蛰伏几年后,Kronos银行×××以Osiris的形式在7月再现江湖。此次软件的创新表明其作者着眼于恶意软件前景广阔的发展趋势,并对银行×××演变历程进行了大量分析。

Osiris 首次出现在针对德国、日本和波兰的三个不同的活动中。很明显,它的形成基于Kronos恶意软件,Kronos 2014年浮出水面之后,带来多个季度的金融等多个领域的违法事件(它本身就是臭名昭着的zeus银行代码的后代)。

虽然新生的银行×××表现出的行为与许多其他流行的银行恶意软件相似(例如,它实施了Zeus风格的G / P / L网络注入,键盘记录器和VNC服务器),也有显著差异。

首先,它使用加密的Tor通信来执行命令和控制(C2)。恶意负载产生了多个名为tor的进程,它可以连接到位于不同国家的多个不同的主机(Tor节点)。同时,Osiris也提升了规避技术。正如研究者Kolesnikov接受媒体采访时所解释,“Osiris引人关注的新奇之处在于它相当创新的合法过程模拟技术。这种规避技术结合在最近开窗的流程模拟方法及更传统的流程中空技术。这可能使纯粹使用端点工具检测银行×××的活动比能够查看端点以外其他实体行为的工具更具挑战性(例如网络和用户信息)”。

×××模式

迄今为止,Osiris 的主要×××载体是垃圾邮件。这些文件包含精心制作的Microsoft Word文档/RTF附件,带有宏/OLE内容,导致恶意混淆的VB阶段被删除和执行。分析显示,在很多情况下,恶意软件都是通过像RIG EK这样的×××工具来传播。恶意文档利用了Microsoft Office公式编辑器组件(CVE-2017-11882)中众所周知的缓冲区溢出漏洞,该漏洞允许×××者执行任意代码执行。

Kolesnikov对此解释:“漏洞存在于等式编辑器组件中,当使用该组件时,它将作为自己的进程运行(eqnedt32.exe)。”因为实现方式的特殊性,它不支持数据执行预防(DEP)和地址空间布局随机化(ASLR)。恶意文档就能利用此漏洞执行命令以下载最新版本的[Osiris]

与其他银行×××程序一样,Osiris的主要目标是窃取个人凭证和其他敏感数据,如网上银行账户等。收集的主要方法是通过浏览器×××,将恶意脚本注入银行网站,并获取表单值。

一个彻底现代化的恶意软件

尽管它的基础是流行多年的旧源代码,Osiris的基本构造仍将其位于恶意软件趋势的前沿

“基于我们在野外看到的银行×××,当前趋势近似聚合×××程序恶意特性。例如,不少流行银行×××的基本特性集相同,例如表单抓取、沙箱和AV旁路、web注入、密码恢复、键盘记录和远程访问。”

最新版本的Osiris符合恶意软件采用更高程度的模块化架构趋势,使得恶意行为者能够提供更新和插件,以实现初始感染后的各种恶意行为。这与越来越多的恶意软件原型开发的快速趋势和‘研究——恶意软件’时代的缩短相吻合,恶意威胁行为者可以在安全社区中实施最新的×××和规避技术。

不幸的是,Osiris未来可能更加普及,因为它在暗网上的定价降低了×××者的参与门槛。与Kronos相比,Osiris相对便宜。Kronos在2014年的售价为3000美元,而Osiris在2018年的售价为2000美元,这可能会让更多网络罪犯更容易接触到它。Osiris的作者们还提供了以1000美元(Kronos没有)的价格转售许可的选择,这可能会进一步增加恶意威胁的规模和影响。