文章插图
Check Point Research(CPR)对臭名昭著的Azov勒索软件进行了分析 , 分析表明 , Azov能够修改某些64位可执行文件以执行自己的代码 。在过去的几周里 , CPR在其社交媒体以及Bleeping Computer上分享了对Azov勒索软件的初步调查结果 。接下来 , 我们将介绍Azov勒索软件的内部工作原理及其技术特点 。
文章插图
主要发现
Azov最初是作为SmokeLoader僵尸网络的有效负载而引起注意的 , 该僵尸网络通常存在于假冒盗版软件和破解网站中 。
Azov与普通勒索软件不同的是它对某些64位可执行文件的修改以执行自己的代码 。在现代互联网出现之前 , 这种行为曾经是恶意软件泛滥的必经之路 。可执行文件的修改是使用多态代码来完成的 , 这样就不会被静态签名潜在地破坏 , 并且也适用于64位可执行文件 。
这种对受害者可执行文件的攻击性多态感染导致了大量感染Azov的公开可用文件 。每天都有数百个与Azov相关的新样本提交给VirusTotal , 截至2022年11月 , 该样本已超过17000个 。使用手工制作的查询 , 可以只搜索正确的Azov样本 , 而不使用木马化的二进制文件 。
VirusTotal查询以搜索与Azov相关的样本:
文章插图
VirusTotal查询——Azov相关样本
VirusTotal查询仅搜索正确的Azov样本 , 而不搜索木马化二进制文件:
文章插图
VirusTotal查询——仅原始Azov样本
丰富的样本使我们能够区分Azov的两个不同版本 , 一个更老 , 一个稍新 。这两个版本共享它们的大部分功能 , 但较新版本使用了不同的勒索通知 , 以及销毁文件的不同文件扩展名(.azov) 。
文章插图
新版本的Azov的赎金通知
文章插图
旧版本的Azov的赎金通知
文章插图
技术分析
使用FASM在程序集中手动制作;
使用反分析和代码混淆技术;
原始数据内容的多线程间歇性覆盖(循环666字节);
在受损系统中后门64位“.exe”文件的多态方式;
“逻辑炸弹”设定在特定时间引爆 。下面分析的样本被设置为在UTC时间2022年10月27日上午10:14:30引爆;
没有网络活动 , 没有数据泄露;
利用SmokeLoader僵尸网络和木马程序进行传播;
有效、快速且不幸无法恢复的数据清除器;
研究人员专注于新Azov版本的原始样本(SHA256:650f0d694c0928d88aeeed649cf629fc8a7bec604563bca716b1688227e0cc7e-如上所述 , 与旧版本相比 , 功能上没有重大差异) 。这是一个64位的可移植可执行文件 , 已用FASM(平面汇编程序)组装 , 只有1段.code (r+x) , 并且没有任何导入 。
文章插图
FASM编译器的检测
推荐阅读
- 爆火出圈的chatGPT如何在逆向和恶意软件分析中发挥作用
- 视频驱动软件下载 如何安装视频驱动?
- 为什么手机上的外卖库软件打不开呢 外卖库存同步机器人
- 有哪些软件可以找钱 网上怎么找钱钱
- 同城交友软件 同城好友
- 如何用wps制作公章 公章制作软件哪个好
- 网络传真机软件……有没有比较好用的电子网络传真软件?
- 扫码查价格软件哪个好?怎样扫条形码查价
- 时间同步软件xp—有什么软件同步手机时间,显示,时,分,秒的?
- 用友通财务软件?用友通软件怎么下载呢!需要哪些附件呢?