您当前的位置:首页 > 电脑百科 > 安全防护 > 木马

Azov勒索软件的演进之路

时间:2022-12-29 14:22:12  来源:网易号  作者:嘶吼RoarTalk

Check Point Research(CPR)对臭名昭著的Azov勒索软件进行了分析,分析表明,Azov能够修改某些64位可执行文件以执行自己的代码。在过去的几周里,CPR在其社交媒体以及Bleeping Computer上分享了对Azov勒索软件的初步调查结果。接下来,我们将介绍Azov勒索软件的内部工作原理及其技术特点。


主要发现

Azov最初是作为SmokeLoader僵尸网络的有效负载而引起注意的,该僵尸网络通常存在于假冒盗版软件和破解网站中。

Azov与普通勒索软件不同的是它对某些64位可执行文件的修改以执行自己的代码。在现代互联网出现之前,这种行为曾经是恶意软件泛滥的必经之路。可执行文件的修改是使用多态代码来完成的,这样就不会被静态签名潜在地破坏,并且也适用于64位可执行文件。

这种对受害者可执行文件的攻击性多态感染导致了大量感染Azov的公开可用文件。每天都有数百个与Azov相关的新样本提交给ViRustotal,截至2022年11月,该样本已超过17000个。使用手工制作的查询,可以只搜索正确的Azov样本,而不使用木马化的二进制文件。

VirusTotal查询以搜索与Azov相关的样本:

VirusTotal查询——Azov相关样本

VirusTotal查询仅搜索正确的Azov样本,而不搜索木马化二进制文件:

VirusTotal查询——仅原始Azov样本

丰富的样本使我们能够区分Azov的两个不同版本,一个更老,一个稍新。这两个版本共享它们的大部分功能,但较新版本使用了不同的勒索通知,以及销毁文件的不同文件扩展名(.azov)。

新版本的Azov的赎金通知

旧版本的Azov的赎金通知


技术分析

使用FASM在程序集中手动制作;

使用反分析和代码混淆技术;

原始数据内容的多线程间歇性覆盖(循环666字节);

在受损系统中后门64位“.exe”文件的多态方式;

“逻辑炸弹”设定在特定时间引爆。下面分析的样本被设置为在UTC时间2022年10月27日上午10:14:30引爆;

没有网络活动,没有数据泄露;

利用SmokeLoader僵尸网络和木马程序进行传播;

有效、快速且不幸无法恢复的数据清除器;

研究人员专注于新Azov版本的原始样本(SHA256:650f0d694c0928d88aeeed649cf629fc8a7bec604563bca716b1688227e0cc7e-如上所述,与旧版本相比,功能上没有重大差异)。这是一个64位的可移植可执行文件,已用FASM(平面汇编程序)组装,只有1段.code (r+x),并且没有任何导入。

FASM编译器的检测

只有一个“.code”部分,没有导入

code字段分为三个部分,通过查看其熵最容易看出。首先,有一个高熵部分包含加密的shell代码。之后是实现解包程序的纯代码,然后是熵非常低的最后一部分,似乎由用于构造勒索信的纯字符串组成。

“.code”部分的熵


打开程序

由于Azov的整个代码都是手工编写的,因此有必要执行一些IDA魔术和清理工作,以将代码塑造成可以反编译和理解的状态。完成此操作后,过程start_0()就可见了。这段代码将shellcode解包到新分配的内存中,然后将执行传递给它。

输入函数start_0

函数AllocAndDecryptShellcode()中的解包程序被故意创建得看起来比实际更复杂。但实际上,它是一个简单的种子解密算法,使用xor和rol的组合,其中key = 0x15C13。

AllocAndDecryptShellcode函数中的解包程序

我们在下面提供了简化程序逻辑的Python/ target=_blank class=infotextkey>Python实现:

下一阶段分为两个主要程序:一个负责清除文件,另一个负责为可执行文件设置后门。

将执行转移到清除和后门逻辑


清除程序

清除程序首先创建一个互斥锁(Local\\azov),以验证恶意软件的两个实例没有同时运行。

清除程序——互斥锁创建

如果成功获得互斥锁句柄,Azov会通过木马(类似于后门程序)64位windows系统二进制文件msiexec.exe或perfmon.exe并将其保存为rdpclient.exe来创建持久性。在SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run上创建一个注册表项,指向新创建的文件。

