曲速未来 消息:对AZORult的深入分析其信息exfiltrator

栏目: 编程工具 · 发布时间: 6年前

内容简介:曲速未来表示:虽然目前网络空间的重点是勒索软件和密码管理器,但还有其他流行的威胁演员默默地进入受害者的机器,以便将其用于恶意目的。本文为作者“曲速未来安全区”,原创文章,转载时请保留本声明及附带文章链接。 内容仅供读者参考,并非投资建议,本网站将保留所有法律权益。

曲速未来 消息:对AZORult的深入分析其信息exfiltrator 2018-10-17 19:58 区块链 技术 曲速未来 消息:对AZORult的深入分析其信息exfiltrator 1284 收藏

曲速未来表示:虽然目前网络空间的重点是勒索软件和密码管理器,但还有其他流行的威胁演员默默地进入受害者的机器,以便将其用于恶意目的。

曲速未来 消息:对AZORult的深入分析其信息exfiltrator

区块链安全咨询公司 曲速未来 表示:虽然目前网络空间的重点是勒索软件和密码管理器,但还有其他流行的威胁演员默默地进入受害者的机器,以便将其用于恶意目的。在对URL的进一步分析得到了“AZORult”信息输送器恶意软件的新变种。此恶意软件收集并从受害者的计算机中将数据泄露到CnC服务器。

下面的攻击链描述了针对此恶意软件观察到的执行顺序。

曲速未来 消息:对AZORult的深入分析其信息exfiltrator

图2.攻击链

在分析时,初始攻击向量未知,但攻击链是从恶意URL追踪的。研究人员怀疑最初的攻击媒介是网络钓鱼电子邮件。

在静态分析期间,样本中似乎有很多Flare。‘neut.exe’文件是MS Windows的PE32可执行文件,编译为Microsoft Visual Basic的P代码文件。它具有各种加密字符串并包含高熵的大量资源数据。

曲速未来 消息:对AZORult的深入分析其信息exfiltrator

图3:CFF资源管理器中的巨大资源

Decompiled File具有为当前进程禁用DEP的功能,它会尝试修改Explorer设置以防止显示隐藏文件,并且还会在内存中加载大量资源。

曲速未来 消息:对AZORult的深入分析其信息exfiltrator

图4:反编译文件显示DEP策略和资源加载

在反编译文件中遍历更多函数时。找到了一个混淆的代码,该代码被传递给一个函数,该函数对数据进行去混淆并形成一个有效的字符串。

曲速未来 消息:对AZORult的深入分析其信息exfiltrator

图5.混淆字节

将这些十六进制值转换为ASCII后,代码看起来像是base64编码的。因此,在使用base64算法解码后,找到字符串。

曲速未来 消息:对AZORult的深入分析其信息exfiltrator

遍历的下一个函数具有XOR算法以及一些应用于整个资源数据的操作。解密例程通过下面的代码段显示。

曲速未来 消息:对AZORult的深入分析其信息exfiltrator

图7.用于解密资源代码的Xor算法

在资源代码上实现此逻辑后,找到一个PE文件。解密的PE文件是Delphi的windows文件,我们将继续分析这个文件。

静态检查文件找到各种base64编码字符串,如下图所示。

曲速未来 消息:对AZORult的深入分析其信息exfiltrator

图8. Base64编码的字符串

使用base64算法对字符串进行解码,得到以下结果。这些字符串用于收集“卸载”中的“DisplayName”等系统信息。注册表项用于标识系统中所有已安装的软件。“CreateToolhelp32Snapshot”用于列出所有正在运行的进程。

曲速未来 消息:对AZORult的深入分析其信息exfiltrator

一些未加密的字符串也在那里。快照下面有一些字符串:

