针对信息窃取恶意软件AZORult的相关分析

  • 时间:
  • 浏览:0

  AZORult是有一种信息窃取的恶意软件,随着时间的推移可能性发展成为有一种多层功能的软件,当我们歌词 儿知道达尔文的自然挑选进化理论已有400多年的历史,但进化也可能性可能性人工挑选的结果(也称为挑选性育种)。在当我们歌词 儿的信息安全领域,同样的生物学原理适用于恶意软件的进化。攻击者突然检查当我们歌词 儿攻击性工具的具体底部形态与其生存能力的相关性,并通过“基因工程”恶意软件来改善其功能。在接下来的文章中,当我们歌词 儿将介绍一个信息窃取恶意软件的底部形态。每一层隐藏的功能的都是其“饲养者”精心挑选的,以提高其在野外生存的可能性性。

  分析攻击

  上周,当我们歌词 儿阻止了一个客户网站的攻击。这是一个名为“Quotation Request – EP”的经典恶意邮件。它是从一家非洲能源公司的电子邮件帐户发出的,它涵盖恶意附件。它是一个涵盖一个文件的RAR存档 – 一个文本文件和一个涵盖DDE对象的Microsoft Word文档。一旦打开,它会从受感染的网站下载一个MSI文件:

  该文件是使用名为msi2exe工具从常规可执行文件创建的安装进程,它将“普通”恶意Windows可执行文件作为安装进程进行包装。这却说众多隐藏这段恶意代码手段的第一层。为了获取和分析可执行文件,我将使用7-Zip提取它,将MSI作为归档文件打开:

  在当我们歌词 儿分析发现,罪魁祸首是名为Binary._D7D112F049BA1A655B5D9A1D0702DEE5的资源,这是一个涵盖在MSI中的正常Windows可执行文件。在使用PEStudio仔细查看文件时,当我们歌词 儿发现状况不让只有:

  事实证明,这是一个编译的AutoIt脚本 – 另一层包装实际的payload。用Exe2Aut都需要将其反编译可执行文件。后后 ,反编译的脚本仍然是混淆的:

  结果发现,混淆并都是太僵化 ,主要依赖于单个字符串混淆函数。当我们歌词 儿写了一个用于反混淆的Python脚本,都需要点击以下链接获取:https://github.com/MinervaLabsResearch/BlogPosts/blob/master/ObfuscatedAutoItDecrypter/AutoIt_dec.py现在都需要查看脚本并重命名变量:

  看看你这俩混淆的脚本,现在很清楚看后,在AutoIt中运用了一个经典process hollowing技术:

  恶意软件创建原始进程的第一个暂停实例:

  它分配可写,可执行的内存:

  该脚本将它希望执行的payload写入远程进程:

  在攻击的下一阶段位于远程进程的内存完后 ,恶意软件将主进程的状况设置为运行注入的代码并恢复进程的执行:

  注入的payload有一种使用与字符串相同的例程进行混淆,后后 在执行当我们歌词 儿的反混淆脚本完后 ,都需要直接观察它:

  第一对字节4D和5A是ASCII字符串MZ – Windows可执行文件开头的魔术字符串。这是一个强有力的指示,表明注入的缓冲区是从前 payload(!),后后 使用从前 Python脚本转储它,事实证明其实只有。尽管头次责损坏,但仍有可能性使用PEstudio仔细查看二进制文件。令人惊讶的是,事实证明,攻击者不让认为到目前为止使用的所有不同技术都已足够,却说又用UPX压缩了文件,使其更加隐藏:

  可能性PE已损坏,后后 无法自行执行,但不让从前 做。即使在UPX压缩形式下,当我们歌词 儿也发现了从前 一个事实的证据,即这是隐藏payload的最后一层,并只有修复它的底部形态。使用十六进制编辑器观察文件显示了多个字符串,表明其目标是窃取存储在浏览器中的密码:

  快速Google搜索验证了这是用于窃取存储在Google Chrome中的凭据的常见SQL查询的一次责:

