近日，網(wǎng)絡(luò)安全研究人員在暗網(wǎng)發(fā)現(xiàn)了一個(gè)新的惡意軟件在線生成器，名為“Gazorp”。該生成器被設(shè)計(jì)用來(lái)生成近來(lái)非常受網(wǎng)絡(luò)犯罪子歡迎的惡意軟件——Azorult，一款能夠竊取用戶密碼、支付卡信息，以及與加密貨幣交易相關(guān)數(shù)據(jù)等信息的信息竊取程序。

值得注意的是，Gazorp所提供的惡意軟件在線生成服務(wù)是完全免費(fèi)的，任何人只需要提供命令和控制（C＆C）服務(wù)器地址就可以生成屬于自己的Azorult樣本。C&C服務(wù)器地址會(huì)被嵌入到新生成的惡意軟件二進(jìn)制文件中，然后隨著惡意軟件的傳播和感染發(fā)揮它的作用（收集信息）。

Gazorp有效地生成了Azorult 3.0
由Gazorp生成的惡意軟件被研究人員證實(shí)是信息竊取程序Azorult。研究人員表示，Gazorp有效地生成了Azorult 3.0版本，這是一個(gè)在五個(gè)月之前發(fā)布的版本。在那之后，Azorult至少已經(jīng)經(jīng)歷過(guò)兩次更新，因?yàn)樗暮罄m(xù)版本3.1和3.2已經(jīng)在現(xiàn)實(shí)攻擊活動(dòng)中被捕獲。也就是說(shuō)，由Gazorp構(gòu)建的Azorult 3.0是一個(gè)過(guò)時(shí)版本。

Gazorp基于Azorult泄露的源代碼
Gazorp是在Azorult 3.0的面板代碼泄露在網(wǎng)絡(luò)上之后才出現(xiàn)的。實(shí)際上，這種泄露允許任何想要掌控Azorult C＆C面板的人，能夠以相對(duì)較低的成本來(lái)完成這項(xiàng)工作。同時(shí)被泄露的還包括一個(gè)Azorult 3.0的生成器，但它似乎并不是其開(kāi)發(fā)者使用的原始版本。相反，它只是對(duì)用戶作為參數(shù)提供給它的C&C地址字符串進(jìn)行編碼，然后放入一個(gè)現(xiàn)成的二進(jìn)制文件中。

暗網(wǎng)上的Gazorp頁(yè)面

上面這個(gè)生成器頁(yè)面在其內(nèi)容描述的第一段就告訴用戶，Azorult的生成十分簡(jiǎn)單：

1、提供用于收集信息的C&C地址；
2、下載包含惡意軟件生成過(guò)程的說(shuō)明、面板安裝文件及其使用手冊(cè)的壓縮文件；
3、安裝面板，完成生成惡意軟件之前所必須的設(shè)置；
4、開(kāi)始生成。

分析由Gazorp生成的Azorult v3.0
Check Point的研究人員表示，由Gazorp生產(chǎn)的Azorult v3.0可以通過(guò)以下幾個(gè)顯著的特征來(lái)識(shí)別：
1、每個(gè)Azorult版本都有一個(gè)獨(dú)特的互斥鎖，會(huì)在惡意軟件執(zhí)行開(kāi)始之初創(chuàng)建。
由Gazorp生成的Azorult v3.0同樣也會(huì)創(chuàng)建一個(gè)互斥名稱，它是當(dāng)前用戶（A-admin、U-user、S-system、G-guest）和字符串“d48qw4d6wq84d56as”的組合。
2、每個(gè)Azorult版本都會(huì)使用一個(gè)簡(jiǎn)單的XOR算法來(lái)加密它與C&C服務(wù)器的連接，而使用的密鑰被硬編碼在二進(jìn)制文件中。版本不同，密鑰也不同。對(duì)于由Gazorp生成的Azorult v3.0而言，它是0xfe、0x29、0x36。
3、來(lái)自C&C服務(wù)器的解密返回消息由tag標(biāo)簽組成。對(duì)于由Gazorp生成的Azorult v3.0而言，返回的消息具有以下tag標(biāo)簽：

configuration_data
Sqlite3_file
zip_functions_file
names_of_softwares_to_steal_credentials_from
tag標(biāo)簽之間的值會(huì)通過(guò)Base64解碼。

這個(gè)新出現(xiàn)的惡意軟件在線生成服務(wù)再一次給我們展示了惡意軟件即服務(wù)（MaaS）日漸盛行的趨勢(shì)。

目前，Gazorp服務(wù)似乎仍處于早期階段，其提供的主要產(chǎn)品也只是基于Azorult 3.0 C＆C面板代碼的增強(qiáng)，但隨著時(shí)間的推移，很可能會(huì)有新的Azorult變種能夠被生成。此外，鑒于該服務(wù)是完全免費(fèi)的。因此，基于Gazorp生成的Azorult惡意軟件很可能會(huì)在現(xiàn)實(shí)攻擊活動(dòng)中大量出現(xiàn)。

ice

收藏 海報(bào)分享