首页科技正文

欧博手机版(www.aLLbetgame.us):Gootkit最新攻击手艺迭代

admin2021-07-1730技术

万利逆熵网

www.ipfs8.vip)是FiLecoin致力服务于使用FiLecoin存储和检索数据的官方权威平台。IPFS网实时更新FiLecoin(FIL)行情、当前FiLecoin(FIL)矿池、FiLecoin(FIL)收益数据、各类FiLecoin(FIL)矿机出售信息。并开放FiLecoin(FIL)交易所、IPFS云矿机、IPFS矿机出售、租用、招商等业务。

,


Gootkit是一款庞大的多阶段银行恶意软件,于2014年被Doctor Web公司(天下著名的反病毒产物息争决方案提供商)首次发现。最初,它是通过Spelevo和RIG等垃圾邮件和破绽工具包流传的。在垃圾邮件流动的配合下,攻击者厥后转向了被熏染的网站,在这些网站上,接见者被诱骗下载恶意软件。

Gootkit 能够从浏览器窃取数据、执行浏览器中央人攻击、键盘纪录、截屏和许多其他恶意操作。它的加载程序执行种种虚拟机和沙箱检查,并使用庞大的持久性算法。 2019 年,Gootkit 在履历数据泄露后住手运营,但自 2020 年 11 月以来再次活跃。

Gootkit 的受害者主要漫衍在德国、意大利等欧友邦家。在本文中,研究职员剖析了最近的 Gootkit 样本。

手艺细节

Gootkit 由一个用 C++ 编写的加载程序组件和用 JS 编写并由 Node.js 注释的主体组成,主体为模块化框架,包罗注册、特工软件、VMX检测等模块。

加载程序

样本 (MD5 97713132e4ea03422d3915bab1c42074) 由自界说的多级打包程序打包,该打包程序逐步解密最终的有用载荷。最后一个阶段是一个 shellcode,它解密原始加载程序可执行文件并将其映射到内存中。映射后,挪用原始入口点。因此,研究职员可以轻松地解压原始可执行文件并对其举行剖析。研究职员使用下表中列出的效果来检测 Gootkit 加载程序。

大多数字符串使用 XOR 加密举行加密,并在运行时解密。没有其他手艺用于使静态剖析庞大化。

字符串解密

然而,为了使动态剖析加倍难题,Gootkit 加载程序接纳了许多差其余方式来检测虚拟环境或调试器。若是任何一个虚拟机检查乐成,加载程序将进入无限循环。

样品名称检查

恶意软件使用的 VM 检测手艺的完整列表:

执行流程

当示例启动时,它会检查下令行参数。下面列出了可用的参数:

处置下令行参数后,示例会检查它是在虚拟机内运行照样正在调试。若是没有,它会解密设置并启动四个线程。

hread 启动例程

Update_from_c2

启动的第一个线程实验从 < CnC host >/rpersist4/< crc > 下载加载程序更新,其中 < CnC host > 是下令和控制服务器地址,< crc > 是前 0x200 字节的 CRC32当前文件的十进制花样。

browser_inj

该线程解密两个嵌入式 MZPE 可执行文件(x64 和 x86 DLL),遍历正在运行的历程并实验使用 。NtCreateSection/NtMapViewOfSection API 将解密的 DLL 注入指定历程的历程内存中。历程名的匹配是通过盘算历程名的CRC32值来完成的。有关支持的浏览器列表,请参阅下表。

注入的代码从主体 Web 注入和流量嗅探例程中挪用,以执行浏览器中的攻击。为此,代码修补认真证书验证的尺度浏览器功效以允许自署名证书。因此,攻击者能够注入自界说 JS 代码并修改或重定向流量。

Persistence_service

若是示例在 LOCAL_SYSTEM 帐户下运行,则 Gootkit 持久性机制会滥用挂起的 GPO Windows 功效。当用户修改 Pending GPO 注册表值时,必须指定以下参数:

count ——待处置 GPO 的数目;

path1, path2, ... – 包罗有关若何加载 GPO 的说明的特殊 .inf 文件的路径;

欧博手机版

欢迎进入欧博手机版(www.aLLbetgame.us),欧博官网是欧博集团的官方网站。欧博官网开放Allbet注册、Allbe代理、Allbet电脑客户端、Allbet手机版下载等业务。

Section1, Section2, ... – INF 文件中的部门名称;

因此 Gootkit 在与示例相同的目录中确立了一个 .inf 文件,并将以下值写入 。Software\Microsoft\IEAK\GroupPolicy\PendingGPOs 注册表项:

count —— 0x1;

path1 —— .inf 文件位置;

