<sub id="dfg0s"></sub><wbr id="dfg0s"></wbr>
<sub id="dfg0s"><listing id="dfg0s"></listing></sub>
<sub id="dfg0s"></sub>
<dd id="dfg0s"><address id="dfg0s"></address></dd>
  • <sub id="dfg0s"><table id="dfg0s"></table></sub>

    <nav id="dfg0s"></nav>

    AZORult間諜軟件最新版本現身暗網,已被用于傳播Hermes勒索軟件

    AZORult是一個功能強大的信息竊取程序(stealer)和下載程序(downloader),當Proofpoint的研究人員最初在2016年發現它時,它正被用作Chthonic銀行木馬二次感染的一部分。從那以后,Proofpoint觀察到許多AZORult樣本在基于漏洞利用工具包或垃圾電子郵件的惡意活動中,被作為主要或次要的有效載荷被釋放。

    最近,AZORult的開發者發布了一個經過大幅更新的版本,改進了它的信息竊取和下載功能。值得注意的是,僅在這個新版本出現在地下論壇上的一天之內,一個多產的攻擊組織就在大型電子郵件活動中對它進行了使用,利用其改進后的功能來分發Hermes勒索軟件。在惡意軟件活動中,信息竊取軟件和勒索軟件同時出現的情況并不常見。但是,一旦這種情況出現,受害者就可能遭受多重傷害,他們不僅會失去自己的憑證或加密貨幣錢包里的資金,而且還會在隨后的勒索軟件攻擊中失去對自己文件的訪問權限。

    AZORult的論壇廣告

    在7月17日,AZORult的開發者在地下論壇對這個新版本(V3.2)進行了廣告宣傳。根據更新日志所顯示的內容,AZORult的開發者對其進行了以下改進:

    • 增加了對瀏覽器歷史記錄的竊?。↖E和Edge除外);

    • 增加了對加密貨幣錢包的支持:Exodus、Jaxx、Mist、Ethereum、Electrum、Electrum-LTC;

    • 改進了下載程序,下載鏈接的數量現在不受限制。在管理面板中,你可以指定下載程序的工作規則;

    • 信息竊取程序現在可以使用系統代理;

    • 精簡了管理面板;

    • 在管理面板中添加了一個用于刪除“dummies”的按鈕,即不包含有用信息的報告;

    • 在控制面板管理面板中添加了對訪客的統計;在管理面板中添加了一個geobase。

    活動分析

    在2018年7月18日,也就是在新版AZORult的宣傳廣告被發布的一天之后,Proofpoint觀察到了一場針對北美國家的攻擊活動,數千封包含了新版AZORult的電子郵件被發送。這些電子郵件使用了與就業相關的主題,如“關于一個職位”和“工作申請”。文檔附件使用了類似于 “firstname.surname_resume.doc”這樣格式的文件名。

    圖1:在7月18日活動中使用的電子郵件

    在這場活動中出現的文件都是受密碼保護的。密碼包含在電子郵件的正文中,在本示例中為“789”,如圖1所示。這種技術試圖避開各種反病毒引擎,因為在輸入密碼之前,文檔本身并不是惡意的。在潛在的受害者輸入密碼之后,他們還需要為文檔啟用宏來下載AZORult,而AZORult會反過來下載它的有效載荷——Hermes 2.1 勒索軟件。

    圖2:在7月18日活動中使用的文檔附件

    Proofpoint認為,這場活動是由Proofpoint所追蹤的一個黑客組織TA516實施的。在2017年,Proofpoint向公眾展示了對TA516的調查結果,該組織在當時利用了類似主題的電子郵件文檔附件來誘使收件人下載銀行木馬或加密貨幣挖掘惡意軟件。對于新版AZORult而言,該組織改進了竊取加密貨幣錢包和憑證的方法,這可能與TA516對加密貨幣的興趣增加有關。

    惡意軟件分析

    一旦收件人打開了受密碼保護的文檔并啟用了嵌入的宏,這個宏就會下載AZORult。雖然這個惡意軟件的代碼被進行了大量修改,但Proofpoint在這里重點分析更新后的命令和控制(C&C)通信協議。

    以下POST是一個初始的客戶端到服務器的通信,其中客戶端發送了一個初始的注冊請求,而服務器使用了一個經XOR編碼的3字節大小的密鑰進行響應(在本示例中,XOR密鑰為x0d0ac8)。如果Proofpoint解碼這個數據,那么服務器響應會以一個經base64編碼的配置應用程序塊(configuration block)開始。

