针对信息窃取恶意软件AZORult的相关分析,AZORult是一种盗取消息的歹意应用。跟着光阴的推移,它曾经开展成为一个多功效的应用。咱们晓得达尔文的天然选定进化论曾经有150多年的经历了,但进化也不妨因为人工选定(也被称为选定性育种)的后果。在咱们的消息平安平台,一样的生物学道理也适合于歹意应用的演化。攻打者时常搜检其攻打性工具的特定功效与其生计才气之间的关联性,并经历“基因工程”歹意应用改善其功效。鄙人一篇文章中,咱们将说明消息盗取歹意应用的一个功效。每一层的潜藏功效都是由它的“豢养员”经心筛选出来的,以进步田野生计的大概性。
1.上周,咱们制止了对一个客户网站的攻打。这是一封名为“报价要求-EP”的经典歹意电子邮件。它是从一家非洲动力公司的电子邮件账户发送的,包括歹意附件。它是一个包括两个文件的RAR归档文件-一个文本文件和一个带有DDE工具的MicrosoftWord文档。一旦翻开,它将从受熏染的网站下载MSI文件:
2.此文件是应用名为msi2exe的工具从通例可实行文件建立的安置法式,该工具将“平常”歹意Windows可实行文件包装为安置法式。这只是潜藏此歹意代码的很多技巧中的第一层。为了获得和说明可实行文件,我将应用7-Zip将其解压并以存档文件的模式翻开MSI:
3.凭据咱们的说明,罪魁罪魁是名为Binary的资源。_d7d112f049ba1a655b5d9a1d0702dee5,这是MSI中包括的一般Windows可实行文件。在应用PEStudio时周密搜检笔墨。后果评释,殽杂并不太繁杂,要紧依附于单个字符串殽杂函数。咱们曾经编写了一个用于反含混的Python剧本,能够经历单击如下链接获得该剧本。歹意应用建立原始历程的第二个停息实例:鄙人一阶段的攻打位于长途历程的内存中以后,歹意应用将干线程的状况配置为运转注入的代码并规复历程的实行:注入的有用负载自己应用与字符串相像的例程举行含混处分,因此在实行咱们的反含混剧本以后,您能够干脆调查到它:
4.第一对字节4D和5A是Windows可实行文件开首的ASCII字符串MZ把戏字符串。这猛烈评释注入的缓冲区是另一个有用负载(!),并应用另一个Python剧本转储它,究竟证实即是如许。固然头部受损,但仍能够应用PEstudio周密稽查二进制文件。使人惊奇的是,本来攻打者并不觉得到当前为止应用的全部差别技术都充足,因此应用UPX对文件举行收缩,使其更具潜伏性:
5.因为PE已毁坏,它不能够本人实行,但也没有须要如许做。即便是在UPX收缩花样中,咱们也发掘了证据,证实这是潜藏有用载荷的末了一层,而且没有修复其布局。应用十六进制编纂器调查该文件会表现多个字符串,评释其指标是盗取存储在涉猎器中的暗号:疾速Google搜索考证了这是用于盗取存储在Googlechrome中的凭证的多见SQL盘问的一片面:嗅探歹意应用的网页举止证实了歹意应用的功效,因为它首先向C2服务器发送指令,而后汲取盗取暗号的指令并将其发还。经由进一步的索求,钻研小组找到了一名作者,他创作了险些相像的薪金单。这使咱们能够或许应用注入的有用负载作为未毁坏的二进制文件来考证咱们的说明论断。比方,当今咱们能够调查相像的SQL盘问来提取存储在谷歌chrome和其余相似技术中的暗号:
6.正如咱们友爱的歹意应用钻研社区指出的那样,这一有用载荷终极被证实是AZORULT,这是一款出名的盗取消息的歹意应用,起码从2016年首先在差别的论坛上发售。本举止中打包的AZORult歹意应用应用六种技术来回避检验,展现了其建立者是怎样经历频频测试和毛病来“繁茂”这些歹意应用的:应用RAR存档。为了降服静态扫描和对“凶险”文件范例附件的限定,该文件在发送时被打包为收缩文件存档。多层。应用多层来潜藏终极的消息盗取功效,大概会诈骗少许平安产物看起来不敷深,而其余平安产物则无法明白每一层的高低文。应用MSI文件开释有用载荷。使人惊奇的是,很多机械借鉴防病毒办理计划纰漏了此文件范例。不过,少许提供商检验到该文件