设为首页 - 加入收藏 - 网站地图 SecYe安全 Www.SecYe.Com - 国内网络信息安全IT技术门户网
当前位置:首页 > 安全中心 > 最新漏洞 > 正文

中国境内截获Dridex银行木马V4版本 看看它如何逃避杀毒软件 检测及防护方案都有了

时间:2017-03-21 10:25 来源:本站整理 作者:SecYe安全 阅读:

在月初,安全加报道了 AtomBombing内存注入技术有应用了 Dridex银行木马用它成功绕开了防病毒软件 攻击英国银行 。近期,绿盟威胁分析系统TAC在业务环境中截获了Dridex银行木马 V4样本,经过分析再次确认这东西会注入资源管理器,并完全不影响其运行,单独依靠杀毒软件很难发现它。

以下为报告的主要内容,《 Dridex网银木马样本技术分析与防护方案 》全文下载见文末。

Dridex网银木马样本技术分析与防护方案

IBM X-Force安全团队近日发现了一个Dridex银行木马的升级版本,该版本被称为Dridex v4。Dridex是最为流行的银行木马之一,最早于2014年被发现,由于它当时使用了GameOver ZeuS(GoZ)恶意软件的相关技术从而被认为是GoZ的继任者。新版本的Dridex v4的重要改进是其使用了AtomBoming技术注入恶意代码从而躲避杀毒软件的查杀。AtomBoming技术由enSilo公司提出,利用了Windows操作系统原子表(Atom Table)的设计缺陷,可将恶意代码写入其中,并在之后检索和执行。

TAC检测到的Dridex银行木马信息

MD5:4599FCA4B67C9C216C6DEA42214FD1CE

Dridex V4主要功能

  1. 修改本机的秘钥集文件,生成新的秘钥对用于劫持https通信。
  2. 样本会创建计划任务运行应用程序,对其进行dll劫持来运行自身,通过在注册表设置开机启动项来运行正常应用程序,对其进行dll劫持实现开机自启动。
    • HKCU\Software\Microsoft\Windows\CurrentVersion\Run
  3. 通过创建并运行cmd文件添加防火墙规则,允许explorer.exe进行端口监听,随后监听本地443端口。
  4. 劫持443端口的数据流量发给远程服务器。

Dridex V4执行过程

杀软对抗

样本通过动态链接库劫持获得执行,采用AtomBombing技术注入shellcode,注入完成后恢复原程序环境以创建线程方式运行恶意代码,不影响宿主程序正常执行,动态获取API增加检测和分析难度。注册表中通过将正常程序设置为开机启动项然后对其所需动态链接库进行劫持完成开机启动,不会被检测到。使用EVENTVWR.EXE和修改注册表的方式执行*.cmd文件。

防护方案

手工检测及防护

动手能力强的用户,可以通过如下方法手工检测及防护

  1. 有两个C:\Windows\System32\0485[随机]\目录,目录下分别有一个exe文件和它运行时所需的dll或cpl文件。
  2. 在HKCU\Software\Microsoft\Windows\CurrentVersion\Run注册表项含有检测方法(1)中exe程序的启动项。
  3. 查看计划任务列表,会发现样本创建的名为检测方法(1)中exe程序名的计划任务。
  4. explorer.exe程序会监听443端口。
  5. 查看C:\Users\用户名\AppData\Roaming\Microsoft\Crypto\RSA\S-1-5-*\*文件是否被修改
  6. 检查防火墙规则,如果感染木马,会发现名为“Core Networking - Multicast Listener Done (ICMPv4-In)”且程序名为“C:\Windows\Explorer.EXE”的规则。

绿盟科技木马专杀解决方案

  • 短期服务:绿盟科技工程师现场木马后门清理服务(人工服务+NIPS +TAC+终端防护(金山V8+))。确保第一时间消除网络内相关风险点,控制事件影响范围,提供事件分析报告。
  • 中期服务:提供3-6个月的风险监控与巡检服务(NIPS+TAC+人工服务)。长期对此恶意样本进行检测,保护客户系统安全。
  • 长期服务:基于行业业务风险解决方案(威胁情报+攻击溯源+专业安全服务)

《Dridex网银木马样本技术分析与防护方案》全文下载

点击图片下载

本文由:nsfocus 发布,版权归属于原作者。 
如果此文章侵权,请留言,我们进行删除。


 

本文来源:SecYe安全网[http://www.secye.com] (责任编辑:SecYe安全)

点击复制链接 与好友分享!

顶一下
(0)
0%
踩一下
(0)
0%