曲速未来 消息:对AZORult的深入分析其信息exfiltrator

 

 

区块链安全咨询公司 曲速未来 表示:虽然目前网络空间的重点是勒索软件和密码管理器,但还有其他流行的威胁演员默默地进入受害者的机器,以便将其用于恶意目的。在对URL的进一步分析得到了“AZORult”信息输送器恶意软件的新变种。此恶意软件收集并从受害者的计算机中将数据泄露到CnC服务器。

 

下面的攻击链描述了针对此恶意软件观察到的执行顺序。

图2.攻击链

 

 

在分析时,初始攻击向量未知,但攻击链是从恶意URL追踪的。研究人员怀疑最初的攻击媒介是网络钓鱼电子邮件。

在静态分析期间,样本中似乎有很多Flare。‘neut.exe’文件是MS Windows的PE32可执行文件,编译为Microsoft Visual Basic的P代码文件。它具有各种加密字符串并包含高熵的大量资源数据。

图3:CFF资源管理器中的巨大资源

 

 

Decompiled File具有为当前进程禁用DEP的功能,它会尝试修改Explorer设置以防止显示隐藏文件,并且还会在内存中加载大量资源。

图4:反编译文件显示DEP策略和资源加载

 

 

在反编译文件中遍历更多函数时。找到了一个混淆的代码,该代码被传递给一个函数,该函数对数据进行去混淆并形成一个有效的字符串。

图5.混淆字节

 

 

将这些十六进制值转换为ASCII后,代码看起来像是base64编码的。因此,在使用base64算法解码后,找到字符串。

遍历的下一个函数具有XOR算法以及一些应用于整个资源数据的操作。解密例程通过下面的代码段显示。

图7.用于解密资源代码的Xor算法

 

 

在资源代码上实现此逻辑后,找到一个PE文件。解密的PE文件是Delphi的windows文件,我们将继续分析这个文件。

静态检查文件找到各种base64编码字符串,如下图所示。

图8. Base64编码的字符串

 

 

使用base64算法对字符串进行解码,得到以下结果。这些字符串用于收集“卸载”中的“DisplayName”等系统信息。注册表项用于标识系统中所有已安装的软件。“CreateToolhelp32Snapshot”用于列出所有正在运行的进程。

一些未加密的字符串也在那里。快照下面有一些字符串:

图10.资源文件中的字符串

 

 

现在进一步分析将了解这些字符串的使用位置和方式。所以在IDA中调试文件之后。恶意软件收集机器信息,例如“MachineGuid”,“ProductName”,“UserName”,“ComputerName”,并使用DWORD对其进行异或,然后将其连接起来,最后为特定系统创建此名称的互斥锁。

 

之后恶意软件尝试使用POST请求将数据发送到C&C服务器。这就是构建该请求的方式:

 

 

图11.调用HttpSendRequestA

 

 

CnC服务器响应了大量似乎被加密的数据。

图12.来自CnC服务器的响应

 

 

在对文件进行更多调试之后,恶意软件通过使用“InternetReadFile”api读取内存中CnC服务器发送的数据,然后使用带有3字节密钥的XOR算法对其进行解密。响应缓冲区末尾的某些数据具有base64编码的字符串。

图13.从CnC服务器接收的加密数据

 

 

Base64编码的字符串,描述恶意软件试图从受害者机器窃取的信息(用户名,密码,安装的软件,浏览器信息等)。

图14.解密的响应字符串

 

在解密用Xor操作加密的另一个缓冲区之后,我们发现它有很多dll(~48)被转储到目录:%Temp%\ 2fda“并且它还包含一些字符串。一些dll与浏览器插件有关。恶意软件将这些dll加载到内存中,以及确切的浏览器和其他信息。

恶意软件能够窃取帐户信息,浏览和cookie详细信息,还可以通过调用“hxxp://ip-api.com/json”来检索受感染计算机的公共IP地址。

它还能够列出系统中所有已安装的软件,通过调用CreateToolhelp32Snapshot,Process32first,Process32next函数列出所有正在运行的进程。它还从Electrum,MultiBit,monero-project等收集有关不同加密钱包的信息。它还收集用户在什么时间浏览哪个网站的信息。

它还发送机器名称,RAM大小和其他机器相关信息。

图15.恶意软件向CnC服务器发送的数据

 

然后使用XOR操作加密所有上述信息并将其发送回CnC服务器。然后服务器在收到完整数据后回复“OK”。

被盗数据可被广泛用于未经授权访问电子邮件帐户,银行帐户和其他在线信息。这种被盗的个人信息可能会在精神上和经济上损害用户。

结论

区块链安全咨询公司 曲速未来 提醒:在勒索软件和Cryptominers中,此类Infostealer恶意软件是攻击者使用的最受欢迎的攻击媒介。所以建议用户避免访问可疑网站或电子邮件,并使其防病毒软件保持最新状态,以防止其系统被此类复杂恶意软件感染。

 

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值