区块链安全咨询公司 曲速未来 表示:虽然目前网络空间的重点是勒索软件和密码管理器,但还有其他流行的威胁演员默默地进入受害者的机器,以便将其用于恶意目的。在对URL的进一步分析得到了“AZORult”信息输送器恶意软件的新变种。此恶意软件收集并从受害者的计算机中将数据泄露到CnC服务器。
下面的攻击链描述了针对此恶意软件观察到的执行顺序。
在分析时,初始攻击向量未知,但攻击链是从恶意URL追踪的。研究人员怀疑最初的攻击媒介是网络钓鱼电子邮件。
在静态分析期间,样本中似乎有很多Flare。‘neut.exe’文件是MS Windows的PE32可执行文件,编译为Microsoft Visual Basic的P代码文件。它具有各种加密字符串并包含高熵的大量资源数据。
Decompiled File具有为当前进程禁用DEP的功能,它会尝试修改Explorer设置以防止显示隐藏文件,并且还会在内存中加载大量资源。
在反编译文件中遍历更多函数时。找到了一个混淆的代码,该代码被传递给一个函数,该函数对数据进行去混淆并形成一个有效的字符串。
将这些十六进制值转换为ASCII后,代码看起来像是base64编码的。因此,在使用base64算法解码后,找到字符串。
遍历的下一个函数具有XOR算法以及一些应用于整个资源数据的操作。解密例程通过下面的代码段显示。
在资源代码上实现此逻辑后,找到一个PE文件。解密的PE文件是Delphi的windows文件,我们将继续分析这个文件。
静态检查文件找到各种base64编码字符串,如下图所示。
使用base64算法对字符串进行解码,得到以下结果。这些字符串用于收集“卸载”中的“DisplayName”等系统信息。注册表项用于标识系统中所有已安装的软件。“CreateToolhelp32Snapshot”用于列出所有正在运行的进程。
一些未加密的字符串也在那里。快照下面有一些字符串:
现在进一步分析将了解这些字符串的使用位置和方式。所以在IDA中调试文件之后。恶意软件收集机器信息,例如“MachineGuid”,“ProductName”,“UserName”,“ComputerName”,并使用DWORD对其进行异或,然后将其连接起来,最后为特定系统创建此名称的互斥锁。
之后恶意软件尝试使用POST请求将数据发送到C&C服务器。这就是构建该请求的方式:
CnC服务器响应了大量似乎被加密的数据。
在对文件进行更多调试之后,恶意软件通过使用“InternetReadFile”api读取内存中CnC服务器发送的数据,然后使用带有3字节密钥的XOR算法对其进行解密。响应缓冲区末尾的某些数据具有base64编码的字符串。
Base64编码的字符串,描述恶意软件试图从受害者机器窃取的信息(用户名,密码,安装的软件,浏览器信息等)。
在解密用Xor操作加密的另一个缓冲区之后,我们发现它有很多dll(~48)被转储到目录:%Temp%\ 2fda“并且它还包含一些字符串。一些dll与浏览器插件有关。恶意软件将这些dll加载到内存中,以及确切的浏览器和其他信息。
恶意软件能够窃取帐户信息,浏览和cookie详细信息,还可以通过调用“hxxp://ip-api.com/json”来检索受感染计算机的公共IP地址。
它还能够列出系统中所有已安装的软件,通过调用CreateToolhelp32Snapshot,Process32first,Process32next函数列出所有正在运行的进程。它还从Electrum,MultiBit,monero-project等收集有关不同加密钱包的信息。它还收集用户在什么时间浏览哪个网站的信息。
它还发送机器名称,RAM大小和其他机器相关信息。
然后使用XOR操作加密所有上述信息并将其发送回CnC服务器。然后服务器在收到完整数据后回复“OK”。
被盗数据可被广泛用于未经授权访问电子邮件帐户,银行帐户和其他在线信息。这种被盗的个人信息可能会在精神上和经济上损害用户。
结论
区块链安全咨询公司 曲速未来 提醒:在勒索软件和Cryptominers中,此类Infostealer恶意软件是攻击者使用的最受欢迎的攻击媒介。所以建议用户避免访问可疑网站或电子邮件,并使其防病毒软件保持最新状态,以防止其系统被此类复杂恶意软件感染。