區塊鏈安全諮詢公司 曲速未來 表示：雖然目前網路空間的重點是勒索軟體和密碼管理器，但還有其他流行的威脅演員默默地進入受害者的機器，以便將其用於惡意目的。在對URL的進一步分析得到了“AZORult”資訊輸送器惡意軟體的新變種。此惡意軟體收集並從受害者的計算機中將資料洩露到CnC伺服器。

 

下面的攻擊鏈描述了針對此惡意軟體觀察到的執行順序。

​

 

 

在分析時，初始攻擊向量未知，但攻擊鏈是從惡意URL追蹤的。研究人員懷疑最初的攻擊媒介是網路釣魚電子郵件。

​

在靜態分析期間，樣本中似乎有很多Flare。‘neut.exe’檔案是MS Windows的PE32可執行檔案，編譯為Microsoft Visual Basic的P程式碼檔案。它具有各種加密字串幷包含高熵的大量資源資料。

​

 

 

Decompiled File具有為當前程序禁用DEP的功能，它會嘗試修改Explorer設定以防止顯示隱藏檔案，並且還會在記憶體中載入大量資源。

​

 

 

在反編譯檔案中遍歷更多函式時。找到了一個混淆的程式碼，該程式碼被傳遞給一個函式，該函式對資料進行去混淆並形成一個有效的字串。

​

 

 

將這些十六進位制值轉換為ASCII後，程式碼看起來像是base64編碼的。因此，在使用base64演算法解碼後，找到字串。

​

​

遍歷的下一個函式具有XOR演算法以及一些應用於整個資源資料的操作。解密例程通過下面的程式碼段顯示。

​

 

 

在資原始碼上實現此邏輯後，找到一個PE檔案。解密的PE檔案是Delphi的windows檔案，我們將繼續分析這個檔案。

​

靜態檢查檔案找到各種base64編碼字串，如下圖所示。

​

 

 

使用base64演算法對字串進行解碼，得到以下結果。這些字串用於收集“解除安裝”中的“DisplayName”等系統資訊。登錄檔項用於標識系統中所有已安裝的軟體。“CreateToolhelp32Snapshot”用於列出所有正在執行的程序。

​

​

一些未加密的字串也在那裡。快照下面有一些字串：

​

 

 

現在進一步分析將瞭解這些字串的使用位置和方式。所以在IDA中除錯檔案之後。惡意軟體收集機器資訊，例如“MachineGuid”，“ProductName”，“UserName”，“ComputerName”，並使用DWORD對其進行異或，然後將其連線起來，最後為特定系統建立此名稱的互斥鎖。

 

之後惡意軟體嘗試使用POST請求將資料傳送到C＆C伺服器。這就是構建該請求的方式：

 

 

 

 

CnC伺服器響應了大量似乎被加密的資料。

​

 

 

在對檔案進行更多除錯之後，惡意軟體通過使用“InternetReadFile”api讀取記憶體中CnC伺服器傳送的資料，然後使用帶有3位元組金鑰的XOR演算法對其進行解密。響應緩衝區末尾的某些資料具有base64編碼的字串。

​

 

 

Base64編碼的字串，描述惡意軟體試圖從受害者機器竊取的資訊（使用者名稱，密碼，安裝的軟體，瀏覽器資訊等）。

​

 

在解密用Xor操作加密的另一個緩衝區之後，我們發現它有很多dll（~48）被轉儲到目錄：％Temp％\ 2fda“並且它還包含一些字串。一些dll與瀏覽器外掛有關。惡意軟體將這些dll載入到記憶體中，以及確切的瀏覽器和其他資訊。

惡意軟體能夠竊取帳戶資訊，瀏覽和cookie詳細資訊，還可以通過呼叫“hxxp：//ip-api.com/json”來檢索受感染計算機的公共IP地址。

​

它還能夠列出系統中所有已安裝的軟體，通過呼叫CreateToolhelp32Snapshot，Process32first，Process32next函式列出所有正在執行的程序。它還從Electrum，MultiBit，monero-project等收集有關不同加密錢包的資訊。它還收集使用者在什麼時間瀏覽哪個網站的資訊。

​

它還發送機器名稱，RAM大小和其他機器相關資訊。

​

 

然後使用XOR操作加密所有上述資訊並將其傳送回CnC伺服器。然後伺服器在收到完整資料後回覆“OK”。

​

被盜資料可被廣泛用於未經授權訪問電子郵件帳戶，銀行帳戶和其他線上資訊。這種被盜的個人資訊可能會在精神上和經濟上損害使用者。

結論

​

區塊鏈安全諮詢公司 曲速未來 提醒：在勒索軟體和Cryptominers中，此類Infostealer惡意軟體是攻擊者使用的最受歡迎的攻擊媒介。所以建議使用者避免訪問可疑網站或電子郵件，並使其防病毒軟體保持最新狀態，以防止其系統被此類複雜惡意軟體感染。