蟄伏幾年后，Kronos銀行木馬以O(shè)siris的形式在7月再現(xiàn)江湖。此次軟件的創(chuàng)新表明其作者著眼于惡意軟件前景廣闊的發(fā)展趨勢，并對銀行木馬演變歷程進行了大量分析。

Osiris 首次出現(xiàn)在針對德國、日本和波蘭的三個不同的活動中。很明顯，它的形成基于Kronos惡意軟件，Kronos 2014年浮出水面之后，帶來多個季度的金融等多個領(lǐng)域的違法事件（它本身就是臭名昭著的zeus銀行代碼的后代）。雖然新生的銀行木馬表現(xiàn)出的行為與許多其他流行的銀行惡意軟件相似（例如，它實施了Zeus風(fēng)格的G / P / L網(wǎng)絡(luò)注入，鍵盤記錄器和VNC服務(wù)器），也有顯著差異。

首先，它使用加密的Tor通信來執(zhí)行命令和控制(C2)。惡意負載產(chǎn)生了多個名為tor的進程，它可以連接到位于不同國家的多個不同的主機(Tor節(jié)點)。同時，Osiris也提升了規(guī)避技術(shù)。研究者接受媒體采訪時表示，“Osiris引人關(guān)注的新奇之處在于它相當創(chuàng)新的合法過程模擬技術(shù)。這種規(guī)避技術(shù)結(jié)合在最近開窗的流程模擬方法及更傳統(tǒng)的流程中空技術(shù)。這可能使純粹使用端點工具檢測銀行木馬的活動比能夠查看端點以外其他實體行為的工具更具挑戰(zhàn)性（例如網(wǎng)絡(luò)和用戶信息）”。

攻擊模式
迄今為止，Osiris 的主要滲透載體是垃圾郵件。這些文件包含精心制作的Microsoft Word文檔/RTF附件，帶有宏/OLE內(nèi)容，導(dǎo)致惡意混淆的VB階段被刪除和執(zhí)行。分析顯示，在很多情況下，惡意軟件都是通過像RIG EK這樣的攻擊工具來傳播。惡意文檔利用了Microsoft Office公式編輯器組件（CVE-2017-11882）中眾所周知的緩沖區(qū)溢出漏洞，該漏洞允許攻擊者執(zhí)行任意代碼執(zhí)行。

研究者對此解釋:“漏洞存在于等式編輯器組件中，當使用該組件時，它將作為自己的進程運行(eqnedt32.exe)。”因為實現(xiàn)方式的特殊性，它不支持數(shù)據(jù)執(zhí)行預(yù)防(DEP)和地址空間布局隨機化(ASLR)。惡意文檔就能利用此漏洞執(zhí)行命令以下載最新版本的[Osiris]

與其他銀行木馬程序一樣，Osiris的主要目標是竊取個人憑證和其他敏感數(shù)據(jù)，如網(wǎng)上銀行賬戶等。收集的主要方法是通過瀏覽器攻擊，將惡意腳本注入銀行網(wǎng)站，并獲取表單值。

一個徹底現(xiàn)代化的惡意軟件
盡管它的基礎(chǔ)是流行多年的舊源代碼，Osiris的基本構(gòu)造仍將其位于惡意軟件趨勢的前沿。基于我們在野外看到的銀行攻擊，當前趨勢近似聚合木馬程序惡意特性。例如，不少流行銀行木馬的基本特性集相同，例如表單抓取、沙箱和AV旁路、web注入、密碼恢復(fù)、鍵盤記錄和遠程訪問。

最新版本的Osiris符合惡意軟件采用更高程度的模塊化架構(gòu)趨勢，使得惡意行為者能夠提供更新和插件，以實現(xiàn)初始感染后的各種惡意行為。這與越來越多的惡意軟件原型開發(fā)的快速趨勢和‘研究——惡意軟件’時代的縮短相吻合，惡意威脅行為者可以在安全社區(qū)中實施最新的攻擊和規(guī)避技術(shù)。

不幸的是，Osiris未來可能更加普及，因為它在暗網(wǎng)上的定價降低了攻擊者的參與門檻。與Kronos相比，Osiris相對便宜。Kronos在2014年的售價為3000美元，而Osiris在2018年的售價為2000美元，這可能會讓更多網(wǎng)絡(luò)罪犯更容易接觸到它。Osiris的作者們還提供了以1000美元（Kronos沒有）的價格轉(zhuǎn)售許可的選擇，這可能會進一步增加惡意威脅的規(guī)模和影響。

ice

收藏 海報分享