Gootkit木马:运用AZORult对象揭开隐蔽的链接 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

Gootkit木马:运用AZORult对象揭开隐蔽的链接

申博_安全预警 申博 220次浏览 已收录 0个评论

引见

在近来几天,一场大张旗鼓的收集进击突击了意大利的一些构造。正如N020219的通知布告所示,进击者实验捏造Express Courier正当通讯来举行进击。然而在剖析Cybaze-Yoroi ZLAB的同时,我们的剖析职员偶然间发明了AZORult对象包Gootkit木马payload之间的某些联络。

手艺剖析

步调一—附加的Javascript信息

大多数进击实验均是由特定的电子邮件附件最先。其附件中包罗隐蔽JavaScript代码的紧缩存档,而此紧缩文档能够或许在进击的初始阶段绕过防病毒的检测。

Gootkit木马:运用AZORult对象揭开隐蔽的链接

这个JS文件是一个被隐约过的dropper对象,其目的是“平安”的长途地位下载另一个组件:

Gootkit木马:运用AZORult对象揭开隐蔽的链接

它联络两个分歧的服务器,googodsgld.]comdriverconnectsearch.] info。 这类JavaScript stager具有最主要的一个功用:它能够下载许多可实行代码并实行进击者想要举行的种种操纵。

这类形式和代码自身的简单性相似于Brushaloader进击(一种用VBScript编写并以相似体式格局与长途基本架构举行联络的dropper/stager对象)。 我们能够假定歹意软件编写者能够已模拟了Brushaloader的功用,创建了一种应用雷同机制的自定义软件版本。

Gootkit木马:运用AZORult对象揭开隐蔽的链接

Gootkit木马:运用AZORult对象揭开隐蔽的链接

在第一次实验与googodsgld [.] com联络以后,剧本与另一个目的举行通讯,并检索在driverconnectsearch [.] info中返回的可实行javascript代码块中编码的Cabinet Archive信息。 然后将其存储在“%APPDATA%\Local\Temp\”中。

如上图所示,编码的payload字符串的第一个字符是“TVNDRg”,它转换为“MSCF”:Microsoft Cabinet紧缩文件花样的标准头。

Gootkit木马:运用AZORult对象揭开隐蔽的链接

步调二—内核机制

实际上,这个.CAB存档只是PE32可实行文件的shell局部:

Gootkit木马:运用AZORult对象揭开隐蔽的链接

实行RuntimeBroker5.exe示例后我们发明它的功用与另一个dropper对象十分相似:它们均从长途服务器“hairpd [.] com”下载别的两个组件。

Gootkit木马:运用AZORult对象揭开隐蔽的链接

示例文件实际上不只只是举行下载操纵。 这是本文的重点之一:它还与AZORult C2主机“ssl.] admin] itybuy.]it建立了相同渠道。

我们已晓得其通讯形式而且与服务器交流的收集分组确认了识别形式,以后动态剖析还示出了此要挟的行动状况。

如下图所示,“%APPDATA%\Local\Temp\”途径中的誊写文件与Unit42研讨组形貌的AZORult剖析异常婚配。

Gootkit木马:运用AZORult对象揭开隐蔽的链接

————————————-

申博网络安全巴士站

申博-网络安全巴士站是一个专注于网络安全、系统安全、互联网安全、信息安全,全新视界的互联网安全新媒体。

————————————-

Gootkit木马:运用AZORult对象揭开隐蔽的链接

在动态剖析时期,RuntimeBroker5.exe示例从C2服务器收到一种配置文件。 我们从正在运转的歹意软件中提取它并对其举行解码:

