前言：

AZORult是一個強大的資訊竊取程式和下載程式，安全研究人員最初在2016年通過Chthonic銀行特洛伊木馬識別出這是次要感染的一部分。後來它參與了許多malspam攻擊。直到一個複雜版本的AZORult間諜軟體在野外被發現，它參與了7月18日的大型電子郵件活動的惡意軟體被研究人員在野外發現了新版本的AZORult間諜軟體，它於7月18日參與了大型電子郵件活動，僅在24小時就出現在黑暗網路上的網路犯罪論壇上。攻擊者傳送了數千封針對北美的郵件。這些訊息使用與就業相關的主題，如“關於角色”和“工作申請”，而惡意附加文件使用格式為“firstname.surname_resume.doc”的檔名。“AZORult惡意軟體憑藉其憑證和加密貨幣盜竊的能力，為個人帶來潛在的直接經濟損失，以及行動者在受影響組織中建立灘頭陣地的機會”。

區塊鏈安全諮詢公司 曲速未來 訊息：9月17日，安全研究人員在黑暗網站上發現了一個名為“Gazorp”的新線上建設者。Gazorp旨在構建流行惡意軟體Azorult的二進位制檔案，Azorult是一種用於竊取使用者密碼，信用卡資訊，加密貨幣相關資料等的資訊使用者。此外，Gazorp服務是免費提供的，威脅行為者可以建立新的Azorult樣本和相應的面板伺服器程式碼，只需提供他們的命令和控制（C＆C）地址即可。該地址嵌入到新建立的二進位制檔案中，而後者又可以以威脅行為者認為合適的任何方式進行分發。

根據對構建的惡意軟體的分析表明，Gazorp有效地生成了Azorult 3.0版的樣本，已知該版本在五個月前釋出。從那以後，惡意軟體被更新兩次，隨後的版本3.1和3.2被髮布並在野外觀察，使得Gazorp構建的版本已經過時。即便如此，過時版本好事具有多種竊取功能，任何參與者都可以利用這些功能來收集受害者資訊並濫用它，以及包含對惡意軟體C2面板程式碼的多次升級和增強。

Gazorp公佈時機

非常有趣的事情是它的釋出時間。Gazorp在Dark Web上的出現之前是Azorult面板的程式碼洩漏。實際上，這種洩漏允許任何想要主持Azorult C＆C面板的人能夠以適度的低成本完成這項工作。洩漏還包含最新版惡意軟體的構建器，它似乎不是其作者使用的原始版本。相反，它只是編碼並將C＆C地址字串作為引數提供給使用者，作為現成二進位制檔案中的特定欄位。因此，簡單的機制和最近版本向公眾的整體傳遞有可能激發Gazorp的作者線上介紹它。

​

區塊鏈安全諮詢公司 曲速未來 提醒：另一點需要注意的是，線上構建器連結到Telegram頻道，其中建立者的活動對公眾可見。參與的人可以獲得專案的更新，並提出自己的改進意見。此外，作者鼓勵使用者通過向特定比特幣錢包發放交易來向他們的專案捐款，這似乎是將Gazorp貨幣化的唯一方式（因為它的使用是完全免費的）。作為回報，他們聲稱，使用者將從他們的一方的更多開發和升級中受益。

​

上面構建器頁面中的第一段指定了希望使用它的任何使用者需要採取的簡單操作。它轉換為以下內容：

​

“今天最受歡迎的經銷商之一的自由建設者，Azorult就在這裡。它就像2×2一樣簡單：

​

1.指定竊取者將報告的域。

2.下載包含構建，手冊和麵板的存檔。

3.安裝面板，部署構建。

4.工作$$$;

​

此外，作者試圖將他們引入惡意軟體面板的增強功能描述為他們在此專案中提供的最重要的價值。Azorult的版本3小組也在過去洩露並上傳到Github，為騙子和網路犯罪分子濫用它提供了機會。

​

作者指出，對面板的更改包括多個漏洞和錯誤修復，更好的效能，視覺化增強功能和各種新功能。實際上，如果為兩個面板區分原始碼樹，就可以看到Gazorp中的主要差異和增加。

​

實際上，Gazorp的小組看起來遠不如承諾那麼誘人。與Azorult v3相比，主要統計頁面看起來相當沉悶，其對應的主要改進是全域性堆對映，它按照Azorult面板中無法訪問的方式按國家地區提供統計資訊。

​

除了建議的修改之外，未來還有許多承諾的功能。例如，作者合併了一個“模組”部分，該部分暗示了使用新功能擴充套件Azorult的能力，但尚未實現。它們還提供更多隨意麵板功能，例如配置面板和將各種資料庫匯出到檔案的功能。這些還沒有提供，預計隨著專案的發展而增加。

​

使用Azorult v3.0二進位制檔案

由Gazorp生產的這個版本的Azorult可以通過幾個顯著的特徵來識別：

​

1、每個版本的Azorult都有一個獨特的互斥鎖，惡意軟體在執行開始時會建立該互斥鎖。Azorult v3.0特別建立了一個互斥名稱，它是當前使用者（A-admin，U-user，S-system，G-guest）和字串“d48qw4d6wq84d56as”的許可權的串聯。

​

2、Azorult使用簡單的XOR方法加密與C2伺服器的連線，並在檔案中使用金鑰硬編碼。每個版本的Azorult都有不同的金鑰。在v3.0的情況下，其0xfe，0x29,0x36。

​

3、來自C2伺服器的解密返回訊息由標籤組成。在3.0版中，返回的訊息具有以下標記：

​

​

使用Base64解碼標籤之間的值。

​

結語：

這個新的shady服務為Web中一些常見惡意軟體的易訪問性提供了一個示例。目前，安全人員正在研究Gazorp服務的早期版本（0.1），其中提供的主要產品是增強的Azorult C＆C面板程式碼。希望該專案能夠隨著時間的推移而發展，並可能為Azorult生成新的變體。區塊鏈安全諮詢公司 曲速未來 告誡：鑑於該服務是免費的，Gazorp建立二進位制檔案的新活動也有可能在野外開始出現更高規模。所以還是要繼續留意，注意它的威脅。

本文內容由 曲速未來 (WarpFuture.com) 安全諮詢公司整理編譯，轉載請註明。 曲速未來提供包括主鏈安全、交易所安全、交易所錢包安全、DAPP開發安全、智慧合約開發安全等相關區塊鏈安全諮詢服務。