尽管目前网络空间的重点是勒索体彩3d和Cryptominer,但其他流行的威胁行为者却悄悄地进入受害者的计算机,以构成恶意体彩3d。在日常威胁搜寻任务中,Quick Heal 安全实验室通过Quick Heal的URL分类云功能遇到了被阻止的URL。对URL的进一步分析使我们发现了“ AZORult”信息窃取程序恶意体彩3d的新变种。该恶意体彩3d会从受害者的计算机中收集数据并将其泄漏到CnC服务器。在本文中,我们将剖析该恶意体彩3d并分享有关它的有趣细节。
攻击链下面描述了此恶意体彩3d的执行顺序。
在分析时,初始攻击媒介是未知的,但是攻击链是从恶意URL跟踪的。 Quick Heal 安全实验室怀疑初始攻击媒介为网络钓鱼电子邮件。
网址:cw57146.tmweb.ru/upload/neut [。] exe
在静态分析过程中,样品中似乎有很多耀斑。 “ neut.exe”文件是MS Windows的PE32可执行文件,并已编译为Microsoft Visual Basic的P代码文件。它具有各种加密的字符串,并包含高熵的大型资源数据。
反编译文件具有为当前进程禁用DEP的功能,它尝试修改资源管理器设置以防止显示隐藏文件,并且还会在内存中加载大量资源。
在遍历反编译文件中的更多功能时。找到一个混淆的代码,该代码被传递给一个函数,该函数对数据进行反混淆并形成有效的字符串。
将这些十六进制值转换为ASCII后,代码看起来像是base64编码的。因此,使用base64算法对其进行解码后,会发现以下字符串。
C:\ ProgramData \ worm.exe
Hxxp://cw57146.tmweb.ru/upload/neut[.]exe
遍历的下一个函数具有XOR算法以及一些应用于整个资源数据的操作。解密程序通过以下代码段显示。
在资源代码上实现此逻辑后,将找到一个PE文件。解密后的PE文件是Delphi Windows文件,我们将继续分析该文件。
找到静态检查文件的各种base64编码字符串,如下图所示。
使用base64算法对以上字符串进行解码,得出以下结果。这些字符串用于收集系统信息,例如“卸载”注册表项中的“ DisplayName”,用于标识系统中所有已安装的体彩3d。 “ CreateToolhelp32Snapshot”用于列出所有正在运行的进程。
Software\Microsoft\Windows\CurrentVersion\Uninstall DisplayName DisplayVersion HARDWARE\DESCRIPTION\System\CentralProcessor\0 CreateToolhelp32Snapshot
还有一些未加密的字符串。快照下方包含一些字符串:
现在,将进行进一步的分析,以了解在何处以及如何使用这些字符串。因此,在IDA中调试文件后。恶意体彩3d会收集机器信息,例如“ MachineGuid”,“ ProductName”,“ UserName”,“ ComputerName”,并将其与DWORD进行XOR,然后进行合并,最后为特定系统创建该名称的互斥体。
之后,恶意体彩3d尝试将数据发送到C&C服务器使用POST请求。该请求的构造方式如下:
CnC服务器以似乎已加密的大量数据作为响应。
在对文件进行更多调试之后,恶意体彩3d会使用“ InternetReadFile” api读取CnC服务器在内存中发送的数据&然后使用带有3个字节密钥的XOR算法对其解密。响应缓冲区末尾的某些数据具有base64编码的字符串。
Base64编码的字符串,描述了恶意体彩3d试图从受害者计算机上窃取的信息,例如(用户名,密码,已安装的体彩3d,浏览器信息等)。
在解密使用Xor操作加密的另一个缓冲区之后,我们知道它有很多dll(〜48),这些dll被转储到目录“%Temp%\ 2fda”中,并且还包含一些字符串。一些dll与浏览器插件有关。恶意体彩3d会将这些dll加载到内存和确切的浏览器中& other information.
恶意体彩3d is able to steal accounts information, browsing & cookies details and also retrieves the public ip address of the infected machine by calling to “hxxp://ip-api.com/json”.
它还能够列出系统中所有已安装的体彩3d,并通过调用CreateToolhelp32Snapshot,Process32first,Process32next函数列出所有正在运行的进程。它还收集有关Electrum,MultiBit,monero-project等不同加密货币钱包的信息。它还收集用户在什么时候浏览哪个网站的信息。
它还发送计算机名称,RAM大小和其他与计算机相关的信息。
然后,使用XOR操作对以上所有信息进行加密,然后将其发送回CnC服务器。然后,服务器在接收到完整数据后回复“ OK”。
被盗数据可广泛用于未经授权访问电子邮件帐户,银行帐户和其他在线信息。这些被盗的个人信息可能会在精神上和经济上伤害用户。 Quick Heal产品将AZORult变体检测为“ Trojan.IGENERIC”。
结论
在勒索体彩3d和Cryptominers中,这种Infostealer恶意体彩3d是攻击者最喜欢的攻击媒介。我们建议用户避免访问可疑的网站/电子邮件,并使其防病毒体彩3d保持最新状态,以防止其系统被此类复杂的恶意体彩3d感染。 Quick Heal凭借其先进的检测技术机制,一直在进行监控&阻止这些复杂的恶意体彩3d和恶意网站。
国际奥委会
BF468C06614D844E1A856C02FE7FB698
主题专家
Preksha Saxena |快速修复安全实验室
没意见