<dl id="wqg5j"></dl>

    1. <menuitem id="wqg5j"></menuitem>

      <dl id="wqg5j"><font id="wqg5j"></font></dl>
    2. <dl id="wqg5j"><ins id="wqg5j"></ins></dl>
    3. <dl id="wqg5j"><ins id="wqg5j"><thead id="wqg5j"></thead></ins></dl>
      <li id="wqg5j"><ins id="wqg5j"></ins></li>
      安基網 首頁 資訊 安全報 查看內容

      惡意軟件生成器“Gazorp”現身暗網,可生成信息竊取程序Azorult

      2018-10-8 13:19| 投稿: xiaotiger |來自: 互聯網


      免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!

      摘要: 在上個月,網絡安全公司Check Point的研究人員在暗網發現了一個新的惡意軟件在線生成器,名為“Gazorp”。該生成器被設計用來生成近來非常受網絡犯罪子歡迎的惡意軟件——Azorult,一款能夠竊取用戶密碼、支付卡信息 ...

      在上個月,網絡安全公司Check Point的研究人員在暗網發現了一個新的惡意軟件在線生成器,名為“Gazorp”。該生成器被設計用來生成近來非常受網絡犯罪子歡迎的惡意軟件——Azorult,一款能夠竊取用戶密碼、支付卡信息,以及與加密貨幣交易相關數據等信息的信息竊取程序。

      值得注意的是,Gazorp所提供的惡意軟件在線生成服務是完全免費的,任何人只需要提供命令和控制(C&C)服務器地址就可以生成屬于自己的Azorult樣本。C&C服務器地址會被嵌入到新生成的惡意軟件二進制文件中,然后隨著惡意軟件的傳播和感染發揮它的作用(收集信息)。

      Gazorp有效地生成了Azorult 3.0

      正如文章一開頭所提到的那樣,由Gazorp生成的惡意軟件被Check Point的研究人員證實是信息竊取程序Azorult。研究人員表示,Gazorp有效地生成了Azorult 3.0版本,這是一個在五個月之前發布的版本。在那之后,Azorult至少已經經歷過兩次更新,因為它的后續版本3.1和3.2已經在現實攻擊活動中被捕獲。也就是說,由Gazorp構建的Azorult 3.0是一個過時版本。

      即便如此,這個過時版本(Azorult 3.0)依舊身具多種竊取功能,任何人都可以利用這些功能來收集并濫用受害者的信息。此外,Gazorp的創建者還對Azorult 3.0的C&C面板代碼進行了多次升級和增強,使得它能夠被更多的人輕易使用。

      Gazorp基于Azorult泄露的源代碼

      根據研究人員的說法,Gazorp是在Azorult 3.0的面板代碼泄露在網絡上之后才出現的。實際上,這種泄露允許任何想要掌控Azorult C&C面板的人,能夠以相對較低的成本來完成這項工作。

      研究人員還表示,同時被泄露的還包括一個Azorult 3.0的生成器,但它似乎并不是其開發者使用的原始版本。相反,它只是對用戶作為參數提供給它的C&C地址字符串進行編碼,然后放入一個現成的二進制文件中。

      另一點需要注意的是,這個在線生成器還鏈接到了Telegram頻道,用戶可以在這里了解到該開發項目的更新,并提出自己的改進意見。此外,Gazorp的創建者還鼓勵用戶通過向指定的比特幣錢包來向他們的項目捐款。他們聲稱,作為回報,用戶將從他們的進一步開發和升級中獲取到更多的收益。

      暗網上的Gazorp頁面

      上面這個生成器頁面在其內容描述的第一段就告訴用戶,Azorult的生成十分簡單:

      1. 提供用于收集信息的C&C地址;

      2. 下載包含惡意軟件生成過程的說明、面板安裝文件及其使用手冊的壓縮文件;

      3. 安裝面板,完成生成惡意軟件之前所必須的設置;

