AZORult窃密木马详细分析报告

AZORult是一款功能强大的信息窃取木马程序和下载程序，由Proofpoint的研究人员于2016年首次发现，它被用作Chthonic银行木马二次感染的一部分，会收集受害者主机上的各种数据并将这些数据发送到远程黑客C&C服务器，包括浏览器历史记录、登录凭据、Cookie信息、以及指定的文件夹中的文件信息等

AZORult主要通过漏洞利用工具包和垃圾电子邮件传播感染受害者，2018年7月17日，AZORult的开发者在地下论坛发布了AZORult新的版本(V3.2)的广告宣传信息，2018年7月18日，也就是AZORult新的宣传广告被发布后的第一天，Proofpoint监控到了一场针对北美国家的攻击活动，数千封新版的AZORult木马通过电子邮件被发送，Proofpoint认为这场活动由一个新型的黑客组织TA516实施的，该组织利用类似的通过电子邮件的方式，使用诱饵文档诱骗受害者下载银行木马或挖矿等恶意软件，同时安全研究人员发现AZORult窃密木马曾还被用于下载Hermes勒索病毒，充当勒索病毒的下载器，不仅仅利用勒索病毒加密受害者主机数据文件，还通过AZORult盗取受害者主机的数据，深信服安全团队对某款AZORult间谍木马进行了详细分析

1.AZORult变种样本，外壳程序使用VC++编写，如下所示：

2.在内存空间分配相应的ShellCode代码，如下所示：

3.解密ShellCode代码，然后执行ShellCode代码，如下所示：

4.通过LoadLibrary和GetProcAddress获取各函数的地址，如下所示：

5.获取到的各个函数的地址，如下所示：

6.通过VirtualAlloc分配相应的内存空间，如下所示：

7.解密ShellCode代码到内存空间，并执行ShellCode代码，如下所示：

8.获取LoadLibrary和GetProcAddress的函数地址，如下所示：

9.再次获取相关函数地址，如下所示：

10.分配相应的内存空间，如下所示：

11.在内存中解密出AZORult木马的核心代码，如下所示：

12.替换内存空间数据，然后执行AZORult木马核心代码，如下所示：

13.替换内存空间数据，如下所示：

14.跳转到替换后的内存空间地址，执行AZORult核心代码，如下所示：

1.核心代码采用Delphi语言编写，如下所示：

2.获取相关函数的地址，如下所示：

3.获取主机GUID、主机名、用户名、操作系统版本等信息，如下所示：

4.创建互斥变量A57A40517-343A2EC6-2F469971-50CB08AB-F1899543，如下所示：

5.收集受害者主机上浏览器Cookie信息，如下所示：

6.收集受害者浏览器历史记录，如下所示：

7.获取受害者浏览器登录凭证信息，如下所示：

8.获取加密货币钱包敏感信息文件、skype聊天消息、Telegram聊天记录信息，如下所示：

9.获取Steam游戏平台密码(ssfn)和游戏数据(vdf)，如下所示：

10.截取受害者主机屏幕，如下所示：

11.解密出黑客服务器C&C地址nokiahuyviyphone.com，如下所示：

12.将获取到的受害者相关信息，发送到黑客服务器，如下所示：

根据C2服务器返回的数据，解析出相应的命令，解密内容分为三部分，</n>标记内包含的部分包含用于信息窃取的合法DLL，</d>标记内的部分包含信息窃取的应用程序信息：应用程序路径，相关注册表和凭证文件名, </c>标记中的部分包含样本的C2配置如下所示：

13.根据指令，执行自删除操作，如下所示：

HASH

E7593BDFB551C2B0E609F3A5C1A9A546

C&C

nokiahuyviyphone.com

深信服下一代防火墙AF、终端检测响应平台EDR、安全态势感知平台SIP等安全产品均能有效检测防御此恶意软件，已经部署相关产品的用户可以进行安全扫描，检测清除此恶意软件，如图所示：