1. 程式人生 > >曲速未來 訊息:對AZORult的深入分析其資訊exfiltrator

曲速未來 訊息:對AZORult的深入分析其資訊exfiltrator

 

 

區塊鏈安全諮詢公司 曲速未來 表示:雖然目前網路空間的重點是勒索軟體和密碼管理器,但還有其他流行的威脅演員默默地進入受害者的機器,以便將其用於惡意目的。在對URL的進一步分析得到了“AZORult”資訊輸送器惡意軟體的新變種。此惡意軟體收集並從受害者的計算機中將資料洩露到CnC伺服器。

 

下面的攻擊鏈描述了針對此惡意軟體觀察到的執行順序。

圖2.攻擊鏈

 

 

在分析時,初始攻擊向量未知,但攻擊鏈是從惡意URL追蹤的。研究人員懷疑最初的攻擊媒介是網路釣魚電子郵件。

在靜態分析期間,樣本中似乎有很多Flare。‘neut.exe’檔案是MS Windows的PE32可執行檔案,編譯為Microsoft Visual Basic的P程式碼檔案。它具有各種加密字串幷包含高熵的大量資源資料。

圖3:CFF資源管理器中的巨大資源

 

 

Decompiled File具有為當前程序禁用DEP的功能,它會嘗試修改Explorer設定以防止顯示隱藏檔案,並且還會在記憶體中載入大量資源。

圖4:反編譯檔案顯示DEP策略和資源載入

 

 

在反編譯檔案中遍歷更多函式時。找到了一個混淆的程式碼,該程式碼被傳遞給一個函式,該函式對資料進行去混淆並形成一個有效的字串。

圖5.混淆位元組

 

 

將這些十六進位制值轉換為ASCII後,程式碼看起來像是base64編碼的。因此,在使用base64演算法解碼後,找到字串。

遍歷的下一個函式具有XOR演算法以及一些應用於整個資源資料的操作。解密例程通過下面的程式碼段顯示。

圖7.用於解密資原始碼的Xor演算法

 

 

在資原始碼上實現此邏輯後,找到一個PE檔案。解密的PE檔案是Delphi的windows檔案,我們將繼續分析這個檔案。

靜態檢查檔案找到各種base64編碼字串,如下圖所示。

圖8. Base64編碼的字串

 

 

使用base64演算法對字串進行解碼,得到以下結果。這些字串用於收集“解除安裝”中的“DisplayName”等系統資訊。登錄檔項用於標識系統中所有已安裝的軟體。“CreateToolhelp32Snapshot”用於列出所有正在執行的程序。

一些未加密的字串也在那裡。快照下面有一些字串:

圖10.資原始檔中的字串

 

 

現在進一步分析將瞭解這些字串的使用位置和方式。所以在IDA中除錯檔案之後。惡意軟體收集機器資訊,例如“MachineGuid”,“ProductName”,“UserName”,“ComputerName”,並使用DWORD對其進行異或,然後將其連線起來,最後為特定系統建立此名稱的互斥鎖。

 

之後惡意軟體嘗試使用POST請求將資料傳送到C&C伺服器。這就是構建該請求的方式:

 

 

圖11.呼叫HttpSendRequestA

 

 

CnC伺服器響應了大量似乎被加密的資料。

圖12.來自CnC伺服器的響應

 

 

在對檔案進行更多除錯之後,惡意軟體通過使用“InternetReadFile”api讀取記憶體中CnC伺服器傳送的資料,然後使用帶有3位元組金鑰的XOR演算法對其進行解密。響應緩衝區末尾的某些資料具有base64編碼的字串。

圖13.從CnC伺服器接收的加密資料

 

 

Base64編碼的字串,描述惡意軟體試圖從受害者機器竊取的資訊(使用者名稱,密碼,安裝的軟體,瀏覽器資訊等)。

圖14.解密的響應字串

 

在解密用Xor操作加密的另一個緩衝區之後,我們發現它有很多dll(~48)被轉儲到目錄:%Temp%\ 2fda“並且它還包含一些字串。一些dll與瀏覽器外掛有關。惡意軟體將這些dll載入到記憶體中,以及確切的瀏覽器和其他資訊。

惡意軟體能夠竊取帳戶資訊,瀏覽和cookie詳細資訊,還可以通過呼叫“hxxp://ip-api.com/json”來檢索受感染計算機的公共IP地址。

它還能夠列出系統中所有已安裝的軟體,通過呼叫CreateToolhelp32Snapshot,Process32first,Process32next函式列出所有正在執行的程序。它還從Electrum,MultiBit,monero-project等收集有關不同加密錢包的資訊。它還收集使用者在什麼時間瀏覽哪個網站的資訊。

它還發送機器名稱,RAM大小和其他機器相關資訊。

圖15.惡意軟體向CnC伺服器傳送的資料

 

然後使用XOR操作加密所有上述資訊並將其傳送回CnC伺服器。然後伺服器在收到完整資料後回覆“OK”。

被盜資料可被廣泛用於未經授權訪問電子郵件帳戶,銀行帳戶和其他線上資訊。這種被盜的個人資訊可能會在精神上和經濟上損害使用者。

結論

區塊鏈安全諮詢公司 曲速未來 提醒:在勒索軟體和Cryptominers中,此類Infostealer惡意軟體是攻擊者使用的最受歡迎的攻擊媒介。所以建議使用者避免訪問可疑網站或電子郵件,並使其防病毒軟體保持最新狀態,以防止其系統被此類複雜惡意軟體感染。