firefox.exe
SOFTWARE\Wow6432Node\Mozilla\Mozilla Firefox\
SOFTWARE\Mozilla\Mozilla Firefox
SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command
SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\firefox.exe
%appdata%\Mozilla\Firefox\Profiles\
MozillaFireFox
CurrentVersion
Install_Directory
nss3.dll
thunderbird.exe
SOFTWARE\Wow6432Node\Mozilla\Mozilla Thunderbird\
SOFTWARE\Mozilla\Mozilla Thunderbird
SOFTWARE\Classes\ThunderbirdEML\DefaultIcon
%appdata%\Thunderbird\Profiles\
ThunderBird
SELECT host, path, isSecure, expiry, name, value FROM moz_cookies
SELECT fieldname, value FROM moz_formhistory
NSS_Init
PK11_GetInternalKeySlot
PK11_Authenticate
PK11SDR_Decrypt
NSS_Shutdown
PK11_FreeSlot
logins.json
logins
hostname
timesUsed
encryptedUsername
encryptedPassword
cookies.sqlite
formhistory.sqlite
%LOCALAPPDATA%\Google\Chrome\User Data\
%LOCALAPPDATA%\Google\Chrome SxS\User Data\
%LOCALAPPDATA%\Xpom\User Data\
%LOCALAPPDATA%\Yandex\YandexBrowser\User Data\
%LOCALAPPDATA%\Comodo\Dragon\User Data\
%LOCALAPPDATA%\Amigo\User Data\
%LOCALAPPDATA%\Orbitum\User Data\
%LOCALAPPDATA%\Bromium\User Data\
%LOCALAPPDATA%\Chromium\User Data\
%LOCALAPPDATA%\Nichrome\User Data\
%LOCALAPPDATA%\RockMelt\User Data\
%LOCALAPPDATA%\360Browser\Browser\User Data\
%LOCALAPPDATA%\Vivaldi\User Data\
%APPDATA%\Opera Software\
%LOCALAPPDATA%\Go!\User Data\
%LOCALAPPDATA%\Sputnik\Sputnik\User Data\
%LOCALAPPDATA%\Kometa\User Data\
%LOCALAPPDATA%\uCozMedia\Uran\User Data\
%LOCALAPPDATA%\QIP Surf\User Data\
%LOCALAPPDATA%\Epic Privacy Browser\User Data\
%APPDATA%\brave\
%LOCALAPPDATA%\CocCoc\Browser\User Data\
%LOCALAPPDATA%\CentBrowser\User Data\
%LOCALAPPDATA%\7Star\7Star\User Data\
%LOCALAPPDATA%\Elements Browser\User Data\
%LOCALAPPDATA%\TorBro\Profile\
%LOCALAPPDATA%\Suhba\User Data\
%LOCALAPPDATA%\Safer Technologies\Secure Browser\User Data\
%LOCALAPPDATA%\Rafotech\Mustang\User Data\
%LOCALAPPDATA%\Superbird\User Data\
%LOCALAPPDATA%\Chedot\User Data\
%LOCALAPPDATA%\Torch\User Data\
GoogleChrome
GoogleChrome64
InternetMailRu
YandexBrowser
ComodoDragon
Amigo
Orbitum
Bromium
Chromium
Nichrome
RockMelt
360Browser
Vivaldi
Opera
GoBrowser
Sputnik
Kometa
Uran
QIPSurf
Epic
Brave
CocCoc
CentBrowser
7Star
ElementsBrowser
TorBro
Suhba
SaferBrowser
Mustang
Superbird
Chedot
Torch
Login Data
Web Data
SELECT origin_url, username_value, password_value FROM logins
SELECT host_key, name, encrypted_value, value, path, secure, (expires_utc/1000000)-11644473600 FROM cookies
SELECT host_key, name, name, value, path, secure, expires_utc FROM cookies
SELECT name, value FROM autofill
SELECT name_on_card, expiration_month, expiration_year, card_number_encrypted value FROM credit_cards
