麻豆国内精品欧美在线-麻豆国内精品久久久久久-麻豆国产在线观看一区二区-麻豆国产在线观看免费-麻豆国产原创-麻豆国产一区二区在线观看

曲速未來 消息:對AZORult的深入分析其信息exfiltrator區塊鏈

曲速未來安全區 2018-10-17 20:02
分享到:
導讀

曲速未來表示:雖然目前網絡空間的重點是勒索軟件和密碼管理器,但還有其他流行的威脅演員默默地進入受害者的機器,以便將其用于惡意目的。

區塊鏈安全咨詢公司 曲速未來 表示:雖然目前網絡空間的重點是勒索軟件和密碼管理器,但還有其他流行的威脅演員默默地進入受害者的機器,以便將其用于惡意目的。在對URL的進一步分析得到了“AZORult”信息輸送器惡意軟件的新變種。此惡意軟件收集并從受害者的計算機中將數據泄露到CnC服務器。

下面的攻擊鏈描述了針對此惡意軟件觀察到的執行順序。

圖2.攻擊鏈

在分析時,初始攻擊向量未知,但攻擊鏈是從惡意URL追蹤的。研究人員懷疑最初的攻擊媒介是網絡釣魚電子郵件。

在靜態分析期間,樣本中似乎有很多Flare。‘neut.exe’文件是MS Windows的PE32可執行文件,編譯為Microsoft Visual Basic的P代碼文件。它具有各種加密字符串并包含高熵的大量資源數據。

圖3:CFF資源管理器中的巨大資源

Decompiled File具有為當前進程禁用DEP的功能,它會嘗試修改Explorer設置以防止顯示隱藏文件,并且還會在內存中加載大量資源。

圖4:反編譯文件顯示DEP策略和資源加載

在反編譯文件中遍歷更多函數時。找到了一個混淆的代碼,該代碼被傳遞給一個函數,該函數對數據進行去混淆并形成一個有效的字符串。

圖5.混淆字節

將這些十六進制值轉換為ASCII后,代碼看起來像是base64編碼的。因此,在使用base64算法解碼后,找到字符串。

遍歷的下一個函數具有XOR算法以及一些應用于整個資源數據的操作。解密例程通過下面的代碼段顯示。

圖7.用于解密資源代碼的Xor算法

在資源代碼上實現此邏輯后,找到一個PE文件。解密的PE文件是Delphi的windows文件,我們將繼續分析這個文件。

靜態檢查文件找到各種base64編碼字符串,如下圖所示。

圖8. Base64編碼的字符串

使用base64算法對字符串進行解碼,得到以下結果。這些字符串用于收集“卸載”中的“DisplayName”等系統信息。注冊表項用于標識系統中所有已安裝的軟件。“CreateToolhelp32Snapshot”用于列出所有正在運行的進程。

一些未加密的字符串也在那里。快照下面有一些字符串:

圖10.資源文件中的字符串

現在進一步分析將了解這些字符串的使用位置和方式。所以在IDA中調試文件之后。惡意軟件收集機器信息,例如“MachineGuid”,“ProductName”,“UserName”,“ComputerName”,并使用DWORD對其進行異或,然后將其連接起來,最后為特定系統創建此名稱的互斥鎖。

之后惡意軟件嘗試使用POST請求將數據發送到C&C服務器。這就是構建該請求的方式:

1

圖11.調用HttpSendRequestA

CnC服務器響應了大量似乎被加密的數據。

圖12.來自CnC服務器的響應

在對文件進行更多調試之后,惡意軟件通過使用“InternetReadFile”api讀取內存中CnC服務器發送的數據,然后使用帶有3字節密鑰的XOR算法對其進行解密。響應緩沖區末尾的某些數據具有base64編碼的字符串。

圖13.從CnC服務器接收的加密數據

Base64編碼的字符串,描述惡意軟件試圖從受害者機器竊取的信息(用戶名,密碼,安裝的軟件,瀏覽器信息等)。

圖14.解密的響應字符串

在解密用Xor操作加密的另一個緩沖區之后,我們發現它有很多dll(~48)被轉儲到目錄:%Temp%\ 2fda“并且它還包含一些字符串。一些dll與瀏覽器插件有關。惡意軟件將這些dll加載到內存中,以及確切的瀏覽器和其他信息。

惡意軟件能夠竊取帳戶信息,瀏覽和cookie詳細信息,還可以通過調用“hxxp://ip-api.com/json”來檢索受感染計算機的公共IP地址。

它還能夠列出系統中所有已安裝的軟件,通過調用CreateToolhelp32Snapshot,Process32first,Process32next函數列出所有正在運行的進程。它還從Electrum,MultiBit,monero-project等收集有關不同加密錢包的信息。它還收集用戶在什么時間瀏覽哪個網站的信息。

它還發送機器名稱,RAM大小和其他機器相關信息。

圖15.惡意軟件向CnC服務器發送的數據

然后使用XOR操作加密所有上述信息并將其發送回CnC服務器。然后服務器在收到完整數據后回復“OK”。

被盜數據可被廣泛用于未經授權訪問電子郵件帳戶,銀行帳戶和其他在線信息。這種被盜的個人信息可能會在精神上和經濟上損害用戶。

結論

區塊鏈安全咨詢公司 曲速未來 提醒:在勒索軟件和Cryptominers中,此類Infostealer惡意軟件是攻擊者使用的最受歡迎的攻擊媒介。所以建議用戶避免訪問可疑網站或電子郵件,并使其防病毒軟件保持最新狀態,以防止其系統被此類復雜惡意軟件感染。

信息 惡意軟件 文件 字符串 數據
分享到:

1.TMT觀察網遵循行業規范,任何轉載的稿件都會明確標注作者和來源;
2.TMT觀察網的原創文章,請轉載時務必注明文章作者和"來源:TMT觀察網",不尊重原創的行為TMT觀察網或將追究責任;
3.作者投稿可能會經TMT觀察網編輯修改或補充。


主站蜘蛛池模板: heyzo1754北岛玲在线视频 | 精品国产自在现线拍400部 | 欧美人与日本人xx在线视频 | 日韩影院在线观看 | 亚洲久草视频 | tk白丝丨vk | 91亚洲精品丁香在线观看 | 国产在线麻豆波多野结衣 | 午夜久| 电车痴汉(han) | 校园刺激全黄H全肉细节文 校草让我脱了内裤给全班看 | 亚洲免费视频在线观看 | 大东北chinesexxxx露脸 | 日本免费久久久久久久网站 | 99福利影院 | 亚洲国产成人久久综合一区 | 香蕉人人超人人超碰超国产 | uoco福利姬网站 | 17个农民工婉莹第一部 | 王淑兰李思雨李铁柱乡村小说免费 | 久久永久影院免费 | 国产成人精品三级在线 | 忘忧草研究院一二三 | 视频在线视频免费观看 | 天堂网站天堂小说 | 40岁女人三级全黄 | 四虎影视4hu最新地址在线884 | 亚洲va欧美va国产综合久久 | 午夜dj影院在线观看完整版 | 国内精品中文字幕 | 精品国产一区二区三区久久影院 | 丰满大屁股美女一级毛片 | 91亚色视频在线观看 | 欧美va免费大片 | 99久久精品国产免看国产一区 | 精品高潮呻吟99AV无码 | 四虎私人影院 | 青草国内精品视频在线观看 | 日本嫩模| 日本中文字幕一区二区有码在线 | 男人把j放进女人的p里视频 |