1. 程式人生 > >曲速未來 :網路犯罪分子於廣告上哥斯拉載入程式的惡意軟體

曲速未來 :網路犯罪分子於廣告上哥斯拉載入程式的惡意軟體

 

圖1.哥斯拉載入器惡意軟體

 

 

區塊鏈安全諮詢公司 曲速未來 訊息:網路犯罪分子在Dark網路論壇上以500美元的價格宣傳Godzilla Loader惡意軟體,該惡意軟體被定期維護並獲得新的更新。

 

哥斯拉的特點和它們的用途

 

為了讓你有正確的思維方式來考慮哥斯拉與情緒,這是我們自己的下載器,用Python編寫:

哥斯拉現代下載器或滴管首先在受害者的機器上執行二進位制檔案,然後從遠端伺服器下載有效載荷。

根據調查得知,與其競爭對手Emotet相比,Godzilla Loader惡意軟體的感染率要低得多。

Godzilla載入器廣告稱其內建UAC旁路,使用者帳戶控制(UAC)是一種Microsoft安全工具,可幫助防止惡意軟體的入侵。

圖3.Godzilla Loader廣告的開幕

 

繞過UAC非安全邊界

 

早期的MS-Windows幾乎沒有訪問控制的方式,並且在Windows Vista中引入了UAC作為解決此問題的權宜之計。您可能熟悉對話方塊提示,通知您這個或另一個程序“想要對您的計算機進行更改”,這是“希望擁有管理員許可權”的外行翻譯。UAC最初因為不斷提示螢幕驅動早期的Vista採用者而臭名昭著,這些提示凍結了整個螢幕的其餘部分並從所有其他應用程式中搶走了焦點。

自UAC首次亮相以來,其使用者介面已經有了重大改進,但同樣不能說它能夠阻止惡意行為者。雖然UAC確實為進入惡意軟體(例如)關閉AV產品提供了一定的障礙,但通過一些努力,這個障礙被證明是可以克服的。如果您想了解我們的意思,請考慮UACMEgithub儲存庫,由自稱為“軟體工程師,惡意軟體分析師”的infosec個性化@hFireF0X提供服務;儲存庫是一個教育展覽,目前列出了50多個(!)不同的攻擊向量,用於繞過UAC及其相應的實現。UAC作為一個完全強大的安全功能的戰鬥早已失傳。差不多十年前,微軟嘆了口氣,宣稱UAC不是安全邊界。

正如廣告中所提到的,哥斯拉裝載機配備了內建的UAC旁路-具體來說,就是這裡所描述的。此UAC繞過基本上是特權程序eventvwr.exe中的漏洞;由於存在錯誤,程序在查詢登錄檔以獲取Microsoft管理控制檯的位置時會訪問錯誤的登錄檔項,並且可以修改此錯誤的登錄檔項,而不需要任何許可權要求。因此,攻擊者可以指定他們喜歡的任何可執行檔案,並且此可執行檔案將以管理員許可權執行。

圖4.eventvwr.exe的清單,包括自動提升請求。

 

 

當你所擁有的只是一個IUNKNOWN介面時,一切看起來都像一個COM物件

隨著新版本的“哥斯拉”,作者聲稱他們已經轉換了更多的控制流程,完全依賴於COM介面;通過IPresistFile介面實現永續性,並通過IShellDispatch介面觸發本地磁碟上程式的shell執行。

圖5.哥斯拉的第一個COM介面請求

 

 

它還執行其他功能,例如刪除檔案備份,這是它成為反勒索軟體措施的唯一可能原因,該措施通過從影子檔案備份恢復原始檔案來執行。

威脅參與者為C&C通訊提供了雙層故障保護,並使用RSA-2048來驗證C&C伺服器的身份。

最新版本的惡意軟體似乎從去年12月開始開發,最新版本包含傳播模組,鍵盤記錄模組和密碼竊取模組。

勒索軟體管家即服務

 

另一個引起注意的特性是在受害者系統上自動刪除檔案備份卷影副本。對於大多數型別的惡意廣告系列,此功能不會以某種方式產生影響;它存在的唯一可能原因是通過從影子檔案備份中恢復原始檔案來實現非常具體的反Ransomware措施。

首先,“恢復陰影檔案”位於反勒索軟體攻擊的圖騰柱上相對較低。最重要的是,絕大多數勒索軟體都將內建此功能;雖然勒索軟體作者通常不是出色的加密思想,但他們已經掌握了基礎知識,並且基礎已經包括“確保刪除影子檔案”。只有最低級別的低層勒索軟體才能檢查此複選框。

結論

 

區塊鏈安全諮詢公司 曲速未來 表示:根據它的存在和採用率,研究人員表示它可能是長尾原理的一個很好的例子。與手機型號和程式語言一樣,可以預計惡意下載器的普及將遵循帕累託分佈,其中少數演員佔據市場的大部分,其餘的則由小型利基演員的海洋所佔據。這絕對是故事的一部分,但不是全部。