%APPDATA%\Microsoft\Windows\Cookies\
%APPDATA%\Microsoft\Windows\Cookies\Low\
%LOCALAPPDATA%\Microsoft\Windows\INetCache\
%LOCALAPPDATA%\Packages\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\AC\INetCookies\
%LOCALAPPDATA%\Packages\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\AC\#!001\MicrosoftEdge\Cookies\
%LOCALAPPDATA%\Packages\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\AC\#!002\MicrosoftEdge\Cookies\
%LOCALAPPDATA%\Packages\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\AC\MicrosoftEdge\Cookies\
InternetExplorer
InternetExplorerLow
InternetExplorerINetCache
MicrosoftEdge_AC_INetCookies
MicrosoftEdge_AC_001
MicrosoftEdge_AC_002
MicrosoftEdge_AC
Software\Microsoft\Internet Explorer
Software\Microsoft\Internet Explorer\IntelliForms\Storage2
Software\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\Outlook
Software\Microsoft\Office\15.0\Outlook\Profiles\Outlook
Software\Microsoft\Office\16.0\Outlook\Profiles\Outlook
POP3
IMAP
SMTP
HTTP
%appdata%\Waterfox\Profiles\
Waterfox
%appdata%\Comodo\IceDragon\Profiles\
IceDragon
%appdata%\8pecxstudios\Cyberfox\Profiles\
Cyberfox
sqlite3_open
sqlite3_close
sqlite3_prepare_v2
sqlite3_step
sqlite3_column_text
sqlite3_column_bytes
sqlite3_finalize
%APPDATA%\filezilla\recentservers.xml
<RecentServers>
</RecentServers>
<Server>
</Server>
<Host>
</Host>
<Port>
</Port>
<User>
</User>
<Pass>
</Pass>
<Pass encoding="base64">
FileZilla
ole32.dll
CLSIDFromString
{4BF4C442-9B8A-41A0-B380-DD4A704DDB28}
{3CCD5499-87A8-4B10-A215-608888DD3B55}
vaultcli.dll
VaultOpenVault
VaultEnumerateItems
VaultGetItem
MicrosoftEdge
Browsers\AutoComplete
CookieList.txt
SELECT host_key, name, encrypted_value, value, path, is_secure, (expires_utc/1000000)-11644473600 FROM cookies
%appdata%\Moonchild Productions\Pale Moon\Profiles\
PaleMoon
%appdata%\Electrum\wallets\
\Electrum
%appdata%\Electrum-LTC\wallets\
\Electrum-LTC
%appdata%\ElectrumG\wallets\
\ElectrumG
%appdata%\Electrum-btcp\wallets\
\Electrum-btcp
%APPDATA%\Ethereum\keystore\
\Ethereum
%APPDATA%\Exodus\
\Exodus
\Exodus Eden
*.json,*.seco
%APPDATA%\Jaxx\Local Storage\
\Jaxx\Local Storage\
%APPDATA%\MultiBitHD\
\MultiBitHD
mbhd.wallet.aes,mbhd.checkpoints,mbhd.spvchain,mbhd.yaml
.wallet
wallets\.wallet
wallet.dat
wallets\wallet.dat
electrum.dat
wallets\electrum.dat
Software\monero-project\monero-core
wallet_path
Bitcoin\Bitcoin-Qt
BitcoinGold\BitcoinGold-Qt
BitCore\BitCore-Qt
Litecoin\Litecoin-Qt
BitcoinABC\BitcoinABC-Qt
%APPDATA%\Exodus Eden\
%Appdata%\Psi+\profiles\
%Appdata%\Psi\profiles\
<roster-cache>
</roster-cache>
<jid type="QString">
<password type="QString">
</password>