    圖3:初始客戶端信標,后跟編碼服務器響應

    圖4:初始客戶端信標,后跟服務器響應(由Proofpoint手動解碼)

    如圖4所示,“<c>”和“</ c>”標記之間的服務器響應中包含一個base64字符串(configuration block)。它解碼為以下內容,揭示了攻擊者感興趣的加密貨幣字符串:

    ++++-+++++

    F      123    %DSK_23% *wallet*.txt,*seed*.txt,*btc*.txt,,*key*.txt,*2fa*.txt,*2fa*.png,*2fa*.jpg,*auth*.jpg,*auth*.png,*crypto*.txt,*coin*.txt,*poloniex*,*kraken*,*okex*,*binance*,*bitfinex*,*gdax*,*private*.txt,*upbit,**bcex*,*bithimb*,*hitbtc*,*bitflyer*,*kucoin*,*huobi*,*wallet.json*       10     +      -

    I      <REMOVED, IP ADDRESS OF THE INFECTED CLIENT>:<COUNTRY OF THE INFECTED CLIENT>

    Proofpoint還可以在base64字符串之后看到另一個經編碼的塊(為簡潔起見,僅顯示塊的開頭)。這是另一個經XOR編碼的數據塊,其中的密鑰為4個字節大小。解碼這個經編碼的數據塊將顯示其他配置信息和可執行文件,如mozglue.dll、nssdbm3.dll、softokn3.dll、ucrtbase.dll或vcruntime140.dll。雖然這些可執行文件的具體作用目前尚不清楚,但除了可能被用于阻礙逆向工程和分析之外,Proofpoint認為這些文件并無其他作用。

    接下來,在受感染計算機與C&C服務器之間進行初始通信之后,受感染計算機會發送一份包含被竊取信息的報告。同樣,報告是用使用相同的3字節大小的密鑰進行XOR編碼的。經解碼后的報告的部分內容如圖5所示。被竊取的被分為了以下幾個部分:

    • Info:基本的計算機信息,如Windows版本和計算機名稱;

    • pwds:此部分包含有被竊取的密碼(未確認);

    • cooks:cookies或訪問過的網站;

    • file:cookie文件的內容和包含更多系統概要信息的文件,包括計算機ID、Windows版本、計算機名稱、屏幕分辨率、本地時間、時區、CPU型號、CPU數量、RAM、顯卡信息、受感染計算機的進程列表以及在受感染計算機上安裝的軟件。

    auf5.png

    圖5:受感染計算機發送的包含被竊取信息的報告(此處僅展示了其中一個片段)

    最后,在初始信標被發送、配置被接收到以及從受感染計算機中竊取并上傳了信息之后,AZORult可能就會下載下一階段的有效載荷。例如,在本文開頭描述的活動中,AZORult在上傳了受害者的數據和憑證之后就下載了Hermes 2.1勒索軟件。

    結論

    與合法軟件開發一樣,惡意軟件開發者會定期更新他們的軟件,以引入更具競爭力的新功能,提高可用性。最近對AZORult的更新包括了對惡意軟件的大規模升級改造,該惡意軟件已經在電子郵件活動以及其他類型的攻擊活動中得到了廣泛的應用。值得注意的是,在這個新版本出現在地下論壇的一天之內,就有一個多產的黑客組織在大型電子郵件活動中使用了它,利用其改進后的功能來分發Hermes勒索軟件。

    這種攻擊的潛在影響是相當大的:

    1.這些活動發送了數千封電子郵件;

    2.AZORult惡意軟件兼具竊取憑證和加密貨幣的能力,可為個人帶來潛在的直接經濟損失,并為攻擊者在受影響的組織中建立立足點提供機會;

    3.通過分發Hermes勒索軟件,會造成額外的直接經濟損失和業務中斷。

    標簽: 間諜軟件

    作者:pig 來源:黑客視界 瀏覽量:2180 時間: 2018-08-02

    加入墨者學院可立即獲得20墨幣

    可免費開啟靶場環境

    點擊注冊領取

    已有賬號,立即登錄

    你是不是好久没有被C了_少妇找技师做性按摩视频在线观看_午夜福利电影_777766香港开奖结果 7777