持久性创建

清除程序使用触发时间——有一个循环,被分析的样本检查系统时间,如果不等于或大于触发时间,则休眠10秒,然后再次循环。样本触发时间为2022年10月27日。

样本触发时间为2022年10月27日

一旦这个逻辑炸弹被触发,清除器逻辑就会遍历所有设备目录,并对每个目录执行清除程序,从而避免某些硬编码的系统路径和文件扩展名。

系统路径和文件扩展名

清除时省略的文件扩展名

每个文件都被“间歇性”清除,这意味着666字节的块被随机噪声覆盖,然后一个大小相同的块保持完整,然后一块再次被覆盖,依此类推,直到达到4GB的硬限制,此时所有其他数据都保持完整。作为随机源,样本使用未初始化的局部变量(例如,char buffer[666]),这实际上意味着随机堆栈内存内容。

间歇性数据清除

数据清除程序的示例跟踪

清除完成后,新的文件扩展名.azov将添加到原始文件名中。清除文件的典型文件结构如下所示。

清除文件的示例结构


后门程序

在遍历文件系统以搜索要进入后门的文件之前,创建一个名为Local\\Kasimir_%c的互斥锁,其中%c替换为正在处理的驱动器的字母。

后门程序——互斥锁创建

TryToBackdoorExeFile()函数负责解密满足特定条件的64位“.exe”文件进行后门。

通过预处理条件的文件进入TryToBackdoorExeFile函数

这些具体条件可简化如下:

预处理条件:

它不是文件系统位置清除列表的一部分;

文件扩展名为“.exe”;

文件大小小于20MB;

处理条件:

该文件是64位可执行文件;

包含入口点的PE部分有足够的空间用于注入shellcode植入程序,以保留PE的原始入口点(shellcode起始地址将放在原始入口点的地址);

File size == PE size(PE大小是手动计算的);

处理条件都在TryToBackdoorExeFile()函数中检查。

TryToBackdoorExeFile函数

一旦文件满足所有预处理和处理条件,它就被认为适合适合进行后门操作,并将其推入BackdoorExeFile()函数。

函数TryToBackdoorExeFile的邻近图

函数BackdoorExeFile()负责可执行文件的多态后门。它首先获取原始代码段(通常是.text段)的地址,然后在几个位置随机修改其内容。在将shellcode的主要blob注入到修改的代码部分之前,某些常量值将被更改,整个shellcode将使用与前面描述的恶意软件解包期间使用的相同的加密算法和密钥重新加密。后门文件写回磁盘后,三个编码的数据结构被追加到它的末尾,这是勒索软件运行所需的有效资源(例如,一种模糊形式的勒索通知)。

函数BackdoorExeFile的邻近图

尽管存在多态后门,但解包和后门过程中使用的加密/解密算法是一致的,可用于Azov检测。

使用与解包期间相同的算法和密钥重新加密shellcode的主blob


反分析和代码混淆技术

防止使用软件断点——如果设置了软件断点,使用例程将已经解密并正在执行的部分shellcode复制到新分配的内存中,然后将执行转移到它,迟早会导致异常。在这种情况下,有必要使用硬件断点。

防止使用软件断点的反分析技术

不透明常量——用产生相同结果常量值的代码例程替换常量。(这可以在负责计算常量偏移量的例程中反复看到,而不是直接使用它们,以便直接调用可以被间接调用取代)

不透明常数

语法混乱——用语义上不地道或完全扩展的等效指令替换指令。这方面的一个例子可以在负责解析导出目录的程序中找到;另一种是用直接或间接jmp重复替换调用。两者如下图所示。

语法扩展

在调用中使用间接跳转和直接跳转

下面可以看到解析导出目录的程序集的简化版本。

垃圾代码——插入垃圾字节,导致没有有意义的指令,甚至根本没有指令。

不透明谓词——jz/jnz乍一看似乎是一个条件跳转,但实际上条件总是满足或总是不满足,并且有效地充当无条件跳转,使静态分析混淆。这两种混淆都可以在函数FindGetProcAddress()中看到。

垃圾字节插入和不透明谓词混淆

调用-返回滥用——使用push-ret或Call而不是jmp。

控制间接

Volatile Homebrew IAT ——一个动态分配的结构,包含API函数地址,被用作嵌套结构,作为参数推送给需要使用特定WIN API例程而不是使用普通导入的函数。

