針對信息竊取惡意軟件AZORult的相關分析
網站內容來源http://server.it168.com/
針對信息竊取惡意軟件AZORult的相關分析
2018-05-29 14:25 來源:安全客 作者: Gal Bitensky 編輯:
AZORult是一種信息竊取的惡意軟件,隨着時間的推移已經發展成為一種多層功能的軟件,我們知道達爾文的自然選擇進化理論已有150多年的歷史,但進化也可能由於人工選擇的結果(也稱為選擇性育種)。在我們的信息安全領域,同樣的生物學原理適用於惡意軟件的進化。攻擊者經常檢查他們攻擊性工具的具體特徵與其生存能力的相關性,並通過“基因工程”惡意軟件來改善其功能。在接下來的文章中,我們將介紹一個信息竊取惡意軟件的特性。每一層隱藏的功能的都是其“飼養者”精心挑選的,以提高其在野外生存的可能性。
分析攻擊
上周,我們阻止了一個客戶網站的攻擊。這是一個名為“Quotation Request – EP”的經典惡意郵件。它是從一家非洲能源公司的电子郵件帳戶發出的,它含有惡意附件。它是一個包含兩個文件的RAR存檔 – 一個文本文件和一個帶有DDE對象的Microsoft Word文檔。一旦打開,它會從受感染的網站下載一個MSI文件:
該文件是使用名為msi2exe工具從常規可執行文件創建的安裝程序,它將“普通”惡意Windows可執行文件作為安裝程序進行包裝。這隻是眾多隱藏這段惡意代碼手段的第一層。為了獲取和分析可執行文件,我將使用7-Zip提取它,將MSI作為歸檔文件打開:
在我們分析發現,罪魁禍首是名為Binary._D7D112F049BA1A655B5D9A1D0702DEE5的資源,這是一個包含在MSI中的正常Windows可執行文件。在使用PEStudio仔細查看文件時,我們發現情況並非如此:
事實證明,這是一個編譯的AutoIt腳本 – 另一層包裝實際的payload。用Exe2Aut可以將其反編譯可執行文件。但是,反編譯的腳本仍然是混淆的:
結果發現,混淆並不是太複雜,主要依賴於單個字符串混淆函數。我們寫了一個用於反混淆的Python腳本,可以點擊以下鏈接獲取:https://github.com/MinervaLabsResearch/BlogPosts/blob/master/ObfuscatedAutoItDecrypter/AutoIt_dec.py現在可以查看腳本並重命名變量:
看看這個混淆的腳本,現在很清楚看到,在AutoIt中運用了一個經典process hollowing技術:
惡意軟件創建原始進程的第二個暫停實例:
它分配可寫,可執行的內存:
該腳本將它希望執行的payload寫入遠程進程:
在攻擊的下一階段位於遠程進程的內存之後,惡意軟件將主線程的狀態設置為運行注入的代碼並恢復進程的執行:
注入的payload本身使用與字符串相同的例程進行混淆,因此在執行我們的反混淆腳本之後,可以直接觀察它:
第一對字節4D和5A是ASCII字符串MZ – Windows可執行文件開頭的魔術字符串。這是一個強有力的指示,表明注入的緩衝區是另一個payload(!),並且使用另一個Python腳本轉儲它,事實證明確實如此。儘管頭部分損壞,但仍有可能使用PEstudio仔細查看二進制文件。令人驚訝的是,事實證明,攻擊者並不認為到目前為止使用的所有不同技術都已足夠,所以又用UPX壓縮了文件,使其更加隱藏:
由於PE已損壞,因此無法自行執行,但無需這樣做。即使在UPX壓縮形式下,我們也發現了這樣一個事實的證據,即這是隱藏payload的最後一層,並沒有修復它的結構。使用十六進制編輯器觀察文件显示了多個字符串,表明其目標是竊取存儲在瀏覽器中的密碼:
快速Google搜索驗證了這是用於竊取存儲在Google Chrome中的憑據的常見SQL查詢的一部分:
嗅嗅惡意軟件的網絡活動證明了惡意軟件的功能,因為它首先向C2服務器發出指令,然後接收到竊取密碼的指令並將其發送回去
在更深入的探索之後,研究團隊追蹤了一位創造幾乎相同paylaod的作者。這使我們能夠將注入的payload作為非損壞的二進制文件,驗證我們的分析結論。例如,現在我們能夠觀察到相同的SQL查詢,以提取存儲在Google Chrome中的密碼以及其他類似的技術:
正如我們的友好惡意軟件研究社區指出的那樣,這個payload最終被證明是AZORult——一個眾所周知的竊取信息的惡意軟件,它至少從2016年開始在不同的論壇上出售。
實踐中的人工選擇
