曲速未来 :网络犯罪分子于广告上哥斯拉加载程序的恶意软件区块链

曲速未来安全区 2018-10-17 15:12
分享到:
导读

曲速未来消息:网络犯罪分子在Dark网络论坛上以500美元的价格宣传GodzillaLoader恶意软件,该恶意软件被定期维护并获得新的更新。

图1.哥斯拉加载器恶意软件

区块链安全咨询公司 曲速未来 消息:网络犯罪分子在Dark网络论坛上以500美元的价格宣传Godzilla Loader恶意软件,该恶意软件被定期维护并获得新的更新。

哥斯拉的特点和它们的用途

为了让你有正确的思维方式来考虑哥斯拉与情绪,这是我们自己的下载器,用Python编写:

哥斯拉现代下载器或滴管首先在受害者的机器上运行二进制文件,然后从远程服务器下载有效载荷。

根据调查得知,与其竞争对手Emotet相比,Godzilla Loader恶意软件的感染率要低得多。

Godzilla加载器广告称其内置UAC旁路,用户帐户控制(UAC)是一种Microsoft安全工具,可帮助防止恶意软件的入侵。

图3.Godzilla Loader广告的开幕

绕过UAC非安全边界

早期的MS-Windows几乎没有访问控制的方式,并且在Windows Vista中引入了UAC作为解决此问题的权宜之计。您可能熟悉对话框提示,通知您这个或另一个进程“想要对您的计算机进行更改”,这是“希望拥有管理员权限”的外行翻译。UAC最初因为不断提示屏幕驱动早期的Vista采用者而臭名昭着,这些提示冻结了整个屏幕的其余部分并从所有其他应用程序中抢走了焦点。

自UAC首次亮相以来,其用户界面已经有了重大改进,但同样不能说它能够阻止恶意行为者。虽然UAC确实为进入恶意软件(例如)关闭AV产品提供了一定的障碍,但通过一些努力,这个障碍被证明是可以克服的。如果您想了解我们的意思,请考虑UACMEgithub存储库,由自称为“软件工程师,恶意软件分析师”的infosec个性化@hFireF0X提供服务;存储库是一个教育展览,目前列出了50多个(!)不同的攻击向量,用于绕过UAC及其相应的实现。UAC作为一个完全强大的安全功能的战斗早已失传。差不多十年前,微软叹了口气,宣称UAC不是安全边界。

正如广告中所提到的,哥斯拉装载机配备了内置的UAC旁路-具体来说,就是这里所描述的。此UAC绕过基本上是特权进程eventvwr.exe中的漏洞;由于存在错误,进程在查询注册表以获取Microsoft管理控制台的位置时会访问错误的注册表项,并且可以修改此错误的注册表项,而不需要任何权限要求。因此,攻击者可以指定他们喜欢的任何可执行文件,并且此可执行文件将以管理员权限运行。

图4.eventvwr.exe的清单,包括自动提升请求

当你所拥有的只是一个IUNKNOWN接口时,一切看起来都像一个COM对象

随着新版本的“哥斯拉”,作者声称他们已经转换了更多的控制流程,完全依赖于COM接口;通过IPresistFile接口实现持久性,并通过IShellDispatch接口触发本地磁盘上程序的shell执行。

图5.哥斯拉的第一个COM接口请求

它还执行其他功能,例如删除文件备份,这是它成为反勒索软件措施的唯一可能原因,该措施通过从影子文件备份恢复原始文件来运行。

威胁参与者为C&C通信提供了双层故障保护,并使用RSA-2048来验证C&C服务器的身份。

最新版本的恶意软件似乎从去年12月开始开发,最新版本包含传播模块,键盘记录模块和密码窃取模块。

勒索软件管家即服务

另一个引起注意的特性是在受害者系统上自动删除文件备份卷影副本。对于大多数类型的恶意广告系列,此功能不会以某种方式产生影响;它存在的唯一可能原因是通过从影子文件备份中恢复原始文件来实现非常具体的反Ransomware措施。

首先,“恢复阴影文件”位于反勒索软件攻击的图腾柱上相对较低。最重要的是,绝大多数勒索软件都将内置此功能;虽然勒索软件作者通常不是出色的加密思想,但他们已经掌握了基础知识,并且基础已经包括“确保删除影子文件”。只有最低级别的低层勒索软件才能检查此复选框。

结论

区块链安全咨询公司 曲速未来 表示:根据它的存在和采用率,研究人员表示它可能是长尾原理的一个很好的例子。与手机型号和编程语言一样,可以预计恶意下载器的普及将遵循帕累托分布,其中少数演员占据市场的大部分,其余的则由小型利基演员的海洋所占据。这绝对是故事的一部分,但不是全部。

UAC 文件 恶意软件 软件 安全
分享到:

1.TMT观察网遵循行业规范,任何转载的稿件都会明确标注作者和来源;
2.TMT观察网的原创文章,请转载时务必注明文章作者和"来源:TMT观察网",不尊重原创的行为TMT观察网或将追究责任;
3.作者投稿可能会经TMT观察网编辑修改或补充。