AZORult 网银木马变体分析与防御指南

1. AZORult 木马概述

AZORult 是一种多功能的信息窃取类恶意软件，具有以下特点：

最初作为信息窃取软件出现，现已发展为多层功能的恶意软件
传播途径：
- 通过垃圾邮件传播的恶意宏文档
- 作为 RIG 漏洞利用套件的备用 payload
最新变体利用 CVE-2017-11882 漏洞执行 shellcode

2. 样本分析

2.1 初始感染阶段

诱饵文件特征：

伪装为调查统计表诱导用户打开
利用 Office 组件漏洞 (CVE-2017-11882) 执行 shellcode

攻击流程：

从 http[:]//maontakt.az/chief.exe 下载恶意文件
将下载文件保存至 %APPDATA% 路径下，重命名为 name.exe
使用 ShellExecuteW() API 执行下载的文件

2.2 第一阶段载荷分析 (name.exe)

基本特征：

使用 C# 编写并进行混淆
运行时会产生两个自身的子进程

执行流程：

创建互斥体实现单例运行（创建失败则弹出提示并退出）
加载自身携带的加密 PE 结构数据
解密数据后调用其中函数实施窃密

解密技术：

使用 ZIP 加密方式对 PE 数据进行加密
解密后得到 test.bin (C# 编写的 DLL 文件)

2.3 第二阶段载荷分析 (test.bin)

行为特征：

同样解密并加载另一段 PE 数据到内存
解密后得到 dump.bin

反分析技术：

产生多个相同子进程，短时间内退出
虚拟机检测：
- Virtual Box 平台检测
- VMWare 平台检测
- QEMU 平台检测
沙箱环境检测

持久化技术：

从服务器下载文件保存至 %TEMP%
在 %APPDATA% 下创建自身副本
创建计划任务实现持久化

2.4 第三阶段载荷分析 (dump1.bin)

基本特征：

使用 Delphi 编写
通过创建挂起子进程并写入恶意 PE 数据实现注入

信息收集功能：

获取计算机机器码
获取系统版本信息
获取计算机用户名
拼接信息并暂存用于后续操作

网络行为：

生成唯一互斥体名称并创建
向服务器发起 POST 请求（样本中地址已失效）
尝试连接 70.35.203.53

窃密功能：

浏览器 Cookie 数据
浏览器历史记录
比特币钱包数据
Skype 聊天数据
Steam 凭证
屏幕截图

系统信息收集：

收集信息保存为 system.txt，包括：
- 计算机机器码
- 计算机名
- 用户名
- 系统版本
- 屏幕分辨率
- 进程列表
- 用户权限

清理痕迹：

完成窃密后删除自身存在痕迹

3. 攻击流程总结

诱饵文档利用 CVE-2017-11882 执行 shellcode
shellcode 下载并执行 name.exe
name.exe 解密并加载 test.bin (DLL)
test.bin 解密并加载 dump.bin
dump.bin 创建挂起进程并注入 dump1.bin
dump1.bin 执行最终窃密操作

4. 防御建议

4.1 预防措施

Office 安全更新：
- 及时修补 CVE-2017-11882 等 Office 漏洞
- 禁用 Office 宏执行或设置为仅允许受信任来源的宏
邮件安全：
- 警惕不明来源的邮件附件
- 对邮件附件进行沙箱检测
系统加固：
- 启用应用白名单机制
- 限制 %APPDATA% 和 %TEMP% 目录的可执行权限

4.2 检测措施

行为检测：
- 监控异常的进程创建链（特别是挂起进程注入）
- 检测短时间内创建多个相同子进程的行为
网络检测：
- 监控对可疑域名（如 maontakt.az）的访问
- 检测异常的 POST 请求行为
文件系统检测：
- 监控 %APPDATA% 和 %TEMP% 目录的可执行文件创建
- 检测 system.txt 等系统信息收集文件的创建

4.3 响应措施

隔离与取证：
- 隔离受感染主机
- 收集内存转储和磁盘镜像进行取证
密码重置：
- 重置所有可能泄露的凭证（浏览器保存的密码、比特币钱包等）
系统恢复：
- 检查并清理计划任务
- 全面扫描系统清除残留

5. 技术对抗建议

对抗虚拟机检测：
- 使用定制化虚拟化环境进行分析
- 修改虚拟机特征使其不被识别
对抗反分析：
- 使用硬件调试器而非软件调试器
- 在适当位置设置断点绕过反调试
动态分析技巧：
- 修改系统时间加速等待逻辑
- 模拟网络响应诱使恶意代码继续执行

6. 总结

AZORult 木马通过多层加密和注入技术实现信息窃取，其特点是：

利用漏洞初始感染
多阶段载荷解密执行
全面的反分析技术
广泛的信息收集能力

防御此类威胁需要结合预防、检测和响应措施，特别关注：

漏洞修补
用户安全意识
行为监控
及时的应急响应

AZORult 网银木马变体分析与防御指南 1. AZORult 木马概述 AZORult 是一种多功能的信息窃取类恶意软件，具有以下特点：最初作为信息窃取软件出现，现已发展为多层功能的恶意软件传播途径：通过垃圾邮件传播的恶意宏文档作为 RIG 漏洞利用套件的备用 payload 最新变体利用 CVE-2017-11882 漏洞执行 shellcode 2. 样本分析 2.1 初始感染阶段诱饵文件特征：伪装为调查统计表诱导用户打开利用 Office 组件漏洞 (CVE-2017-11882) 执行 shellcode 攻击流程：从 http[:]//maontakt.az/chief.exe 下载恶意文件将下载文件保存至 %APPDATA% 路径下，重命名为 name.exe 使用 ShellExecuteW() API 执行下载的文件 2.2 第一阶段载荷分析 (name.exe) 基本特征：使用 C# 编写并进行混淆运行时会产生两个自身的子进程执行流程：创建互斥体实现单例运行（创建失败则弹出提示并退出）加载自身携带的加密 PE 结构数据解密数据后调用其中函数实施窃密解密技术：使用 ZIP 加密方式对 PE 数据进行加密解密后得到 test.bin (C# 编写的 DLL 文件) 2.3 第二阶段载荷分析 (test.bin) 行为特征：同样解密并加载另一段 PE 数据到内存解密后得到 dump.bin 反分析技术：产生多个相同子进程，短时间内退出虚拟机检测： Virtual Box 平台检测 VMWare 平台检测 QEMU 平台检测沙箱环境检测持久化技术：从服务器下载文件保存至 %TEMP% 在 %APPDATA% 下创建自身副本创建计划任务实现持久化 2.4 第三阶段载荷分析 (dump1.bin) 基本特征：使用 Delphi 编写通过创建挂起子进程并写入恶意 PE 数据实现注入信息收集功能：获取计算机机器码获取系统版本信息获取计算机用户名拼接信息并暂存用于后续操作网络行为：生成唯一互斥体名称并创建向服务器发起 POST 请求（样本中地址已失效）尝试连接 70.35.203.53 窃密功能：浏览器 Cookie 数据浏览器历史记录比特币钱包数据 Skype 聊天数据 Steam 凭证屏幕截图系统信息收集：收集信息保存为 system.txt，包括：计算机机器码计算机名用户名系统版本屏幕分辨率进程列表用户权限清理痕迹：完成窃密后删除自身存在痕迹 3. 攻击流程总结诱饵文档利用 CVE-2017-11882 执行 shellcode shellcode 下载并执行 name.exe name.exe 解密并加载 test.bin (DLL) test.bin 解密并加载 dump.bin dump.bin 创建挂起进程并注入 dump1.bin dump1.bin 执行最终窃密操作 4. 防御建议 4.1 预防措施 Office 安全更新：及时修补 CVE-2017-11882 等 Office 漏洞禁用 Office 宏执行或设置为仅允许受信任来源的宏邮件安全：警惕不明来源的邮件附件对邮件附件进行沙箱检测系统加固：启用应用白名单机制限制 %APPDATA% 和 %TEMP% 目录的可执行权限 4.2 检测措施行为检测：监控异常的进程创建链（特别是挂起进程注入）检测短时间内创建多个相同子进程的行为网络检测：监控对可疑域名（如 maontakt.az）的访问检测异常的 POST 请求行为文件系统检测：监控 %APPDATA% 和 %TEMP% 目录的可执行文件创建检测 system.txt 等系统信息收集文件的创建 4.3 响应措施隔离与取证：隔离受感染主机收集内存转储和磁盘镜像进行取证密码重置：重置所有可能泄露的凭证（浏览器保存的密码、比特币钱包等）系统恢复：检查并清理计划任务全面扫描系统清除残留 5. 技术对抗建议对抗虚拟机检测：使用定制化虚拟化环境进行分析修改虚拟机特征使其不被识别对抗反分析：使用硬件调试器而非软件调试器在适当位置设置断点绕过反调试动态分析技巧：修改系统时间加速等待逻辑模拟网络响应诱使恶意代码继续执行 6. 总结 AZORult 木马通过多层加密和注入技术实现信息窃取，其特点是：利用漏洞初始感染多阶段载荷解密执行全面的反分析技术广泛的信息收集能力防御此类威胁需要结合预防、检测和响应措施，特别关注：漏洞修补用户安全意识行为监控及时的应急响应