麻豆国内精品欧美在线-麻豆国内精品久久久久久-麻豆国产在线观看一区二区-麻豆国产在线观看免费-麻豆国产原创-麻豆国产一区二区在线观看

曲速未來 消息:對AZORult的深入分析其信息exfiltrator區塊鏈

曲速未來安全區 2018-10-17 20:02
分享到:
導讀

曲速未來表示:雖然目前網絡空間的重點是勒索軟件和密碼管理器,但還有其他流行的威脅演員默默地進入受害者的機器,以便將其用于惡意目的。

區塊鏈安全咨詢公司 曲速未來 表示:雖然目前網絡空間的重點是勒索軟件和密碼管理器,但還有其他流行的威脅演員默默地進入受害者的機器,以便將其用于惡意目的。在對URL的進一步分析得到了“AZORult”信息輸送器惡意軟件的新變種。此惡意軟件收集并從受害者的計算機中將數據泄露到CnC服務器。

下面的攻擊鏈描述了針對此惡意軟件觀察到的執行順序。

圖2.攻擊鏈

在分析時,初始攻擊向量未知,但攻擊鏈是從惡意URL追蹤的。研究人員懷疑最初的攻擊媒介是網絡釣魚電子郵件。

在靜態分析期間,樣本中似乎有很多Flare。‘neut.exe’文件是MS Windows的PE32可執行文件,編譯為Microsoft Visual Basic的P代碼文件。它具有各種加密字符串并包含高熵的大量資源數據。

圖3:CFF資源管理器中的巨大資源

Decompiled File具有為當前進程禁用DEP的功能,它會嘗試修改Explorer設置以防止顯示隱藏文件,并且還會在內存中加載大量資源。

圖4:反編譯文件顯示DEP策略和資源加載

在反編譯文件中遍歷更多函數時。找到了一個混淆的代碼,該代碼被傳遞給一個函數,該函數對數據進行去混淆并形成一個有效的字符串。

圖5.混淆字節

將這些十六進制值轉換為ASCII后,代碼看起來像是base64編碼的。因此,在使用base64算法解碼后,找到字符串。

遍歷的下一個函數具有XOR算法以及一些應用于整個資源數據的操作。解密例程通過下面的代碼段顯示。

圖7.用于解密資源代碼的Xor算法

在資源代碼上實現此邏輯后,找到一個PE文件。解密的PE文件是Delphi的windows文件,我們將繼續分析這個文件。

靜態檢查文件找到各種base64編碼字符串,如下圖所示。

圖8. Base64編碼的字符串

使用base64算法對字符串進行解碼,得到以下結果。這些字符串用于收集“卸載”中的“DisplayName”等系統信息。注冊表項用于標識系統中所有已安裝的軟件。“CreateToolhelp32Snapshot”用于列出所有正在運行的進程。

一些未加密的字符串也在那里。快照下面有一些字符串:

圖10.資源文件中的字符串

現在進一步分析將了解這些字符串的使用位置和方式。所以在IDA中調試文件之后。惡意軟件收集機器信息,例如“MachineGuid”,“ProductName”,“UserName”,“ComputerName”,并使用DWORD對其進行異或,然后將其連接起來,最后為特定系統創建此名稱的互斥鎖。

之后惡意軟件嘗試使用POST請求將數據發送到C&C服務器。這就是構建該請求的方式:

1

圖11.調用HttpSendRequestA

CnC服務器響應了大量似乎被加密的數據。

圖12.來自CnC服務器的響應

在對文件進行更多調試之后,惡意軟件通過使用“InternetReadFile”api讀取內存中CnC服務器發送的數據,然后使用帶有3字節密鑰的XOR算法對其進行解密。響應緩沖區末尾的某些數據具有base64編碼的字符串。

圖13.從CnC服務器接收的加密數據

Base64編碼的字符串,描述惡意軟件試圖從受害者機器竊取的信息(用戶名,密碼,安裝的軟件,瀏覽器信息等)。

圖14.解密的響應字符串

在解密用Xor操作加密的另一個緩沖區之后,我們發現它有很多dll(~48)被轉儲到目錄:%Temp%\ 2fda“并且它還包含一些字符串。一些dll與瀏覽器插件有關。惡意軟件將這些dll加載到內存中,以及確切的瀏覽器和其他信息。

惡意軟件能夠竊取帳戶信息,瀏覽和cookie詳細信息,還可以通過調用“hxxp://ip-api.com/json”來檢索受感染計算機的公共IP地址。

它還能夠列出系統中所有已安裝的軟件,通過調用CreateToolhelp32Snapshot,Process32first,Process32next函數列出所有正在運行的進程。它還從Electrum,MultiBit,monero-project等收集有關不同加密錢包的信息。它還收集用戶在什么時間瀏覽哪個網站的信息。

它還發送機器名稱,RAM大小和其他機器相關信息。

圖15.惡意軟件向CnC服務器發送的數據

然后使用XOR操作加密所有上述信息并將其發送回CnC服務器。然后服務器在收到完整數據后回復“OK”。

被盜數據可被廣泛用于未經授權訪問電子郵件帳戶,銀行帳戶和其他在線信息。這種被盜的個人信息可能會在精神上和經濟上損害用戶。

結論

區塊鏈安全咨詢公司 曲速未來 提醒:在勒索軟件和Cryptominers中,此類Infostealer惡意軟件是攻擊者使用的最受歡迎的攻擊媒介。所以建議用戶避免訪問可疑網站或電子郵件,并使其防病毒軟件保持最新狀態,以防止其系統被此類復雜惡意軟件感染。

信息 惡意軟件 文件 字符串 數據
分享到:

1.TMT觀察網遵循行業規范,任何轉載的稿件都會明確標注作者和來源;
2.TMT觀察網的原創文章,請轉載時務必注明文章作者和"來源:TMT觀察網",不尊重原創的行為TMT觀察網或將追究責任;
3.作者投稿可能會經TMT觀察網編輯修改或補充。


主站蜘蛛池模板: 欧美理论片手机在线观看片免费 | 亚洲高清中文字幕一区二区三区 | 免费观看一级特黄三大片视频 | 免费高清在线视频色yeye | 99re在线精品视频免费 | 日本一区视频 | 99操视频| 草莓秋葵菠萝蜜绿巨人污 | 男男同gayxxx | 国产精品视频一区二区三区不卡 | 校园春色自拍偷拍 | 精品久久成人免费第三区 | aaa级黄色片| 无遮免费网站在线入口 | 黄+色+性+人免费 | 四虎影视国产精品婷婷 | 经典三级四虎在线观看 | 欧美xxxxxbb| 亚洲天堂色视频 | 人禽l交视频在线播放 视频 | 国产一区二 | avav一区 | 久久这里只精品国产99re66 | 国产精品视频第一页 | 亚洲精品一区二区三区在线看 | 久久久久久久尹人综合网亚洲 | 欧美一级高清片免费一级 | haodiaocao的视频这里看 | 美女草b | 日韩视频在线精品视频免费观看 | 亚洲 制服 欧美 中文字幕 | 国产精品视频2020 | 女张腿男人桶羞羞漫画 | 亚洲国产精品久久久久 | 狠狠综合网 | 香蕉久久一区二区不卡无毒影院 | 99精品久久精品一区二区小说 | 国产一区二区三区四 | 国产亚洲精品美女久久久 | 91好色 | 免费在线观看网址入口 |