AZORult是一款著名的信息窃取器和恶意软件下载器,其3.3版本于2018年10月出现在黑市论坛上。AZORult可以从用户终端窃取大量信息,包括文件、缓存的密码、甚至加密货币key。

之前国内外许多安全公司都对AZORult活动和样本进行了分析。近期Minerva研究人员发现了新的AZORult样本利用其他技巧来扩展其功能,包括使用签名的恶意可执行文件来绕过安全工具的检查。下面是这次AZORult攻击活动的详细分析。

签名可疑的Google Update

调查最早是基于一个可疑的可执行文件。有用户反馈说Minerva的软件拦截了一个名为GoogleUpdate.exe的可执行文件,而该文件是经过有效的、非吊销的证书签名的。

恶意文件的图标于合法updater图像匹配:

1-8

恶意Google Updater的图标看起来和合法的没有什么区别。

但对恶意文件进行签名的证书并不属于Google:

2 - censored

GoogleUpdate.exe的签名是有效的,但不属于Google

虽然该签名是有效的,但是并不能说明该文件就是非恶意的,但是大多数用户可能会这么认为。证书签发机构CA只验证签名者的信息是合法的,而无法确保该证书签名的文件的安全性。

用来对恶意GoogleUpdate.exe文件签名的证书要么是从合法所属者处窃取的,要么是出于恶意目的获取的。因为证书是2018年11月19日签发的,而且已经被用过上百次了,每次都是为伪装成GoogleUpdate.exe的文件进行签名。目前还无法确定签名者是否意识到证书被恶意使用了。

签名文件中的AZORult

在确认GoogleUpdate.exe是恶意文件后,下一步就是确认其所属的恶意软件家族。研究人员分析网络通信发现其与AZORult模式比较相似:

HTTP POST request to a /index.php
Using a .bit domain (for DNS over blockchain)
Typical User-Agent Mozilla/4.0…

 4-1

AZORult典型的HTTP POST请求

研究人员使用Intezer Analyze平台分析发现,解包后,与AZORult有98%的相似度。

5

Intezer对GoogleUpdate.exe文件的分析报告

驻留机制

其中一个AZORult样本的功能是不仅使用GoogleUpdate.exe文件名,还可以替换C:\Program Files\Google\Update\GoogleUpdate.exe中合法的Google Updater。这可以以管理员权限帮助恶意软件执行,并允许恶意软件建立驻留机制。Google定义了2个计划任务来更新其产品,分别是:

· GoogleUpdateTaskMachineCore – 登陆时运行,每隔1天

· GoogleUpdateTaskMachineUA – 每隔1天

除此之外,还有两个Google update服务运行着该二进制文件,这是定义在注册表值里的:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\gupdatem\ImagePath
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\gupdate\ImagePath

AZORult变种不修改定时任务或注册表。但替换了原始GoogleUpdate.exe文件后,当更新开始后,恶意软件就可以以管理权限运行了。这样恶意软件就可以在系统中驻留,因为计划任务和服务都是非恶意的。

6

Google的更新路径, GoogleUpdateBroker启动恶意GoogleUpdate.exe

这也不是一个全新的技术,MuddyWater APT组织就使用过这样的技术,但目前还没有AZORult样本与该方法(组织)之间联系的证据。

除了替换GoogleUpdate.exe外,该AZORult变种还会释放一个副本到C:\ProgramData\localNETService\localNETService.exe,并在注册表中加入一项记录并以服务的形式启动。

7

5个不同的驻留机制,其中4个是通过替换原有的updater获得的

本文翻译自:https://blog.minerva-labs.com/azorult-now-as-a-signed-google-update如若转载,请注明原文地址: http://www.4hou.com/info/news/15976.html
源链接

Hacking more

...