动态创建的IAT类结构用作嵌套结构


总结

尽管Azov样本在第一次被发现时被认为是一个普通的勒索软件,但当进一步调查时,我们发现了非常先进的技术——手工制作的组装,将有效载荷注入可执行文件以打开后门。

尽管还不知道其幕后组织,但唯一可以肯定的是,所有这些分析都证实了Azov是一种先进的恶意软件。

参考及来源:https://research.checkpoint.com/2022/pulling-the-curtAIns-on-azov-ransomware-not-a-skidsware-but-polymorphic-wiper/



Tags:勒索软件   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,不构成投资建议。投资者据此操作,风险自担。如有任何标注错误或版权侵犯请与我们联系,我们将及时更正、删除。
▌相关推荐
揭开勒索软件LostTrust的神秘面纱
勒索软件LostTrust一直被安全社区认为是MetaEncryptor勒索软件的“换壳”产品,因为它们几乎使用了相同的数据泄露网站和加密程序。LostTrust勒索软件于2023年3月开始积极活动...【详细内容】
2023-11-02  Search: 勒索软件  点击:(189)  评论:(0)  加入收藏
为什么CISO需要将零信任作为应对勒索软件的强有力的策略
今年有望成为勒索软件攻击成本第二高的一年,威胁参与者依赖于新的欺骗性社交工程方法和武器化的AI。最近的米高梅泄密事件始于攻击者研究服务台员工的社交媒体个人资料,然后打...【详细内容】
2023-09-27  Search: 勒索软件  点击:(346)  评论:(0)  加入收藏
勒索软件伪装成Windows更新,可加密文件、删除备份
IT之家 7 月 10 日消息,近日一种名为“Big Head”的勒索软件正在伪装成 Windows 更新来感染用户的电脑,不仅能加密文件,还能删除备份,这种恶意软件的两个变种已经被安全研究机构...【详细内容】
2023-07-11  Search: 勒索软件  点击:(287)  评论:(0)  加入收藏
黑客使用勒索软件变种攻击macOS系统
一个名为Geacon的Golang Cobalt Strike实施很可能会引起针对Apple macOS系统的威胁参与者的注意。这是根据SentinelOne的调查结果,它观察到最近几个月出现在VirusTotal上的Ge...【详细内容】
2023-05-17  Search: 勒索软件  点击:(309)  评论:(0)  加入收藏
为何网络安全无法阻止勒索软件威胁?
今天小秋要给大家讲一个很重要的话题,就是为什么我们的网络安全防御对勒索软件无法抵御呢?这可真是一个让人头疼的问题啊!首先,我们得明白一件事,勒索软件可不是什么好东西,它们就...【详细内容】
2023-05-11  Search: 勒索软件  点击:(315)  评论:(0)  加入收藏
我们一起聊聊勒索软件如何传播?
勒索软件变得越来越复杂和有效,使其难以检测和预防。通常用于支付赎金的加密货币的可用性,以及它们为攻击者提供的匿名性,也使得恶意行为者更容易参与勒索软件攻击。根据 AAG...【详细内容】
2023-04-03  Search: 勒索软件  点击:(214)  评论:(0)  加入收藏
不能放松警惕的勒索软件攻击
区块链数据公司 Chainalysis 最近的一份报告显示,2022 年勒索软件的勒索付款显着下降。下降的原因是主要勒索软件团伙的破坏、加密货币价值的减弱以及组织最终加强了网络安全...【详细内容】
2023-03-14  Search: 勒索软件  点击:(63)  评论:(0)  加入收藏
使用Shodan图像揪出勒索软件团伙
我们在这篇博文中将侧重介绍Shodan如何帮助揭露支持勒索软件团伙的一些基础设施。Shodan是一种抓取banner信息的搜索引擎,可以收集直接连接到互联网的所有设备的信息。如果某...【详细内容】
2023-02-23  Search: 勒索软件  点击:(271)  评论:(0)  加入收藏
CISA发布ESXiArgs-Recover脚本,可修复 VMware ESXi勒索软件攻击
IT之家 2 月 9 日消息,意大利国家网络安全局(ACN)于上周日发布警告,已经有黑客利用 VMware ESXi 服务器漏洞,对全球数千台服务器发起勒索软件攻击,并警告组织采取行动保护其系统。...【详细内容】
2023-02-09  Search: 勒索软件  点击:(209)  评论:(0)  加入收藏
备份服务器免受勒索软件攻击的 9 个步骤
