Osiris 銀行木馬程式雖然使用了部份面世多年的舊代碼,但它的基本構成就顯示了現代不斷創新的惡意程式大趨勢,由數年前的 Kronos 進化到現時的 Osiris,研究人員透過分析它的進化,找到背後的製作人員開發工作的創新,也展示了整體惡意程式的發展趨勢。
2014 – 2018
Osiris 首次出現是今年的 7 月,3 個不同的活動針對德國、日本和波蘭,而且明顯是源自 2014 年首次浮出水面的 Kronos 惡意程式,當年同樣是針對金融機構,而其本身的編碼也是源自惡名昭彰的 Zeus 銀行惡意程式。雖然新出現的銀行木馬與「前輩」十分相似 (例如執行 Zeus-style G/P/L web-injects、Keylogger 和 VNC 伺服器),但是研究人員同時認為新舊之間有明顯的分別。
技術更尖端更難以捕捉
Osiris 與舊的銀行木馬程式的其中一個明顯分別,就是利用加密的匿名網絡與 C&C 伺服器通訊,惡意程式會生產多個名為 tor.exe 的檔案,與多個位於不同個家的主機連線,增強了幕後黑手的隱密性,而且根據研究人員透露,Osiris 採用了創新的合法程序去執行偽裝任務,結合了較為傳統的「process-hollowing」和尖端的「process-doppelganging」方法,令自己更難以被保安程式偵測,以純端點工具偵測會更大挑戰,具備行為偵測和不局限於端點則更有優勢,例如包含網絡和用戶資料。
盜取認證和敏感數據
根據研究人員觀察,Osiris 的主要傳播方法依然是透過濫發郵件,電郵附有特製的 Microsoft Word 文件或 RTF 附件,內含巨集或 OLE 內容惡意混淆 VB 階段的工作,而且很多樣本使用 RIG EK 漏洞包作為傳播工具。特製的木件檔案採用令 Microsoft Office Equation Editor Component (CVE-2017-11882) 超過負荷的安全漏洞,令攻擊者能夠執行任意代碼。Osiris 和其他銀行木馬程式一樣,主要從網上銀行戶口盜取認證資料和其他敏感資料。
現代化的惡意程式
從分析 Osiris 的進化,研究人員認為現任的惡意程式有結合來自其他木馬程式多種惡意功能於一身的趨勢,在多款流行的銀行木馬身上經常可以看到相同的「基本功能」,例如盜取表格、繞過沙盒和防毒偵測、網絡感染、密碼復原、Keylogging 和遠端存取。Osiris 也乎合現代多模組架構的規格,當惡意程式初次成功入侵,往後就能更新或以加入插件形式追加惡意行為。而且 Osiris 在黑市上出售的價錢也比以前來得相宜,2014 年 Kronos 以 3,000 美元出售,Osiris 現時只售 2,000 美元,價錢較便直令更多網絡罪犯有機會能夠接觸到它,Osiris 的作者也提供只需 1,000 美元的經銷授權,令它的規模在往後日子有機會變得更加龐大。
資料來源:Threat Post