      4. 開始生成。

      此外,Gazorp的創建者還試圖強調他們對面板升級和增強,這包括對多個漏洞和錯誤的修復,以及能夠提供更好性能和各種新功能。為了展示Gazorp所提供的Azorult面板和原始Azorult 3.0面板的差異,Check Point的研究人員為我們提供了這兩個面板的對比圖,如下所示:

      Gazorp和Azorult 3.0面板之間的差異,黑色方塊代表Azorult 3.0沒有的部分

      分析由Gazorp生成的Azorult v3.0

      Check Point的研究人員表示,由Gazorp生產的Azorult v3.0可以通過以下幾個顯著的特征來識別:

      1、每個Azorult版本都有一個獨特的互斥鎖,會在惡意軟件執行開始之初創建。

      由Gazorp生成的Azorult v3.0同樣也會創建一個互斥名稱,它是當前用戶(A-admin、U-user、S-system、G-guest)和字符串“d48qw4d6wq84d56as”的組合。

      互斥鎖以及C&C服務器名稱

      2、每個Azorult版本都會使用一個簡單的XOR算法來加密它與C&C服務器的連接,而使用的密鑰被硬編碼在二進制文件中。版本不同,密鑰也不同。對于由Gazorp生成的Azorult v3.0而言,它是0xfe、0x29、0x36。

      連接方法和密鑰

      3、來自C&C服務器的解密返回消息由tag標簽組成。對于由Gazorp生成的Azorult v3.0而言,返回的消息具有以下tag標簽:

      configuration_data

      Sqlite3_file

      zip_functions_file

      names_of_softwares_to_steal_credentials_from

      tag標簽之間的值會通過Base64解碼。

      通過tag標簽解析接收到的C&C消息

      總結

      Check Point表示,這個新出現的惡意軟件在線生成服務再一次給我們展示了惡意軟件即服務(Malware-as-a-Service,MaaS)日漸盛行的趨勢。

      目前,Gazorp服務似乎仍處于早期階段,其提供的主要產品也只是基于Azorult 3.0 C&C面板代碼的增強,但隨著時間的推移,很可能會有新的Azorult變種能夠被生成。

      此外,鑒于該服務是完全免費的。因此,基于Gazorp生成的Azorult惡意軟件很可能會在現實攻擊活動中大量出現。

      本文由 黑客視界 綜合網絡整理,圖片源自網絡;轉載請注明“轉自黑客視界”,并附上鏈接。


      Tag標簽:

      小編推薦:欲學習電腦技術、系統維護、網絡管理、編程開發和安全攻防等高端IT技術,請 點擊這里 注冊賬號,公開課頻道價值萬元IT培訓教程免費學,讓您少走彎路、事半功倍,好工作升職加薪!

      本文出自:https://www.toutiao.com/i6609792921178735112/

      免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!


      鮮花

      握手

      雷人

      路過

      雞蛋

      相關閱讀

      最新評論

       最新
      返回頂部
      玄机图
      <dl id="wqg5j"></dl>

        1. <menuitem id="wqg5j"></menuitem>

          <dl id="wqg5j"><font id="wqg5j"></font></dl>
        2. <dl id="wqg5j"><ins id="wqg5j"></ins></dl>
        3. <dl id="wqg5j"><ins id="wqg5j"><thead id="wqg5j"></thead></ins></dl>
          <li id="wqg5j"><ins id="wqg5j"></ins></li>
          <dl id="wqg5j"></dl>

            1. <menuitem id="wqg5j"></menuitem>

              <dl id="wqg5j"><font id="wqg5j"></font></dl>
            2. <dl id="wqg5j"><ins id="wqg5j"></ins></dl>
            3. <dl id="wqg5j"><ins id="wqg5j"><thead id="wqg5j"></thead></ins></dl>
              <li id="wqg5j"><ins id="wqg5j"></ins></li>