• 發布單位:TWCERT/CC
• 更新日期:2019-03-22
• 點閱次數:879

●重點摘要： 1.銀行木馬DRIDEX往往是透過受感染的Word和Excel文件檔作為附件發送網路釣魚信件，誘使受害人使用巨集查看這些內容。一旦用戶執行被感染的檔案，竊取個人訊息和網路銀行帳戶密碼等資料。而最近IBM研究人員發現新的變種，並且結合AtomBombing的攻擊手法躲避偵測，不同於以往AtomBombing的手法，這次的變種主要是透過NtProtectVirtualMemory等合法的atom table的呼叫，來注入惡意代碼到指定的記憶體空間，結合這個攻擊手法讓新變種的DRIDEX更加難以偵測。 ●TWCERT/CC建議先參考以下IOCs作必要之偵測機制。 MD5： 4599fca4b67c9c216c6dea42214fd1ce 1e6c6123af04d972b61cd3cde5e0658e 註：AtomBombing攻擊手法主要是針對Windows作業系統內的原子表(Atom Tables)設計缺陷進行注入攻擊。原子表屬於共享資料表，是一種用以儲存字串與相對應識別碼的系統定義表，許多應用程式皆可對儲存在原子表之資料進行存取。因此，攻擊者必須先透過應用程式去修改原子表內的資料，用以注入惡意程式，再誘騙合法應用程式觸發惡意程式，以繞過系統防護機制，進而導致中間人攻擊，甚至造成機敏資料外洩。透過AtomBombing攻擊手法可能影響平台遍及微軟Windows所有版本。 目前微軟官方尚未針對「AtomBombing」惡意程式注入攻擊有進一步之說明，但仍請密切注意微軟官方網頁(如：https://technet.microsoft.com/en-us/security/bulletins.aspx與http://www.microsoft.com/en-us/security/default.aspx)之後續訊息。

●參考來源： [1]https://securityintelligence.com/dridexs-cold-war-enter-atombombing/ [2]http://thehackernews.com/2017/03/dridex-atombombing-malware.html [3]https://www.nccst.nat.gov.tw/NewInfoDetail?lang=zh&seq=1488 [4]http://securityaffairs.co/wordpress/56768/breaking-news/dridex-v4.html [5]https://blog.trendmicro.com.tw/?p=17439

參考連結：

https://securityintelligence.com/dridexs-cold-war-enter-atombombing/