Gootkit木马:使用AZORult工具揭开隐藏的链接
字数 1712 2025-08-06 08:35:35

Gootkit木马与AZORult工具关联分析及防御指南

1. 攻击概述

近期意大利组织遭受了一场大规模网络攻击,攻击者伪造Express Courier合法通信进行攻击。分析发现Gootkit木马与AZORult信息窃取工具之间存在隐藏关联。

2. 攻击链分析

2.1 初始感染阶段

攻击载体

  • 带有恶意附件的钓鱼邮件
  • 附件中包含含有隐秘JavaScript代码的压缩存档

规避技术

  • 使用压缩存档绕过防病毒检测
  • JavaScript代码经过混淆处理

2.2 第一阶段Payload

下载机制

  • 联系两个C2服务器:
    • googodsgld[.]com
    • driverconnectsearch[.]info

功能特点

  • 下载并执行远程可执行代码
  • 与Brushaloader攻击模式相似

Payload提取

  1. 从driverconnectsearch[.]info获取Cabinet Archive(CAB)格式数据
  2. 存储在%APPDATA%\Local\Temp\目录
  3. 文件头标识"MSCF"(Microsoft Cabinet格式)

2.3 第二阶段Payload

执行流程

  1. 解压执行RuntimeBroker5.exe
  2. 从hairpd[.]com下载两个组件:
    • stella.exe
    • sputik.exe

AZORult关联证据

  • 与AZORult C2服务器ssl[.]admin[.]itybuy[.]it建立通信
  • 行为模式与Unit42研究的AZORult分析匹配
  • 配置文件包含浏览器数据窃取路径

3. 恶意软件技术细节

3.1 AZORult变种分析

数据窃取目标

  • 浏览器相关:
    • Firefox/Chrome/Edge等多款浏览器
    • 获取cookies、表单历史、登录凭证等
  • 加密货币钱包:
    • Electrum、Ethereum、Exodus等
    • 针对wallet.dat等关键文件

配置文件示例

firefox.exe
SOFTWARE\Wow6432Node\Mozilla\Mozilla Firefox
%appdata%\Mozilla\Firefox\Profiles\
MozillaFireFoxCurrentVersionInstall_Directory
nss3.dll
...
SELECT host, path, isSecure, expiry, name, value FROM moz_cookies
SELECT fieldname, value FROM moz_formhistory
...

3.2 Gootkit木马分析

下载来源

  • hairpd[.]com/stat/sputik.exe

反检测技术

  • 调用UuidCreateSequential API检测虚拟机MAC地址
  • 使用NodeJS技术编写模块

代码特征

  • 与泄露的Gootkit源代码高度相似
  • 修改了私钥和证书,增强安全性

4. 防御措施

4.1 检测指标(IOCs)

C2服务器

  • ssl[.]admin[.]itybuy[.]it (AZORult)
  • avant-garde[.]host (Gootkit)
  • kinzhal[.]online (Gootkit)

恶意文件哈希

  • RuntimeBroker5.exe: 2274174ed24425f41362aa207168b491e6fb55cab208116070f91c049946097a
  • stella.exe: 6f51bf05c9fa30f3c7b6b581d4bbf0194d1725120b242972ca95c6ecc7eb79bc
  • sputik.exe: a75b318eb2ae6678fd15f252d6b33919203262eb59e08ac32928f8bad54ca612

4.2 YARA检测规则

Gootkit检测规则

rule Gootkit_11_02_2019 {
    meta:
        description = "Yara Rule for Gootkit"
        author = "Cybaze Zlab_Yoroi"
        last_updated = "2019_02_11"
        tlp = "white"
        category = "informational"
    strings:
        $a = {4D 5A}
        $b1 = {2D EE 9D 00 04 29 76 EC 00 00 F9}
        $c1 = {E6 C5 1F 2A 04 5A C8}
        $d1 = "LoadCursorW"
        $b2 = {75 0E E8 84 8D FF FF 83 CF FF C7}
        $c2 = {B9 C7 25 E7 00 5A 00 00 BA}
        $d2 = "GetCurrentPosition"
    condition:
        $a and (($b1 and $c1 and $d1) or ($b2 and $c2 and $d2))
}

AZORult检测规则

rule Azorult_11_02_2019 {
    meta:
        description = "Yara Rule for Azorult"
        author = "Cybaze Zlab_Yoroi"
        last_updated = "2019_02_11"
        tlp = "white"
        category = "informational"
    strings:
        $a = "MZ"
        $b = {44 00 02 00 00 00 6A 04 58 6B C0 00 8B 0D}
        $c = {00 00 8B 45 0C 8B 55 F8 39 50 0C 74 10 68}
        $d = {41 00 FF D6 8B D8 89 5D D4 85 DB 74 74 FF 35}
    condition:
        all of them
}

