最新AZORult:帶合法簽名的Google Update
AZORult是一款著名的資訊竊取器和惡意軟體下載器,其3.3版本於2018年10月出現在黑市論壇上。AZORult可以從使用者終端竊取大量資訊,包括檔案、快取的密碼、甚至加密貨幣key。
之前國內外許多安全公司都對AZORult活動和樣本進行了分析。近期Minerva研究人員發現了新的AZORult樣本利用其他技巧來擴充套件其功能,包括使用簽名的惡意可執行檔案來繞過安全工具的檢查。下面是這次AZORult攻擊活動的詳細分析。
簽名可疑的Google Update
調查最早是基於一個可疑的可執行檔案。有使用者反饋說Minerva的軟體攔截了一個名為GoogleUpdate.exe的可執行檔案,而該檔案是經過有效的、非吊銷的證書籤名的。
惡意檔案的圖示於合法updater影象匹配:
惡意Google Updater的圖示看起來和合法的沒有什麼區別。
但對惡意檔案進行簽名的證書並不屬於Google:
GoogleUpdate.exe的簽名是有效的,但不屬於Google
雖然該簽名是有效的,但是並不能說明該檔案就是非惡意的,但是大多數使用者可能會這麼認為。證書籤發機構CA只驗證簽名者的資訊是合法的,而無法確保該證書籤名的檔案的安全性。
用來對惡意GoogleUpdate.exe檔案簽名的證書要麼是從合法所屬者處竊取的,要麼是出於惡意目的獲取的。因為證書是2018年11月19日簽發的,而且已經被用過上百次了,每次都是為偽裝成GoogleUpdate.exe的檔案進行簽名。目前還無法確定簽名者是否意識到證書被惡意使用了。
簽名檔案中的AZORult
在確認GoogleUpdate.exe是惡意檔案後,下一步就是確認其所屬的惡意軟體家族。研究人員分析網路通訊發現其與AZORult模式比較相似:
HTTP POST request to a /index.php Using a .bit domain (for DNS over blockchain) Typical User-Agent Mozilla/4.0…
AZORult典型的HTTP POST請求
研究人員使用Intezer Analyze平臺分析發現,解包後,與AZORult有98%的相似度。
Intezer對GoogleUpdate.exe檔案的分析報告
駐留機制
其中一個AZORult樣本的功能是不僅使用GoogleUpdate.exe檔名,還可以替換C:\Program Files\Google\Update\GoogleUpdate.exe中合法的Google Updater。這可以以管理員許可權幫助惡意軟體執行,並允許惡意軟體建立駐留機制。Google定義了2個計劃任務來更新其產品,分別是:
·GoogleUpdateTaskMachineCore – 登陸時執行,每隔1天
· GoogleUpdateTaskMachineUA – 每隔1天
除此之外,還有兩個Google update服務執行著該二進位制檔案,這是定義在登錄檔值裡的:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\gupdatem\ImagePath
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\gupdate\ImagePath
AZORult變種不修改定時任務或登錄檔。但替換了原始GoogleUpdate.exe檔案後,當更新開始後,惡意軟體就可以以管理許可權運行了。這樣惡意軟體就可以在系統中駐留,因為計劃任務和服務都是非惡意的。
Google的更新路徑, GoogleUpdateBroker啟動惡意GoogleUpdate.exe
這也不是一個全新的技術,MuddyWater APT組織就使用過這樣的技術,但目前還沒有AZORult樣本與該方法(組織)之間聯絡的證據。
除了替換GoogleUpdate.exe外,該AZORult變種還會釋放一個副本到C:\ProgramData\localNETService\localNETService.exe,並在登錄檔中加入一項記錄並以服務的形式啟動。
5個不同的駐留機制,其中4個是通過替換原有的updater獲得的