现在,勒索软件组织已经开始专门针对数据中心备份服务器攻击,因此企业应该大力保护这些备份服务器,以保障业务的正常开展。以下是保护备份服务器的九个步骤:一)及时打补丁一定要确...【详细内容】
2023-01-05  Search: 勒索软件  点击:(186)  评论:(0)  加入收藏
▌简易百科推荐
苹果“安全”神话破灭?!iOS首次出现木马病毒
一直以来,iOS系统都以“安全性极高”闻名手机圈。在封闭软硬件生态加持下,iOS确实要比安卓系统更安全点。但是,小雷要说但是了嚯,最近iOS却首次出现了木马病毒。图源:苹果近日,在...【详细内容】
2024-02-19    雷科技  Tags:木马   点击:(66)  评论:(0)  加入收藏
新型恶意软件曝光:可绕过微软SmartScreen,窃取用户敏感信息
IT之家 1 月 17 日消息,趋势科技近日发布安全公告,发现了名为 Phemedrone Stealer 的高危恶意软件,可以绕过微软 Windows 10 和 Windows 11 系统中的 Defender SmartScreen,窃取...【详细内容】
2024-01-17  IT之家    Tags:恶意软件   点击:(89)  评论:(0)  加入收藏
Chameleon 恶意木马曝光,伪装成谷歌 Chrome 浏览器等应用
IT之家 12 月 26 日消息,安全公司 Threat Fabric 日前曝光了一款名为“Chameleon”的恶意木马,该木马通常伪装成谷歌 Chrome 浏览器及部分银行应用,安装后便会在后台持续录制受...【详细内容】
2023-12-26    IT之家  Tags:恶意木马   点击:(91)  评论:(0)  加入收藏
手机中了木马病毒怎么办?
网络安全问题也日益突出。其中,手机中了木马病毒是一种常见的安全威胁。木马病毒是一种恶意软件,通常通过下载不明应用、点击恶意链接等方式传播,对手机和个人信息安全造成严重...【详细内容】
2023-12-22  小笣子的二两生活    Tags:木马病毒   点击:(130)  评论:(0)  加入收藏
揭开勒索软件LostTrust的神秘面纱
勒索软件LostTrust一直被安全社区认为是MetaEncryptor勒索软件的“换壳”产品,因为它们几乎使用了相同的数据泄露网站和加密程序。LostTrust勒索软件于2023年3月开始积极活动...【详细内容】
2023-11-02  FreddyLu666  微信公众号  Tags:勒索软件   点击:(189)  评论:(0)  加入收藏
12种常见的恶意软件类型与防范建议
自从计算机技术被广泛使用以来,恶意软件就一直以某种形式存在,但其存在的类型在不断发展演变。如今,随着人类社会数字化程度的不断提升,恶意软件已经成为现代企业组织面临的最...【详细内容】
2023-10-26  安全牛  微信公众号  Tags:恶意软件   点击:(177)  评论:(0)  加入收藏
防不胜防!黑客使用转码域名在谷歌上投放钓鱼网站 看不出任何差别
谷歌搜索上的各种恶意软件和钓鱼网站广告屡见不鲜,这种操作手法已经相当成熟,都是先做一个看似合规的网站去投放广告,等谷歌审核通过了再把落地页修改为恶意内容。之前蓝点网已...【详细内容】
2023-10-23  区块软件开发    Tags:钓鱼网站   点击:(66)  评论:(0)  加入收藏
macOS窃密木马分析,你还敢轻易下载mac破解软件吗?
0x01 事件简介近期,在进行macOS终端威胁狩猎时,发现了一例macOS终端窃密木马,经过深入分析发现该木马专门针对macOS,会从受害者的机器上窃取大量敏感信息,包括浏览器自动填充...【详细内容】
2023-09-27  M_Altman  FreeBuf.COM  Tags:木马   点击:(276)  评论:(0)  加入收藏
什么是Spyware?加密货币中的Spyware有多危险?
作者:BTC_Chopsticks什么是 spyware?Spyware 是一种在后台运行的恶意软件,经过编程后可以跟踪和记录受感染设备上的活动并收集有关用户的个人信息。 然后,这些信息会被发送给攻...【详细内容】
2023-08-07    新浪网  Tags:Spyware   点击:(281)  评论:(0)  加入收藏
勒索软件伪装成Windows更新,可加密文件、删除备份
IT之家 7 月 10 日消息,近日一种名为“Big Head”的勒索软件正在伪装成 Windows 更新来感染用户的电脑,不仅能加密文件,还能删除备份,这种恶意软件的两个变种已经被安全研究机构...【详细内容】
2023-07-11    IT之家  Tags:勒索软件   点击:(287)  评论:(0)  加入收藏
站内最新
站内热门
站内头条