Section1——默认安装;

INF 文件内容

现在,explorer.exe 将在加载时加载组战略工具 (GPO)。 Gootkit 为 Internet Explorer 治理工具包 (IEAK) 确立一个挂起的 GPO,它直接指向 INF 文件。在运行时加载 explorer.exe 时,它将执行确立的文件中的 [DefaultInstall],该文件将运行 Gootkit 可执行文件。

若是该示例在另一个帐户下运行,它会使用从 %SystemRoot% 中选择的随机名称确立一个服务,将其自身复制到具有所选名称的 %SystemRoot% 文件夹中,然后将自身从磁盘中删除。

Stop_switch

该线程在 \AppData\Local\Temp 和 \Local Settings\Temp 文件夹中查找名为 uqjckeguhl.tmp 的文件。找到文件后,恶意软件将住手。

主体下载

在从 C&C 下载主体之前,加载程序实验使用以下花样查找注册表项:HKCU\Software\AppDataLow\< pr_string >_< i >,其中 i 是从 0 最先的数字,而pr_string是木马启动时天生的伪随机字符串。天生是基于受害者的PC参数,以是每次天生相同的值为相同的PC。

每个密钥包罗最大 512,000 字节 (500KB) 的加密数据块。若是找到上述密钥,它们的内容将保留在新分配的缓冲区中(用于解密息争压缩)。然后使用用于解密设置的相同函数解密缓冲区,然后解压缩缓冲区。

在解包程序之后,加载程序将从 C&C 下载主体,盘算其 CRC32 并将其与注册表负载 CRC(若是存在)举行对照。若是 CRC 差异,加载程序将执行从 C&C 下载的较新版本。若是没有硬编码到样本中的适当 UserAgent 标头,C&C 服务器将不会发送 DLL 模块。当前的硬编码值为:Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:25.0) Gecko/21006101 Firefox/25.0。

解密函数

主体

主体(MD5 20279d99ee402186d1e3a16d6ab9398a, verdict HEUR:Trojan.Win32.Generic)是一个Node.js注释器,捆绑了加密的JS文件。在启动时,主体使用带有硬编码密钥流的类似 RC4 的算法解密 JavaScript 文件。

有关嵌入式模块的信息存储在具有以下花样的特殊文件结构数组中:BYTE* name_pointer、BYTE* encrypted_data、DWORD data_size、DWORD encr_flag。这些结构在从encrypted_data 最先读取data_size 字节的解密例程中使用。若是设置了 encr_flag,此例程将解密 encrypted_data,并将效果写入名为 *name_pointer 的文件中。解密例程迭代文件信息数组中的所有条目。然后解密执行被转移到 Node.js 注释器。

文件信息数组

该数组包罗 124 个加密文件,包罗 Node.js 系统库和开源包,以及恶意软件模块。新鲜的是,JS 入口点是一个名为 malloc.js 的文件。

Malware.js 初始化全局木马变量,网络保留的 cookie(IE、Firefox、Chromium)并遍历服务器列表以查找可用的 C&C。

当恶意软件找到 C&C 服务器时,它会启动一个无限循环,侦听差其余内部恶意软件事宜(一些例程,如 cookie 网络在木马启动时没有 C&C 请求的情形下最先),并通过特殊花样的数据包将网络到的数据发送到 C&C。恶意软件还会侦听 C&C 下令并对每个下令挪用适当的处置程序。为了与模块通讯,恶意软件使用以下数据包类型:

有六种类型的内部事宜处置程序和响应的数据包花样

事宜处置程序

一样平常的数据包结构如下:

Length + 8 (4 bytes);

Packet magic (0xEDB88320 XOR length+8);

Packet data (差其余包类型,使用protobuf序列化);

Packet magic;

数据包天生样本

卡巴斯基产物将此家族命名为 Trojan-Downloader.Win32.Injecter、HEUR:Trojan.Win32.Generic、Trojan-Downloader.Win32.Gootkit、Trojan-Banker.Win32.Gootkit。

本文翻译自:https://securelist.com/gootkit-the-cautious-trojan/102731/

网友评论

1条评论
  • 2021-07-17 00:02:09

    新2会员手机端

    新2会员手机管理端,新2网址,新2代理网址,新2会员网址,新2备用登录网址,新2手机登录网址,新2代理线路登录网址,新2会员线路登录网址,皇冠最新网址,新2皇冠最新网址,全讯网,全讯网APP,新2网址APP,皇冠网址APP

    祝大家开心哦

最新评论