Tìm hiểu Trojan AZORult – Công cụ “thả” ransomware Aurora

Bởi

110

Menu bài viết

1 Phân tích Dropper
- - - 1.0.0.1 ĐỌC THÊM : Tìm hiểu về mã độc gián điệp FlawedAmmyy P1
  - 1.0.1 Như bạn có thể thấy trong hình dưới, hàm CreateFileA được dùng để tạo file trước khi tiến trình vận hành .

Vào cuối tháng 7 năm 2018 , các chuyên gia đã tìm thấy một version mới của Trojan AZORult được sử dụng trong những chiến dịch tấn công có chủ đích vào các hệ thống máy tính toàn cầu . Trong bài viết này, chúng ta sẽ đi sâu vào mã độc này và phân tích luồng thực thi và payload của nó .

Vector lây nhiễm ban đầu là một email giả được gửi cùng với file mã độc đính kèm. Sau khi tải xuống, mã độc chính sẽ được thực thi .

Trong version này , mã độc được gửi chứa 2 payload . Chúng được nhúng vào bộ main binary và được bỏ vào ổ đĩa và thực thi . Payload đầu tiên được thực thi là thông tin đánh cắp bao gồm accounts ,trình duyệt và thông tin xác thực đã được lưu ….Payload thứ 2 chính là Ransomware Aurora.

Mục tiêu chính của bài viết này là để phân tích mã độc từ một điểm phản hồi sự cố / mối đe dọa trung lập.

Phân tích Dropper

Chúng ta sẽ bắt đầu việc phân tích bằng việc xem xét các main binary (chắc dịch là hệ nhị phân chính ) , các bộ binary này xâm nhập vào cùng với bộ nhúng các payload . Để hủy lưu trữ tệp nhị phân , chúng ta dùng chương trình 7-Zip như hình dưới .

Như bạn đã thấy , chúng ta có thể kết xuất những dữ liệu đã lưu trữ vào 1 folder . Vào thư mục đó , sau khi bung nén , ta thấy hai mục con và bạn có thể tìm folders đã được giải nén .

Vào thư mục $1

Bây giờ chúng ta tiếp tục vào folder 1337 và tìm những payload đã được nhúng vào .

Thay vì lấy payload trực tiếp , chúng ta dựa theo các tiến trình thực thi của mã độc và nhìn nhận cách chúng sử dụng những payload được nhúng vào thế nào .

Hãy bắt đầu bằng việc xem xét dropper chính . Khi thực thi, chúng load 1 số module mà bạn có thể xem ở hình dưới .

Bây giờ chúng ta hãy xem xét một vài module “thú vị” và những hàm của chúng ,những hàm mà được gọi trong con malware. Như đã trình bày ở trên , mã độc đã “thả từ từ” 2 payload của nó . Đầu tiên là file AU3_EXE-2018-07-18_23-01.exe .

ĐỌC THÊM : Tìm hiểu về mã độc gián điệp FlawedAmmyy P1

Như bạn có thể thấy trong hình dưới, hàm CreateFileA được dùng để tạo file trước khi tiến trình vận hành .

TIẾN TRÌNH BÂY GIỜ BẮT ĐẦU HOẠT ĐỘNG .

Bước tiếp theo , mã độc này chuyển tiếp đến payload thứ 2 . Chúng dựa theo 1 luồng chung để tạo và vận hành payload thứ 2 .

Nó gọi trên hàm CreateProcess :

Tiếp đến , nó gọi hàm CreatProcessInternal , chúng sẽ cho chạy process .

Payload thứ 2 hoạt động thành công.

Bây giờ chúng ta có thể biết được cách main binary load và thực thi những payload này .Trong bài viết tiếp theo ,chúng ta sẽ đi vào các payload và phân tích chúng cụ thể hơn.