曲速未来 消息:对AZORult的深入分析其信息exfiltrator

图10.资源文件中的字符串

现在进一步分析将了解这些字符串的使用位置和方式。所以在IDA中调试文件之后。恶意软件收集机器信息,例如“MachineGuid”,“ProductName”,“UserName”,“ComputerName”,并使用DWORD对其进行异或,然后将其连接起来,最后为特定系统创建此名称的互斥锁。

之后恶意软件尝试使用POST请求将数据发送到C&C服务器。这就是构建该请求的方式:

1

曲速未来 消息:对AZORult的深入分析其信息exfiltrator

图11.调用HttpSendRequestA

CnC服务器响应了大量似乎被加密的数据。

曲速未来 消息:对AZORult的深入分析其信息exfiltrator

图12.来自CnC服务器的响应

在对文件进行更多调试之后,恶意软件通过使用“InternetReadFile”api读取内存中CnC服务器发送的数据,然后使用带有3字节密钥的XOR算法对其进行解密。响应缓冲区末尾的某些数据具有base64编码的字符串。

曲速未来 消息:对AZORult的深入分析其信息exfiltrator

图13.从CnC服务器接收的加密数据

Base64编码的字符串,描述恶意软件试图从受害者机器窃取的信息(用户名,密码,安装的软件,浏览器信息等)。

曲速未来 消息:对AZORult的深入分析其信息exfiltrator

图14.解密的响应字符串

在解密用Xor操作加密的另一个缓冲区之后,我们发现它有很多dll(~48)被转储到目录:%Temp%\ 2fda“并且它还包含一些字符串。一些dll与浏览器插件有关。恶意软件将这些dll加载到内存中,以及确切的浏览器和其他信息。

恶意软件能够窃取帐户信息,浏览和cookie详细信息,还可以通过调用“hxxp://ip-api.com/json”来检索受感染计算机的公共IP地址。

它还能够列出系统中所有已安装的软件,通过调用CreateToolhelp32Snapshot,Process32first,Process32next函数列出所有正在运行的进程。它还从Electrum,MultiBit,monero-project等收集有关不同加密钱包的信息。它还收集用户在什么时间浏览哪个网站的信息。

它还发送机器名称,RAM大小和其他机器相关信息。

曲速未来 消息:对AZORult的深入分析其信息exfiltrator

图15.恶意软件向CnC服务器发送的数据

然后使用XOR操作加密所有上述信息并将其发送回CnC服务器。然后服务器在收到完整数据后回复“OK”。

被盗数据可被广泛用于未经授权访问电子邮件帐户,银行帐户和其他在线信息。这种被盗的个人信息可能会在精神上和经济上损害用户。

结论

区块链安全咨询公司 曲速未来 提醒:在勒索软件和Cryptominers中,此类Infostealer恶意软件是攻击者使用的最受欢迎的攻击媒介。所以建议用户避免访问可疑网站或电子邮件,并使其防病毒软件保持最新状态,以防止其系统被此类复杂恶意软件感染。

本文为作者“曲速未来安全区”,原创文章,转载时请保留本声明及附带文章链接。 内容仅供读者参考,并非投资建议,本网站将保留所有法律权益。

  • 曲速未来 消息:对AZORult的深入分析其信息exfiltrator

以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

Introduction to Algorithms, 3rd Edition

Introduction to Algorithms, 3rd Edition

Thomas H. Cormen、Charles E. Leiserson、Ronald L. Rivest、Clifford Stein / The MIT Press / 2009-7-31 / USD 94.00

Some books on algorithms are rigorous but incomplete; others cover masses of material but lack rigor. Introduction to Algorithms uniquely combines rigor and comprehensiveness. The book covers a broad ......一起来看看 《Introduction to Algorithms, 3rd Edition》 这本书的介绍吧!

XML、JSON 在线转换
XML、JSON 在线转换

在线XML、JSON转换工具

UNIX 时间戳转换
UNIX 时间戳转换

UNIX 时间戳转换

HEX CMYK 转换工具
HEX CMYK 转换工具

HEX CMYK 互转工具