AZORult窃密木马详细分析报告

admin 2022年5月11日10:53:36程序逆向评论7 views1706字阅读5分41秒阅读模式

样本简介


AZORult是一款功能强大的信息窃取木马程序和下载程序,由Proofpoint的研究人员于2016年首次发现,它被用作Chthonic银行木马二次感染的一部分,会收集受害者主机上的各种数据并将这些数据发送到远程黑客C&C服务器,包括浏览器历史记录、登录凭据、Cookie信息、以及指定的文件夹中的文件信息等


AZORult主要通过漏洞利用工具包和垃圾电子邮件传播感染受害者,2018年7月17日,AZORult的开发者在地下论坛发布了AZORult新的版本(V3.2)的广告宣传信息,2018年7月18日,也就是AZORult新的宣传广告被发布后的第一天,Proofpoint监控到了一场针对北美国家的攻击活动,数千封新版的AZORult木马通过电子邮件被发送,Proofpoint认为这场活动由一个新型的黑客组织TA516实施的,该组织利用类似的通过电子邮件的方式,使用诱饵文档诱骗受害者下载银行木马或挖矿等恶意软件,同时安全研究人员发现AZORult窃密木马曾还被用于下载Hermes勒索病毒,充当勒索病毒的下载器,不仅仅利用勒索病毒加密受害者主机数据文件,还通过AZORult盗取受害者主机的数据,深信服安全团队对某款AZORult间谍木马进行了详细分析



母体流程


AZORult窃密木马详细分析报告



母体分析


1.AZORult变种样本,外壳程序使用VC++编写,如下所示:

AZORult窃密木马详细分析报告

2.在内存空间分配相应的ShellCode代码,如下所示:

AZORult窃密木马详细分析报告

3.解密ShellCode代码,然后执行ShellCode代码,如下所示:

AZORult窃密木马详细分析报告

4.通过LoadLibrary和GetProcAddress获取各函数的地址,如下所示:

AZORult窃密木马详细分析报告

5.获取到的各个函数的地址,如下所示:

AZORult窃密木马详细分析报告

6.通过VirtualAlloc分配相应的内存空间,如下所示:

AZORult窃密木马详细分析报告

7.解密ShellCode代码到内存空间,并执行ShellCode代码,如下所示:

AZORult窃密木马详细分析报告

8.获取LoadLibrary和GetProcAddress的函数地址,如下所示:

AZORult窃密木马详细分析报告

9.再次获取相关函数地址,如下所示:

AZORult窃密木马详细分析报告

10.分配相应的内存空间,如下所示:

AZORult窃密木马详细分析报告

11.在内存中解密出AZORult木马的核心代码,如下所示:

AZORult窃密木马详细分析报告

12.替换内存空间数据,然后执行AZORult木马核心代码,如下所示:

AZORult窃密木马详细分析报告

13.替换内存空间数据,如下所示:

AZORult窃密木马详细分析报告

14.跳转到替换后的内存空间地址,执行AZORult核心代码,如下所示:

AZORult窃密木马详细分析报告



核心代码


1.核心代码采用Delphi语言编写,如下所示:

AZORult窃密木马详细分析报告

2.获取相关函数的地址,如下所示:

AZORult窃密木马详细分析报告

3.获取主机GUID、主机名、用户名、操作系统版本等信息,如下所示:

AZORult窃密木马详细分析报告

4.创建互斥变量A57A40517-343A2EC6-2F469971-50CB08AB-F1899543,如下所示:

AZORult窃密木马详细分析报告

5.收集受害者主机上浏览器Cookie信息,如下所示:

AZORult窃密木马详细分析报告

6.收集受害者浏览器历史记录,如下所示:

AZORult窃密木马详细分析报告

7.获取受害者浏览器登录凭证信息,如下所示:

AZORult窃密木马详细分析报告

8.获取加密货币钱包敏感信息文件、skype聊天消息、Telegram聊天记录信息,如下所示:

AZORult窃密木马详细分析报告

9.获取Steam游戏平台密码(ssfn)和游戏数据(vdf),如下所示:

AZORult窃密木马详细分析报告

10.截取受害者主机屏幕,如下所示:

AZORult窃密木马详细分析报告

11.解密出黑客服务器C&C地址nokiahuyviyphone.com,如下所示:

AZORult窃密木马详细分析报告

12.将获取到的受害者相关信息,发送到黑客服务器,如下所示:

AZORult窃密木马详细分析报告

根据C2服务器返回的数据,解析出相应的命令,解密内容分为三部分,</n>标记内包含的部分包含用于信息窃取的合法DLL,</d>标记内的部分包含信息窃取的应用程序信息:应用程序路径,相关注册表和凭证文件名, </c>标记中的部分包含样本的C2配置如下所示:

AZORult窃密木马详细分析报告

13.根据指令,执行自删除操作,如下所示:

AZORult窃密木马详细分析报告



威胁情报


HASH

E7593BDFB551C2B0E609F3A5C1A9A546


C&C

nokiahuyviyphone.com



解决方案


深信服下一代防火墙AF、终端检测响应平台EDR、安全态势感知平台SIP等安全产品均能有效检测防御此恶意软件,已经部署相关产品的用户可以进行安全扫描,检测清除此恶意软件,如图所示:

AZORult窃密木马详细分析报告




AZORult窃密木马详细分析报告

深信服

安全团队


原文始发于微信公众号(深信服千里目安全实验室):AZORult窃密木马详细分析报告

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年5月11日10:53:36
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  AZORult窃密木马详细分析报告 http://cn-sec.com/archives/784794.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: