Azorult新变种分析
字数 2106 2025-08-18 11:35:36

Azorult新变种分析与防御指南

一、攻击活动概述

1.1 FindMyName攻击活动背景

  • 传播方式:通过Fallout利用套件传播Azorult恶意软件新变种
  • 命名来源:final利用页面域名为findmyname[.]pw
  • 发现时间:2018年10月20日首次发现,随后3天内发现5个不同URL链

1.2 攻击阶段分析

第一阶段:漏洞利用

  • 利用技术:使用高度混淆的HTML标签(span, h3, p等)隐藏真实利用代码
  • 漏洞利用:CVE-2018-8174 (IE VBScript漏洞)
  • 执行流程
    1. 下载.tmp文件到%Temp%目录
    2. 调用CreateProcess执行tmp文件

第二阶段:恶意软件功能

  • 首次发现:Azorult首次被Fallout利用套件作为主要payload

二、Azorult新变种技术分析

2.1 主要特征

  • 开发环境:Microsoft Visual C++ 7.0编写
  • 反分析技术
    • API洪泛技术绕过反病毒模拟器
    • 控制流平坦化(control flow flattening)混淆技术阻碍逆向分析
  • 进程注入:使用process hollowing技术创建新恶意软件镜像

2.2 核心功能模块

  1. 信息窃取

    • 浏览器凭证、cookie、历史记录和自动填充数据
    • 加密货币钱包(Ethereum, Electrum等)
    • 通信软件(Skype, Telegram)凭证
    • FTP客户端、Email客户端凭证

  2. 系统侦察

    • 安装的程序列表
    • 屏幕截图(保存为scr.jpg)
    • 机器信息(用户名、OS版本、运行进程)
    • 桌面文件收集

  3. 远程控制

    • 根据C2指令执行特定文件
    • 下载并执行任意文件
    • 以系统权限执行恶意代码

  4. 反取证

    • 清除所有释放的文件(%temp%\2fda)
    • 根据C2命令删除文件

2.3 技术实现细节

2.3.1 反分析技术实现

  • 控制流平坦化:通过重构控制流图增加逆向难度(图4)
  • API洪泛:调用大量time-consuming函数使模拟器超时(图5)

2.3.2 Process Hollowing流程

  1. 解密内存中的payload
  2. 创建自身的新挂起进程
  3. 将解密payload注入新进程
  4. 恢复新进程执行(图6)

2.3.3 C2通信机制

  • 通信协议:HTTPS POST请求

  • C2地址:51[.]15[.]196[.]30/1/index.php

  • 数据加密

    • 使用哈希算法编码机器GUID等信息生成唯一ID
    • C2流量混淆处理(图7)

  • 响应格式

    • <n></n>:48个合法DLL列表(用于信息窃取)
    • <d></d>:应用信息(路径、注册表、凭证文件)
    • <c></c>:C2配置(图8)

  • 控制指令

    • +:启用特定功能
    • -:禁用特定功能
    • I:收集主机IP信息
    • L:下载并执行文件

2.3.4 信息窃取实现

  • 浏览器凭证窃取

    1. 下载48个合法DLL到%AppData%\Local\Temp\2fd(图11)
    2. 加载nss3.dll等关键库
    3. 使用SQLite函数窃取数据(图12-13)

  • 加密货币钱包窃取

    • 定位特定钱包文件(如mbhd.wallet.aes)(图14)

  • 应用凭证窃取

    • 针对Telegram:搜索%appdata%\Telegram Desktop\tdata\D877F783D5*.map*(图15)

2.3.5 权限提升技术

  • 系统权限检查
    1. 检查当前SID和token(图19)
    2. 如果是local_system:
      • 调用WTSQueryUserToken
      • 使用CreateProcessAsUser创建系统权限进程(图20)

三、防御与检测建议

3.1 预防措施

  1. 漏洞修复

    • 及时修补CVE-2018-8174等已知漏洞
    • 禁用过时的脚本引擎(VBScript)

  2. 系统加固

    • 限制%Temp%目录可执行权限
    • 监控process hollowing行为

  3. 应用保护

    • 加密存储敏感凭证
    • 使用专用密码管理器而非浏览器内置功能

3.2 检测方法

  1. 行为检测

    • 检测大量合法DLL下载行为
    • 监控异常SQLite数据库访问

  2. 网络检测

    • 拦截对ip-api[.]com/json的请求
    • 监控可疑C2通信模式(图10)

  3. 文件监控

    • 检测%AppData%\Local\Temp\2fd目录创建
    • 监控scr.jpg等截图文件生成

3.3 应急响应

  1. 隔离感染主机

  2. 检查以下项目

    • %Temp%目录中的可疑.tmp文件
    • 异常进程创建记录
    • 近期浏览器凭证访问记录

  3. 取证分析重点

    • 分析内存中的解密payload
    • 检查process hollowing痕迹
    • 恢复被删除的临时文件

四、总结与趋势

  1. 技术演进

    • Azorult从垃圾邮件传播发展为利用套件传播
    • 功能从简单信息窃取扩展为多功能恶意软件

  2. 攻击趋势

    • 针对加密货币钱包的攻击增加
    • 利用合法DLL的白名单绕过技术

  3. 防御重点

    • 加强漏洞管理
    • 实施行为检测而非单纯特征检测
    • 提高对process hollowing等高级注入技术的检测能力
Azorult新变种分析与防御指南 一、攻击活动概述 1.1 FindMyName攻击活动背景 传播方式 :通过Fallout利用套件传播Azorult恶意软件新变种 命名来源 :final利用页面域名为findmyname[ . ]pw 发现时间 :2018年10月20日首次发现,随后3天内发现5个不同URL链 1.2 攻击阶段分析 第一阶段:漏洞利用 利用技术 :使用高度混淆的HTML标签(span, h3, p等)隐藏真实利用代码 漏洞利用 :CVE-2018-8174 (IE VBScript漏洞) 执行流程 : 下载.tmp文件到%Temp%目录 调用CreateProcess执行tmp文件 第二阶段:恶意软件功能 首次发现 :Azorult首次被Fallout利用套件作为主要payload 二、Azorult新变种技术分析 2.1 主要特征 开发环境 :Microsoft Visual C++ 7.0编写 反分析技术 : API洪泛技术绕过反病毒模拟器 控制流平坦化(control flow flattening)混淆技术阻碍逆向分析 进程注入 :使用process hollowing技术创建新恶意软件镜像 2.2 核心功能模块 信息窃取 : 浏览器凭证、cookie、历史记录和自动填充数据 加密货币钱包(Ethereum, Electrum等) 通信软件(Skype, Telegram)凭证 FTP客户端、Email客户端凭证 系统侦察 : 安装的程序列表 屏幕截图(保存为scr.jpg) 机器信息(用户名、OS版本、运行进程) 桌面文件收集 远程控制 : 根据C2指令执行特定文件 下载并执行任意文件 以系统权限执行恶意代码 反取证 : 清除所有释放的文件(%temp%\2fda) 根据C2命令删除文件 2.3 技术实现细节 2.3.1 反分析技术实现 控制流平坦化 :通过重构控制流图增加逆向难度(图4) API洪泛 :调用大量time-consuming函数使模拟器超时(图5) 2.3.2 Process Hollowing流程 解密内存中的payload 创建自身的新挂起进程 将解密payload注入新进程 恢复新进程执行(图6) 2.3.3 C2通信机制 通信协议 :HTTPS POST请求 C2地址 :51[ .]15[ .]196[ . ]30/1/index.php 数据加密 : 使用哈希算法编码机器GUID等信息生成唯一ID C2流量混淆处理(图7) 响应格式 : <n></n> :48个合法DLL列表(用于信息窃取) <d></d> :应用信息(路径、注册表、凭证文件) <c></c> :C2配置(图8) 控制指令 : + :启用特定功能 - :禁用特定功能 I :收集主机IP信息 L :下载并执行文件 2.3.4 信息窃取实现 浏览器凭证窃取 : 下载48个合法DLL到%AppData%\Local\Temp\2fd(图11) 加载nss3.dll等关键库 使用SQLite函数窃取数据(图12-13) 加密货币钱包窃取 : 定位特定钱包文件(如mbhd.wallet.aes)(图14) 应用凭证窃取 : 针对Telegram:搜索%appdata%\Telegram Desktop\tdata\D877F783D5* .map* (图15) 2.3.5 权限提升技术 系统权限检查 : 检查当前SID和token(图19) 如果是local_ system: 调用WTSQueryUserToken 使用CreateProcessAsUser创建系统权限进程(图20) 三、防御与检测建议 3.1 预防措施 漏洞修复 : 及时修补CVE-2018-8174等已知漏洞 禁用过时的脚本引擎(VBScript) 系统加固 : 限制%Temp%目录可执行权限 监控process hollowing行为 应用保护 : 加密存储敏感凭证 使用专用密码管理器而非浏览器内置功能 3.2 检测方法 行为检测 : 检测大量合法DLL下载行为 监控异常SQLite数据库访问 网络检测 : 拦截对ip-api[ . ]com/json的请求 监控可疑C2通信模式(图10) 文件监控 : 检测%AppData%\Local\Temp\2fd目录创建 监控scr.jpg等截图文件生成 3.3 应急响应 隔离感染主机 检查以下项目 : %Temp%目录中的可疑.tmp文件 异常进程创建记录 近期浏览器凭证访问记录 取证分析重点 : 分析内存中的解密payload 检查process hollowing痕迹 恢复被删除的临时文件 四、总结与趋势 技术演进 : Azorult从垃圾邮件传播发展为利用套件传播 功能从简单信息窃取扩展为多功能恶意软件 攻击趋势 : 针对加密货币钱包的攻击增加 利用合法DLL的白名单绕过技术 防御重点 : 加强漏洞管理 实施行为检测而非单纯特征检测 提高对process hollowing等高级注入技术的检测能力