曲速未来 警惕|‘Gazorp’Dark Web Azorult Builder

 

 

前言:

 

AZORult是一个强大的信息窃取程序和下载程序,安全研究人员最初在2016年通过Chthonic银行特洛伊木马识别出这是次要感染的一部分。后来它参与了许多malspam攻击。直到一个复杂版本的AZORult间谍软件在野外被发现,它参与了7月18日的大型电子邮件活动的恶意软件被研究人员在野外发现了新版本的AZORult间谍软件,它于7月18日参与了大型电子邮件活动,仅在24小时就出现在黑暗网络上的网络犯罪论坛上。攻击者发送了数千封针对北美的邮件。这些消息使用与就业相关的主题,如“关于角色”和“工作申请”,而恶意附加文档使用格式为“firstname.surname_resume.doc”的文件名。“AZORult恶意软件凭借其凭证和加密货币盗窃的能力,为个人带来潜在的直接经济损失,以及行动者在受影响组织中建立滩头阵地的机会”。

 

区块链安全咨询公司 曲速未来 消息:9月17日,安全研究人员在黑暗网站上发现了一个名为“Gazorp”的新在线建设者。Gazorp旨在构建流行恶意软件Azorult的二进制文件,Azorult是一种用于窃取用户密码,信用卡信息,加密货币相关数据等的信息用户。此外,Gazorp服务是免费提供的,威胁行为者可以创建新的Azorult样本和相应的面板服务器代码,只需提供他们的命令和控制(C&C)地址即可。该地址嵌入到新创建的二进制文件中,而后者又可以以威胁行为者认为合适的任何方式进行分发。

 

根据对构建的恶意软件的分析表明,Gazorp有效地生成了Azorult 3.0版的样本,已知该版本在五个月前发布。从那以后,恶意软件被更新两次,随后的版本3.1和3.2被发布并在野外观察,使得Gazorp构建的版本已经过时。即便如此,过时版本好事具有多种窃取功能,任何参与者都可以利用这些功能来收集受害者信息并滥用它,以及包含对恶意软件C2面板代码的多次升级和增强。

 

Gazorp公布时机

 

非常有趣的事情是它的发布时间。Gazorp在Dark Web上的出现之前是Azorult面板的代码泄漏。实际上,这种泄漏允许任何想要主持Azorult C&C面板的人能够以适度的低成本完成这项工作。泄漏还包含最新版恶意软件的构建器,它似乎不是其作者使用的原始版本。相反,它只是编码并将C&C地址字符串作为参数提供给用户,作为现成二进制文件中的特定字段。因此,简单的机制和最近版本向公众的整体传递有可能激发Gazorp的作者在线介绍它。

区块链安全咨询公司 曲速未来 提醒:另一点需要注意的是,在线构建器链接到Telegram频道,其中创建者的活动对公众可见。参与的人可以获得项目的更新,并提出自己的改进意见。此外,作者鼓励用户通过向特定比特币钱包发放交易来向他们的项目捐款,这似乎是将Gazorp货币化的唯一方式(因为它的使用是完全免费的)。作为回报,他们声称,用户将从他们的一方的更多开发和升级中受益。

图2:Gazorp在黑暗网站上的页面

 

 

上面构建器页面中的第一段指定了希望使用它的任何用户需要采取的简单操作。它转换为以下内容:

“今天最受欢迎的经销商之一的自由建设者,Azorult就在这里。它就像2×2一样简单:

1.指定窃取者将报告的域。

2.下载包含构建,手册和面板的存档。

3.安装面板,部署构建。

4.工作$$$;

此外,作者试图将他们引入恶意软件面板的增强功能描述为他们在此项目中提供的最重要的价值。Azorult的版本3小组也在过去泄露并上传到Github,为骗子和网络犯罪分子滥用它提供了机会。

作者指出,对面板的更改包括多个漏洞和错误修复,更好的性能,可视化增强功能和各种新功能。实际上,如果为两个面板区分源代码树,就可以看到Gazorp中的主要差异和增加。

图3:Gazorp和Azorult v3面板之间的代码树差异,黑色方块表示Azorult树中缺少代码目录

 

 

实际上,Gazorp的小组看起来远不如承诺那么诱人。与Azorult v3相比,主要统计页面看起来相当沉闷,其对应的主要改进是全局堆映射,它按照Azorult面板中无法访问的方式按国家地区提供统计信息。

图4:Gazorp的主面板菜单,带有新的全局统计功能

 

 

图5:Azorult版本3主面板菜单

 

 

除了建议的修改之外,未来还有许多承诺的功能。例如,作者合并了一个“模块”部分,该部分暗示了使用新功能扩展Azorult的能力,但尚未实现。它们还提供更多随意面板功能,例如配置面板和将各种数据库导出到文件的功能。这些还没有提供,预计随着项目的发展而增加。

图6:计划面板功能

 

 

使用Azorult v3.0二进制文件

 

由Gazorp生产的这个版本的Azorult可以通过几个显着的特征来识别:

1、每个版本的Azorult都有一个独特的互斥锁,恶意软件在执行开始时会创建该互斥锁。Azorult v3.0特别创建了一个互斥名称,它是当前用户(A-admin,U-user,S-system,G-guest)和字符串“d48qw4d6wq84d56as”的权限的串联。

图7:Azorult v3.0和Gazorp互斥锁以及C2服务器名称

 

 

2、Azorult使用简单的XOR方法加密与C2服务器的连接,并在文件中使用密钥硬编码。每个版本的Azorult都有不同的密钥。在v3.0的情况下,其0xfe,0x29,0x36。

图8:Gazorp和Azorult 3.0连接方法和密钥

 

 

3、来自C2服务器的解密返回消息由标签组成。在3.0版中,返回的消息具有以下标记:

使用Base64解码标签之间的值。

图9:Azorult v3.0和Gazorp通过标签解释收到的C2消息

 

 

结语:

 

这个新的shady服务为Web中一些常见恶意软件的易访问性提供了一个示例。目前,安全人员正在研究Gazorp服务的早期版本(0.1),其中提供的主要产品是增强的Azorult C&C面板代码。希望该项目能够随着时间的推移而发展,并可能为Azorult生成新的变体。区块链安全咨询公司 曲速未来 告诫:鉴于该服务是免费的,Gazorp建立二进制文件的新活动也有可能在野外开始出现更高规模。所以还是要继续留意,注意它的威胁。

 

本文内容由 曲速未来 (WarpFuture.com) 安全咨询公司整理编译,转载请注明。 曲速未来提供包括主链安全、交易所安全、交易所钱包安全、DAPP开发安全、智能合约开发安全等相关区块链安全咨询服务。