這個活動中包裝的AZORult惡意軟件採用了六種技術來逃避檢測,展示了它的創建者如何通過反覆嘗試和錯誤的方式選擇“繁殖”它們:
使用RAR歸檔
該文件在發送時作為壓縮文件存檔進行打包,試圖克服對“危險”文件類型附件的靜態掃描和限制。
多個圖層
使用多個圖層隱藏最終的信息竊取功能可能會欺騙一些安全產品,使其看起來不夠“deep enough”,而其他安全產品則無法理解每個圖層的上下文。
使用MSI文件來釋放payload
令人驚訝的是,許多機器學習防病毒解決方案忽略了這種文件類型。但是,有些供應商在後期檢測到該文件,因為二進制payload被保存到臨時文件夾中,但在其他情況下,它可能不那麼簡單並且可能會被忽略。
AutoIt
使用非常規腳本語言進行模糊處理和編譯,會生成一個二進制文件,與傳統的C C ++可執行文件明顯不同。在文件中尋找模式的產品本身會發現更難以檢測到惡意軟件。
注入代碼
這種惡意軟件會在內存中解密其有效內容,並且僅在使用了幾層迷惑技巧之後。
DDE
攻擊者不再依賴舊的VBA宏,而是利用了DDE的“feature” ——允許他們將有效載荷嵌入不太可疑的docx格式,因為宏只能以doc或docm格式使用。
我們能夠追蹤之前的嘗試,從相同的參與者展示他們經過的人工選擇過程,提煉他們最新的最終倖存者。例如,早期的變體選擇了SCR擴展而不是MSI。在另一種情況下,交付機制是不同的,並且依賴於一個鏈接來直接從受損的網站下載受感染的docx文件。
IOC
URLs
hxxp://ipool[.]by/bitrix/css/8/DOC71574662-QUOTATION[.]doc
hxxp://ipool[.]by/bitrix/css/8/aksu[.]msi
hxxp://www[.]sckm[.]Krakow[.]pl/aksu[.]msi
hxxp://aksuperstore[.]com/fh8nzhme/gate[.]php
Files (SHA-256)Analyzed DDE docx:
ac342e80cbdff7680b5b7790cc799e2f05be60e241c23b95262383fd694f5a7a
Analyzed MSI Installer:
e7a842f67813a47bece678a1a5848b4722f737498303fafc7786de9a81d53d06
Unzipped executable:
717db128de25eec80523b36bfaf506f5421b0072795f518177a5e84d1dde2ef7
Decompiled obfuscated AutoIt:
31f807ddfc479e40d4d646ff859d05ab29848d21dee021fa7b8523d2d9de5edd
Deobfuscated AutoIt:
b074be8b1078c66106844b6363ff19226a6f94ce0d1d4dd55077cc30dd7819c5
Similar DDE document downloaded directly from a compromised website:
dc3fac021fae581bf086db6b49f698f0adc80ebe7ca7a28e80c785673065a127
The builder (Trojanized):
329030c400932d06642f9dbc5be71c59588f02d27d9f3823afa75df93407027b
Similar MSI installers:
efa6af034648f8e08098ea56445ccab1af67376ca45723735602f9bdd59e5b5d
9d7a10fa3e5fd2250e717d359fcff881d9591e0fe17795bab7aac747e8514247
dc3fac021fae581bf086db6b49f698f0adc80ebe7ca7a28e80c785673065a127
網站內容來源http://safe.it168.com/
【精選推薦文章】
自行創業 缺乏曝光? 下一步”網站設計“幫您第一時間規劃公司的門面形象
網頁設計一頭霧水??該從何著手呢? 找到專業技術的網頁設計公司,幫您輕鬆架站!
評比前十大台北網頁設計、台北網站設計公司知名案例作品心得分享
台北網頁設計公司這麼多,該如何挑選?? 網頁設計報價省錢懶人包”嚨底家”