4.3 防护建议

  1. 邮件安全

    • 警惕带有压缩附件的邮件,特别是声称来自快递公司
    • 禁用Office宏执行,除非绝对必要

  2. 终端防护

    • 监控%APPDATA%\Local\Temp\目录的可疑文件创建
    • 阻止对已知恶意域名的访问

  3. 数据保护

    • 对敏感浏览器数据实施额外保护
    • 加密货币钱包使用硬件钱包或冷存储

  4. 安全意识

    • 培训员工识别钓鱼邮件
    • 建立可疑邮件报告机制

5. 总结

此次攻击展示了网络犯罪技术的演变趋势:

  1. 使用高级语言(JavaScript)编写恶意代码
  2. 多阶段攻击链增加检测难度
  3. 恶意软件家族间的协作与资源共享
  4. 针对浏览器和加密货币的针对性窃取

防御此类攻击需要结合技术控制与用户教育,建立多层防御体系。

Gootkit木马与AZORult工具关联分析及防御指南 1. 攻击概述 近期意大利组织遭受了一场大规模网络攻击,攻击者伪造Express Courier合法通信进行攻击。分析发现Gootkit木马与AZORult信息窃取工具之间存在隐藏关联。 2. 攻击链分析 2.1 初始感染阶段 攻击载体 : 带有恶意附件的钓鱼邮件 附件中包含含有隐秘JavaScript代码的压缩存档 规避技术 : 使用压缩存档绕过防病毒检测 JavaScript代码经过混淆处理 2.2 第一阶段Payload 下载机制 : 联系两个C2服务器: googodsgld[ . ]com driverconnectsearch[ . ]info 功能特点 : 下载并执行远程可执行代码 与Brushaloader攻击模式相似 Payload提取 : 从driverconnectsearch[ . ]info获取Cabinet Archive(CAB)格式数据 存储在 %APPDATA%\Local\Temp\ 目录 文件头标识"MSCF"(Microsoft Cabinet格式) 2.3 第二阶段Payload 执行流程 : 解压执行RuntimeBroker5.exe 从hairpd[ . ]com下载两个组件: stella.exe sputik.exe AZORult关联证据 : 与AZORult C2服务器ssl[ .]admin[ .]itybuy[ . ]it建立通信 行为模式与Unit42研究的AZORult分析匹配 配置文件包含浏览器数据窃取路径 3. 恶意软件技术细节 3.1 AZORult变种分析 数据窃取目标 : 浏览器相关: Firefox/Chrome/Edge等多款浏览器 获取cookies、表单历史、登录凭证等 加密货币钱包: Electrum、Ethereum、Exodus等 针对wallet.dat等关键文件 配置文件示例 : 3.2 Gootkit木马分析 下载来源 : hairpd[ . ]com/stat/sputik.exe 反检测技术 : 调用UuidCreateSequential API检测虚拟机MAC地址 使用NodeJS技术编写模块 代码特征 : 与泄露的Gootkit源代码高度相似 修改了私钥和证书,增强安全性 4. 防御措施 4.1 检测指标(IOCs) C2服务器 : ssl[ .]admin[ .]itybuy[ . ]it (AZORult) avant-garde[ . ]host (Gootkit) kinzhal[ . ]online (Gootkit) 恶意文件哈希 : RuntimeBroker5.exe: 2274174ed24425f41362aa207168b491e6fb55cab208116070f91c049946097a stella.exe: 6f51bf05c9fa30f3c7b6b581d4bbf0194d1725120b242972ca95c6ecc7eb79bc sputik.exe: a75b318eb2ae6678fd15f252d6b33919203262eb59e08ac32928f8bad54ca612 4.2 YARA检测规则 Gootkit检测规则 : AZORult检测规则 : 4.3 防护建议 邮件安全 : 警惕带有压缩附件的邮件,特别是声称来自快递公司 禁用Office宏执行,除非绝对必要 终端防护 : 监控 %APPDATA%\Local\Temp\ 目录的可疑文件创建 阻止对已知恶意域名的访问 数据保护 : 对敏感浏览器数据实施额外保护 加密货币钱包使用硬件钱包或冷存储 安全意识 : 培训员工识别钓鱼邮件 建立可疑邮件报告机制 5. 总结 此次攻击展示了网络犯罪技术的演变趋势: 使用高级语言(JavaScript)编写恶意代码 多阶段攻击链增加检测难度 恶意软件家族间的协作与资源共享 针对浏览器和加密货币的针对性窃取 防御此类攻击需要结合技术控制与用户教育,建立多层防御体系。