蛰伏几年后,Kronos银行木马以Osiris的形式在7月再现江湖。此次软件的创新表明其作者着眼于恶意软件前景广阔的发展趋势,并对银行木马演变历程进行了大量分析。

Osiris 首次出现在针对德国、日本和波兰的三个不同的活动中。很明显,它的形成基于Kronos恶意软件,Kronos 2014年浮出水面之后,带来多个季度的金融等多个领域的违法事件(它本身就是臭名昭着的zeus银行代码的后代)。虽然新生的银行木马表现出的行为与许多其他流行的银行恶意软件相似(例如,它实施了Zeus风格的G / P / L网络注入,键盘记录器和VNC服务器),也有显著差异。

首先,它使用加密的Tor通信来执行命令和控制(C2)。恶意负载产生了多个名为tor的进程,它可以连接到位于不同国家的多个不同的主机(Tor节点)。同时,Osiris也提升了规避技术。研究者接受媒体采访时表示,“Osiris引人关注的新奇之处在于它相当创新的合法过程模拟技术。这种规避技术结合在最近开窗的流程模拟方法及更传统的流程中空技术。这可能使纯粹使用端点工具检测银行木马的活动比能够查看端点以外其他实体行为的工具更具挑战性(例如网络和用户信息)”。

攻击模式
迄今为止,Osiris 的主要渗透载体是垃圾邮件。这些文件包含精心制作的Microsoft Word文档/RTF附件,带有宏/OLE内容,导致恶意混淆的VB阶段被删除和执行。分析显示,在很多情况下,恶意软件都是通过像RIG EK这样的攻击工具来传播。恶意文档利用了Microsoft Office公式编辑器组件(CVE-2017-11882)中众所周知的缓冲区溢出漏洞,该漏洞允许攻击者执行任意代码执行。

研究者对此解释:“漏洞存在于等式编辑器组件中,当使用该组件时,它将作为自己的进程运行(eqnedt32.exe)。”因为实现方式的特殊性,它不支持数据执行预防(DEP)和地址空间布局随机化(ASLR)。恶意文档就能利用此漏洞执行命令以下载最新版本的[Osiris]

与其他银行木马程序一样,Osiris的主要目标是窃取个人凭证和其他敏感数据,如网上银行账户等。收集的主要方法是通过浏览器攻击,将恶意脚本注入银行网站,并获取表单值。

一个彻底现代化的恶意软件
尽管它的基础是流行多年的旧源代码,Osiris的基本构造仍将其位于恶意软件趋势的前沿。基于我们在野外看到的银行攻击,当前趋势近似聚合木马程序恶意特性。例如,不少流行银行木马的基本特性集相同,例如表单抓取、沙箱和AV旁路、web注入、密码恢复、键盘记录和远程访问。

最新版本的Osiris符合恶意软件采用更高程度的模块化架构趋势,使得恶意行为者能够提供更新和插件,以实现初始感染后的各种恶意行为。这与越来越多的恶意软件原型开发的快速趋势和‘研究——恶意软件’时代的缩短相吻合,恶意威胁行为者可以在安全社区中实施最新的攻击和规避技术。

不幸的是,Osiris未来可能更加普及,因为它在暗网上的定价降低了攻击者的参与门槛。与Kronos相比,Osiris相对便宜。Kronos在2014年的售价为3000美元,而Osiris在2018年的售价为2000美元,这可能会让更多网络罪犯更容易接触到它。Osiris的作者们还提供了以1000美元(Kronos没有)的价格转售许可的选择,这可能会进一步增加恶意威胁的规模和影响。