近日，網(wǎng)絡(luò)安全研究人員在暗網(wǎng)發(fā)現(xiàn)了一個新的惡意軟件在線生成器，名為“Gazorp”。該生成器被設(shè)計用來生成近來非常受網(wǎng)絡(luò)犯罪子歡迎的惡意軟件——Azorult，一款能夠竊取用戶密碼、支付卡信息，以及與加密貨幣交易相關(guān)數(shù)據(jù)等信息的信息竊取程序。

值得注意的是，Gazorp所提供的惡意軟件在線生成服務(wù)是完全免費的，任何人只需要提供命令和控制（C＆C）服務(wù)器地址就可以生成屬于自己的Azorult樣本。C&C服務(wù)器地址會被嵌入到新生成的惡意軟件二進制文件中，然后隨著惡意軟件的傳播和感染發(fā)揮它的作用（收集信息）。

Gazorp有效地生成了Azorult 3.0
由Gazorp生成的惡意軟件被研究人員證實是信息竊取程序Azorult。研究人員表示，Gazorp有效地生成了Azorult 3.0版本，這是一個在五個月之前發(fā)布的版本。在那之后，Azorult至少已經(jīng)經(jīng)歷過兩次更新，因為它的后續(xù)版本3.1和3.2已經(jīng)在現(xiàn)實攻擊活動中被捕獲。也就是說，由Gazorp構(gòu)建的Azorult 3.0是一個過時版本。

Gazorp基于Azorult泄露的源代碼
Gazorp是在Azorult 3.0的面板代碼泄露在網(wǎng)絡(luò)上之后才出現(xiàn)的。實際上，這種泄露允許任何想要掌控Azorult C＆C面板的人，能夠以相對較低的成本來完成這項工作。同時被泄露的還包括一個Azorult 3.0的生成器，但它似乎并不是其開發(fā)者使用的原始版本。相反，它只是對用戶作為參數(shù)提供給它的C&C地址字符串進行編碼，然后放入一個現(xiàn)成的二進制文件中。

暗網(wǎng)上的Gazorp頁面

上面這個生成器頁面在其內(nèi)容描述的第一段就告訴用戶，Azorult的生成十分簡單：

1、提供用于收集信息的C&C地址；
2、下載包含惡意軟件生成過程的說明、面板安裝文件及其使用手冊的壓縮文件；
3、安裝面板，完成生成惡意軟件之前所必須的設(shè)置；
4、開始生成。

分析由Gazorp生成的Azorult v3.0
Check Point的研究人員表示，由Gazorp生產(chǎn)的Azorult v3.0可以通過以下幾個顯著的特征來識別：
1、每個Azorult版本都有一個獨特的互斥鎖，會在惡意軟件執(zhí)行開始之初創(chuàng)建。
由Gazorp生成的Azorult v3.0同樣也會創(chuàng)建一個互斥名稱，它是當前用戶（A-admin、U-user、S-system、G-guest）和字符串“d48qw4d6wq84d56as”的組合。
2、每個Azorult版本都會使用一個簡單的XOR算法來加密它與C&C服務(wù)器的連接，而使用的密鑰被硬編碼在二進制文件中。版本不同，密鑰也不同。對于由Gazorp生成的Azorult v3.0而言，它是0xfe、0x29、0x36。
3、來自C&C服務(wù)器的解密返回消息由tag標簽組成。對于由Gazorp生成的Azorult v3.0而言，返回的消息具有以下tag標簽：

configuration_data
Sqlite3_file
zip_functions_file
names_of_softwares_to_steal_credentials_from
tag標簽之間的值會通過Base64解碼。

這個新出現(xiàn)的惡意軟件在線生成服務(wù)再一次給我們展示了惡意軟件即服務(wù)（MaaS）日漸盛行的趨勢。

目前，Gazorp服務(wù)似乎仍處于早期階段，其提供的主要產(chǎn)品也只是基于Azorult 3.0 C＆C面板代碼的增強，但隨著時間的推移，很可能會有新的Azorult變種能夠被生成。此外，鑒于該服務(wù)是完全免費的。因此，基于Gazorp生成的Azorult惡意軟件很可能會在現(xiàn)實攻擊活動中大量出現(xiàn)。

ice

收藏 海報分享