浏览器CookieCryptoWallets的屡次援用确认最后隐蔽在cabilet存档中的“RuntimeBroker5.exe”示例是AZORult的转变版本。

步调三—payload信息

AZORult的样本是从hairpd [.] com处下载的可实行的PE32

Gootkit木马:运用AZORult对象揭开隐蔽的链接
Gootkit木马:运用AZORult对象揭开隐蔽的链接

“sputik.exe”运用一组躲避手艺来制止历程被看管,比方挪用“UuidCreateSequential”API来检测虚拟机的MAC地点运用状况,但这类手艺能够经由过程欺骗来轻松绕过网卡检测。

Gootkit木马:运用AZORult对象揭开隐蔽的链接

绕过一切回避手艺展现了payload的素质:Gootkit举行歹意代码植入操纵。

Gootkit木马:运用AZORult对象揭开隐蔽的链接

经由过程检测植入代码的实行状况,我们提取歹意软件的局部JavaScript代码。 Gootkit代码计算了嵌入到PE文件中的NodeJS手艺之上编写的几个模块,展现了植入代码的一局部状况。

Gootkit木马:运用AZORult对象揭开隐蔽的链接

在曩昔几年中,Gootkit源代码已在网上泄漏,局部内容也可在Github平台上取得。 经由过程这类体式格局,我们能够比对提取的代码段与之前泄漏的已知歹意软件版本之间的差别。

Gootkit木马:运用AZORult对象揭开隐蔽的链接

我们发明代码之间有许多相似之处,它们能够完整兼容。 比方,私钥和证书已被修正,注解歹意软件作者挑选了更强的密钥

Gootkit木马:运用AZORult对象揭开隐蔽的链接

结论

在此次对意大利构造和用户的进击事宜举行剖析后,我们发明了用于看管和检测InfoSec社区和CERT-Yoroi之间的联络,并展现了衔接此特定AZORult实例和Gootkit木马的隐蔽链接。

另外,该剖析还发明了收集犯罪分子所运用手艺是怎样演化的,而且展现了怎样运用高等言语(在这类状况下为JavaScript)来资助进击者。

Iocs

  • Dropurl:
    hairpd[.com/stat/stella.exe
    hairpd[.com/stat/sputik.exe
    ivanzakharov91[.example[.com
    googodsgld[.com
    185.154.21[.208
    driverconnectsearch.info
    host.colocrossing.com
    192.3.179[.203
    Components:
    RuntimeBroker5.exe 2274174ed24425f41362aa207168b491e6fb55cab208116070f91c049946097a
    stella.exe
    6f51bf05c9fa30f3c7b6b581d4bbf0194d1725120b242972ca95c6ecc7eb79bc

  • sputik a75b318eb2ae6678fd15f252d6b33919203262eb59e08ac32928f8bad54ca612

  • C2 (AZORult)

ssl[.admin[.itybuy[.it

  • C2 (gootkit):

avant-garde[.host
kinzhal[.online

  • Hash:
    2274174ed24425f41362aa207168b491e6fb55cab208116070f91c049946097a
    6f51bf05c9fa30f3c7b6b581d4bbf0194d1725120b242972ca95c6ecc7eb79bc
    a75b318eb2ae6678fd15f252d6b33919203262eb59e08ac32928f8bad54ca612
    12791e14ba82d36d434e7c7c0b81c7975ce802a430724f134b7e0cce5a7bb185

Tara划定规矩

rule Gootkit_11_02_2019{

    meta:
    description = "Yara Rule for Gootkit"
    author = "Cybaze Zlab_Yoroi"
    last_updated = "2019_02_11"
    tlp = "white"
    category = "informational"

    strings:
             $a = {4D 5A}
         $b1 = {2D EE 9D 00 04 29 76 EC 00 00 F9}
         $c1 = {E6 C5 1F 2A 04 5A C8}
         $d1 = "LoadCursorW"
             $b2 = {75 0E E8 84 8D FF FF 83 CF FF C7}
             $c2 = {B9 C7 25 E7 00 5A 00 00 BA}
             $d2 = "GetCurrentPosition"

    condition:
             $a and (($b1 and $c1 and $d1) or ($b2 and $c2 and $d2))
}

rule Azorult_11_02_2019{

    meta:
    description = "Yara Rule for Azorult"
    author = "Cybaze Zlab_Yoroi"
    last_updated = "2019_02_11"
    tlp = "white"
    category = "informational"

    strings:
         $a = "MZ"
         $b = {44 00 02 00 00 00 6A 04 58 6B C0 00 8B 0D}
             $c = {00 00 8B 45 0C 8B 55 F8 39 50 0C 74 10 68}
             $d = {41 00 FF D6 8B D8 89 5D D4 85 DB 74 74 FF 35}

    condition:
             all of them
}


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明Gootkit木马:运用AZORult对象揭开隐蔽的链接
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址