段,揭示了其如何利用MITRE ATT&CK技术避免检测。
前言
从2011年被发现至今,Dridex银行木马已经成为最流行的银行木马家族。光在2015年,Dridex造成的损失估计就超过了4000万美元,与其他银行木马家族不同,因为它总是在不断演变并让其变得更加复杂。在2011年首次被发现时,Deidex就已经能够通过充当代理的后端服务器来隐藏其主要的命令与控制(C&C)服务器,从而逃避检测。鉴于Deidex的新版本会完全迭代旧版本,并且每次新的变异都会让Deidex的攻击技术进一步更新,所以我们可以得出结论,Deidex的背后一定有一个固定的研发团队在对其持续的进行更新和维护。
而在2016年,Dridex的loader变得更加复杂,加密方式发生了变化,引入了二进制loader协议,以及包含二进制格式的配置文件的<settings>部分。
紧接着,Dridex的第四个版本在2017年初被发现,它具有与第三版相似的功能,但开发者已经停止了使用配置文件,并不再数据包中使用XML格式,而且还返回到二进制文件。由于loader现在每周最多运行两天,因此对新样本的分析显得更加困难。这与Lurk类似, Lurk的loader一周只运行了几个小时。
最新的Dridex版本分析:伪装和代码注入技术
刚消停了一年,在2019年7月,又有研究人员观察到的Dridex的新变体伪装成合法的Windows系统进程,之所以要这么做,是因为幕后的开发者又对Dridex的版本进行了迭代,以免攻击被发现。经研究,该变体在其整个攻击进程中使用了五种代码注入技术:AtomBombing、DLL命令劫持、Process Hollowing技术、PE注入和线程执行劫持。
注:2016年10月,网络安全公司EnSilo的研究团队公开了一个支持所有Windows系统的代码注入方法,将其命名为AtomBombing。据说该方法能够绕过大多数的安全软件,并且利用的系统缺陷很难被修复。PHP大马
代码注入技术用于合法的Windows可执行文件,增量整数值被提供给命令行,以挂起进程执行特定任务。
自2019年6月初Emotet木马和AZORult的攻击活动被遏制以来,Dridex和勒索软件活动变得更加突出了。2019年7月,网络安全公司Bromium的研究人员观察到一次Dridex银行木马的钓鱼活动。非常幸运,这次攻击的有效载荷已被Bromium的研究人员的捕获。通过这些样本,我们可以完整分析其攻击链并了解了攻击是如何工作的。在这篇文章中,我们将详细介绍其攻击链的各个阶段,以展示Dridex如何使用五种代码注入技术将自己伪装成合法的Windows进程(MITRE ATT&CK技术T1036)来避免检测。
MITRE ATT&CK是一款可以加速检测与响应的最新工具(对手战术及技术的公共知识库),可以深入研究对手行为,安全分析师可利用该信息在网络攻防战中占据有利地位。这是在创建对手及其相关战术、技术及流程(TTP)知识库方面迈出的一大步。
在开始分析之前,我们将首先演示在微型VM中执行最新的Dridex示例,以及Bromium如何通过隔离攻击并保持系统的完整性来保护其用户。
以下是视频中显示的6部分内容:
1.Bromium安全平台在单独的微型VM中打开每个文档;
2.Bromium Live View显示了一个正在运行的微型VM列表;
3.我们可以在Live View中看到invoice.doc文件在微型VM中被打开;
4.当文件关闭时,微型VM以及任何恶意软件都会一起被销毁;
5.从攻击样本中捕获证据,包括任何映射到MITRE ATT和CK框架的行为;
6.在微型VM的攻击周期内发出的严重警告的详细视图有助于安全团队调查恶意软件的行为,以便了解攻击者的动机。
攻击行为分析
文件名:Invoice.doc
大小:75.5 KB(77312字节)
MD5:0fe77bc5e76660ad45379204aa4d013c
SHA1:c338882c64eb012855096e73edfec3c733ea9053
SHA256:72da2
最低0.47元/天 解锁文章
扫一扫
8841
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
