Tìm hiểu Trojan AZORult – Công cụ “thả” ransomware Aurora

Vào cuối tháng 7 năm 2018 , các chuyên gia đã tìm thấy một version mới của Trojan AZORult được sử dụng trong những chiến dịch tấn công có chủ đích vào các hệ thống máy tính toàn cầu . Trong bài viết này, chúng ta sẽ đi sâu vào mã độc này và phân tích luồng thực thi và payload của nó .

Vector lây nhiễm ban đầu là một email giả được gửi cùng với file mã độc đính kèm. Sau khi tải xuống, mã độc chính sẽ được thực thi .

Trong version này , mã độc được gửi chứa 2 payload . Chúng được nhúng vào bộ main binary và được bỏ vào ổ đĩa và thực thi . Payload đầu tiên được thực thi là thông tin đánh cắp bao gồm accounts ,trình duyệt và thông tin xác thực đã được lưu ….Payload thứ 2 chính là Ransomware Aurora.

Mục tiêu chính của bài viết này là để phân tích mã độc từ một điểm phản hồi sự cố /  mối đe dọa trung lập.

Phân tích Dropper

Chúng ta sẽ bắt đầu việc phân tích bằng việc xem xét các main binary (chắc dịch là hệ nhị phân chính ) , các bộ binary này xâm nhập vào cùng với bộ nhúng các payload . Để hủy lưu trữ tệp nhị phân , chúng ta dùng chương trình 7-Zip như hình dưới .

Trích xuất Tìm hiểu Trojan AZORult – Công cụ “thả” ransomware Aurora

Như bạn đã thấy , chúng ta có thể kết xuất những dữ liệu đã lưu trữ vào 1 folder . Vào thư mục đó , sau khi bung nén , ta thấy hai mục con và bạn có thể tìm folders đã được giải nén .

Đã trích xuất Tìm hiểu Trojan AZORult – Công cụ “thả” ransomware Aurora

Vào thư mục $1

ThÆ° mục $ 1 Tìm hiểu Trojan AZORult – Công cụ “thả” ransomware Aurora

 

Bây giờ chúng ta tiếp tục vào folder 1337 và tìm những payload đã được nhúng vào .

Tải trọng tải lên Tìm hiểu Trojan AZORult – Công cụ “thả” ransomware Aurora

Thay vì lấy payload trực tiếp , chúng ta dựa theo các tiến trình thực thi của mã độc và nhìn nhận cách chúng sử dụng những payload được nhúng vào thế nào .

Hãy bắt đầu bằng việc xem xét dropper chính . Khi thực thi, chúng load 1 số module mà bạn có thể xem ở hình dưới .

Danh sách đầy đủ tất cả các mô-đun được tải khi thá»±c thi Tìm hiểu Trojan AZORult – Công cụ “thả” ransomware Aurora

Bây giờ chúng ta hãy xem xét một vài module “thú vị” và những hàm của chúng ,những hàm mà được gọi trong con malware. Như đã trình bày ở trên , mã độc đã “thả từ từ”  2 payload của nó . Đầu tiên là file AU3_EXE-2018-07-18_23-01.exe .

ĐỌC THÊMTìm hiểu về mã độc gián điệp FlawedAmmyy P1
Như bạn có thể thấy trong hình dưới, hàm CreateFileA được dùng để tạo file trước khi tiến trình vận hành .

CreateFileA Tìm hiểu Trojan AZORult – Công cụ “thả” ransomware Aurora

Tạo ra quy trình Tìm hiểu Trojan AZORult – Công cụ “thả” ransomware Aurora

Quy trình khởi chạy Tìm hiểu Trojan AZORult – Công cụ “thả” ransomware Aurora

TIẾN TRÌNH BÂY GIỜ BẮT ĐẦU HOẠT ĐỘNG .

Đã khởi chạy quy trình Tìm hiểu Trojan AZORult – Công cụ “thả” ransomware Aurora

Bước tiếp theo , mã độc này chuyển tiếp đến payload thứ 2 . Chúng dựa theo 1 luồng chung để tạo và vận hành payload thứ 2 .

Nó gọi trên hàm CreateProcess :

Tạo ra quy trình Tìm hiểu Trojan AZORult – Công cụ “thả” ransomware Aurora

Tiếp đến , nó gọi hàm CreatProcessInternal , chúng sẽ cho chạy process .

CreateProcessInternal Tìm hiểu Trojan AZORult – Công cụ “thả” ransomware Aurora

Payload thứ 2 hoạt động thành công.

Tải trọng thứ hai Tìm hiểu Trojan AZORult – Công cụ “thả” ransomware Aurora

Bây giờ chúng ta có thể biết được cách main binary load và thực thi những payload này .Trong bài viết tiếp theo ,chúng ta sẽ đi vào các payload và phân tích chúng cụ thể hơn.

BÌNH LUẬN

Please enter your comment!
Please enter your name here