  嗅嗅恶意软件的网络活动证明了恶意软件的功能,可能性它首先向C2服务器发出指令,后后 接收到窃取密码的指令并将其发送回去

  在更深入的探索完后 ,研究团队追踪了一位创造几乎相同paylaod的作者。这使当我们歌词 儿才能将注入的payload作为非损坏的二进制文件,验证当我们歌词 儿的分析结论。类似于,现在当我们歌词 儿才能观察到相同的SQL查询,以提取存储在Google Chrome中的密码以及却说类似于的技术:

  正如当我们歌词 儿的友好恶意软件研究社区指出的那样,你这俩payload最终被证明是AZORult——一个众所周知的窃取信息的恶意软件,它离米 从2016年后后开始 在不同的论坛上出售。

  实践中的人工挑选

  你这俩活动中包装的AZORult恶意软件采用了六种技术来逃避检测,展示了它的创建者怎么才能 才能 通过反复尝试和错误的措施 挑选“繁殖”它们:

  使用RAR归档

  该文件在发送时作为压缩文件存档进行打包,试图克服对“危险”文件类型附件的静态扫描和限制。

  多个图层

  使用多个图层隐藏最终的信息窃取功能可能性会欺骗却说安全产品,使其看起来位于问题“deep enough”,而却说安全产品则无法理解每个图层的上下文。

  使用MSI文件来释放payload

  令人惊讶的是,却说机器学习防病毒正确处理方案忽略了你这俩文件类型。后后 ,却说供应商在后期检测到该文件,可能性二进制payload被保存到临时文件夹中,但在却说状况下,它可能性不只有简单后后 可能性会被忽略。

  AutoIt

  使用非常规脚本语言进行模糊正确处理和编译,会生成一个二进制文件,与传统的C C ++可执行文件明显不同。在文件中寻找模式的产品有一种会发现更难以检测到恶意软件。

  注入代码

  你这俩恶意软件会在内存中解密其有效内容,后后 仅在使用了几层迷惑技巧完后 。

  DDE

  攻击者不再依赖旧的VBA宏,却说利用了DDE的“feature” ——允许当我们歌词 儿将有效载荷嵌入不太可疑的docx格式,可能性宏只有以doc或docm格式使用。

  当我们歌词 儿才能追踪完后 的尝试,从相同的参与者展示当我们歌词 儿经过的人工挑选过程,提炼当我们歌词 儿最新的最终幸存者。类似于,早期的变体挑选了SCR扩展而都是MSI。在另有一种状况下,交付机制是不同的,后后 依赖于一个链接来直接从受损的网站下载受感染的docx文件。

  IOC

  URLs

  hxxp://ipool[.]by/bitrix/css/8/DOC71574662-QUOTATION[.]doc

  hxxp://ipool[.]by/bitrix/css/8/aksu[.]msi

  hxxp://www[.]sckm[.]Krakow[.]pl/aksu[.]msi

  hxxp://aksuperstore[.]com/fh8nzhme/gate[.]php

  Files (SHA-256)Analyzed DDE docx:

  ac342e400cbdff76400b5b7790cc799e2f05be400e241c23b95262383fd694f5a7a

  Analyzed MSI Installer:

  e7a842f67813a47bece678a1a5848b4722f7374984003fafc7786de9a81d53d06

  Unzipped executable:

  717db128de25eec400523b36bfaf4006f5421b0072795f518177a5e84d1dde2ef7

  Decompiled obfuscated AutoIt:

  31f4007ddfc479e40d4d646ff859d05ab29848d21dee021fa7b8523d2d9de5edd

  Deobfuscated AutoIt:

  b074be8b1078c66106844b6363ff19226a6f94ce0d1d4dd540077cc400dd7819c5

  Similar DDE document downloaded directly from a compromised website:

  dc3fac021fae581bf086db6b49f698f0adc400ebe7ca7a28e400c7856740065a127

  The builder (Trojanized):

  3290400c400932d06642f9dbc5be71c59588f02d27d9f3823afa75df93407027b

  Similar MSI installers:

  efa6af034648f8e040098ea56445ccab1af67376ca457237354002f9bdd59e5b5d

  9d7a10fa3e5fd22400e717d359fcff881d9591e0fe17795bab7aac747e8514247

  dc3fac021fae581bf086db6b49f698f0adc400ebe7ca7a28e400c7856740065a127