曲速未來 消息:對AZORult的深入分析其信息exfiltrator區塊鏈
曲速未來表示:雖然目前網絡空間的重點是勒索軟件和密碼管理器,但還有其他流行的威脅演員默默地進入受害者的機器,以便將其用于惡意目的。
區塊鏈安全咨詢公司 曲速未來 表示:雖然目前網絡空間的重點是勒索軟件和密碼管理器,但還有其他流行的威脅演員默默地進入受害者的機器,以便將其用于惡意目的。在對URL的進一步分析得到了“AZORult”信息輸送器惡意軟件的新變種。此惡意軟件收集并從受害者的計算機中將數據泄露到CnC服務器。
下面的攻擊鏈描述了針對此惡意軟件觀察到的執行順序。
圖2.攻擊鏈
在分析時,初始攻擊向量未知,但攻擊鏈是從惡意URL追蹤的。研究人員懷疑最初的攻擊媒介是網絡釣魚電子郵件。
在靜態分析期間,樣本中似乎有很多Flare。‘neut.exe’文件是MS Windows的PE32可執行文件,編譯為Microsoft Visual Basic的P代碼文件。它具有各種加密字符串并包含高熵的大量資源數據。
圖3:CFF資源管理器中的巨大資源
Decompiled File具有為當前進程禁用DEP的功能,它會嘗試修改Explorer設置以防止顯示隱藏文件,并且還會在內存中加載大量資源。
圖4:反編譯文件顯示DEP策略和資源加載
在反編譯文件中遍歷更多函數時。找到了一個混淆的代碼,該代碼被傳遞給一個函數,該函數對數據進行去混淆并形成一個有效的字符串。
圖5.混淆字節
將這些十六進制值轉換為ASCII后,代碼看起來像是base64編碼的。因此,在使用base64算法解碼后,找到字符串。
遍歷的下一個函數具有XOR算法以及一些應用于整個資源數據的操作。解密例程通過下面的代碼段顯示。
圖7.用于解密資源代碼的Xor算法
在資源代碼上實現此邏輯后,找到一個PE文件。解密的PE文件是Delphi的windows文件,我們將繼續分析這個文件。
靜態檢查文件找到各種base64編碼字符串,如下圖所示。
圖8. Base64編碼的字符串
使用base64算法對字符串進行解碼,得到以下結果。這些字符串用于收集“卸載”中的“DisplayName”等系統信息。注冊表項用于標識系統中所有已安裝的軟件。“CreateToolhelp32Snapshot”用于列出所有正在運行的進程。
一些未加密的字符串也在那里。快照下面有一些字符串:
圖10.資源文件中的字符串
現在進一步分析將了解這些字符串的使用位置和方式。所以在IDA中調試文件之后。惡意軟件收集機器信息,例如“MachineGuid”,“ProductName”,“UserName”,“ComputerName”,并使用DWORD對其進行異或,然后將其連接起來,最后為特定系統創建此名稱的互斥鎖。
之后惡意軟件嘗試使用POST請求將數據發送到C&C服務器。這就是構建該請求的方式:
1
圖11.調用HttpSendRequestA
CnC服務器響應了大量似乎被加密的數據。
圖12.來自CnC服務器的響應
在對文件進行更多調試之后,惡意軟件通過使用“InternetReadFile”api讀取內存中CnC服務器發送的數據,然后使用帶有3字節密鑰的XOR算法對其進行解密。響應緩沖區末尾的某些數據具有base64編碼的字符串。
圖13.從CnC服務器接收的加密數據
Base64編碼的字符串,描述惡意軟件試圖從受害者機器竊取的信息(用戶名,密碼,安裝的軟件,瀏覽器信息等)。
圖14.解密的響應字符串
在解密用Xor操作加密的另一個緩沖區之后,我們發現它有很多dll(~48)被轉儲到目錄:%Temp%\ 2fda“并且它還包含一些字符串。一些dll與瀏覽器插件有關。惡意軟件將這些dll加載到內存中,以及確切的瀏覽器和其他信息。
惡意軟件能夠竊取帳戶信息,瀏覽和cookie詳細信息,還可以通過調用“hxxp://ip-api.com/json”來檢索受感染計算機的公共IP地址。
它還能夠列出系統中所有已安裝的軟件,通過調用CreateToolhelp32Snapshot,Process32first,Process32next函數列出所有正在運行的進程。它還從Electrum,MultiBit,monero-project等收集有關不同加密錢包的信息。它還收集用戶在什么時間瀏覽哪個網站的信息。
它還發送機器名稱,RAM大小和其他機器相關信息。
圖15.惡意軟件向CnC服務器發送的數據
然后使用XOR操作加密所有上述信息并將其發送回CnC服務器。然后服務器在收到完整數據后回復“OK”。
被盜數據可被廣泛用于未經授權訪問電子郵件帳戶,銀行帳戶和其他在線信息。這種被盜的個人信息可能會在精神上和經濟上損害用戶。
結論
區塊鏈安全咨詢公司 曲速未來 提醒:在勒索軟件和Cryptominers中,此類Infostealer惡意軟件是攻擊者使用的最受歡迎的攻擊媒介。所以建議用戶避免訪問可疑網站或電子郵件,并使其防病毒軟件保持最新狀態,以防止其系統被此類復雜惡意軟件感染。
1.TMT觀察網遵循行業規范,任何轉載的稿件都會明確標注作者和來源;
2.TMT觀察網的原創文章,請轉載時務必注明文章作者和"來源:TMT觀察網",不尊重原創的行為TMT觀察網或將追究責任;
3.作者投稿可能會經TMT觀察網編輯修改或補充。
