曲速未來 :網絡犯罪分子于廣告上哥斯拉加載程序的惡意軟件區塊鏈
曲速未來消息:網絡犯罪分子在Dark網絡論壇上以500美元的價格宣傳GodzillaLoader惡意軟件,該惡意軟件被定期維護并獲得新的更新。
圖1.哥斯拉加載器惡意軟件
區塊鏈安全咨詢公司 曲速未來 消息:網絡犯罪分子在Dark網絡論壇上以500美元的價格宣傳Godzilla Loader惡意軟件,該惡意軟件被定期維護并獲得新的更新。
哥斯拉的特點和它們的用途
為了讓你有正確的思維方式來考慮哥斯拉與情緒,這是我們自己的下載器,用Python編寫:
哥斯拉現代下載器或滴管首先在受害者的機器上運行二進制文件,然后從遠程服務器下載有效載荷。
根據調查得知,與其競爭對手Emotet相比,Godzilla Loader惡意軟件的感染率要低得多。
Godzilla加載器廣告稱其內置UAC旁路,用戶帳戶控制(UAC)是一種Microsoft安全工具,可幫助防止惡意軟件的入侵。
圖3.Godzilla Loader廣告的開幕
繞過UAC非安全邊界
早期的MS-Windows幾乎沒有訪問控制的方式,并且在Windows Vista中引入了UAC作為解決此問題的權宜之計。您可能熟悉對話框提示,通知您這個或另一個進程“想要對您的計算機進行更改”,這是“希望擁有管理員權限”的外行翻譯。UAC最初因為不斷提示屏幕驅動早期的Vista采用者而臭名昭著,這些提示凍結了整個屏幕的其余部分并從所有其他應用程序中搶走了焦點。
自UAC首次亮相以來,其用戶界面已經有了重大改進,但同樣不能說它能夠阻止惡意行為者。雖然UAC確實為進入惡意軟件(例如)關閉AV產品提供了一定的障礙,但通過一些努力,這個障礙被證明是可以克服的。如果您想了解我們的意思,請考慮UACMEgithub存儲庫,由自稱為“軟件工程師,惡意軟件分析師”的infosec個性化@hFireF0X提供服務;存儲庫是一個教育展覽,目前列出了50多個(!)不同的攻擊向量,用于繞過UAC及其相應的實現。UAC作為一個完全強大的安全功能的戰斗早已失傳。差不多十年前,微軟嘆了口氣,宣稱UAC不是安全邊界。
正如廣告中所提到的,哥斯拉裝載機配備了內置的UAC旁路-具體來說,就是這里所描述的。此UAC繞過基本上是特權進程eventvwr.exe中的漏洞;由于存在錯誤,進程在查詢注冊表以獲取Microsoft管理控制臺的位置時會訪問錯誤的注冊表項,并且可以修改此錯誤的注冊表項,而不需要任何權限要求。因此,攻擊者可以指定他們喜歡的任何可執行文件,并且此可執行文件將以管理員權限運行。
圖4.eventvwr.exe的清單,包括自動提升請求
當你所擁有的只是一個IUNKNOWN接口時,一切看起來都像一個COM對象
隨著新版本的“哥斯拉”,作者聲稱他們已經轉換了更多的控制流程,完全依賴于COM接口;通過IPresistFile接口實現持久性,并通過IShellDispatch接口觸發本地磁盤上程序的shell執行。
圖5.哥斯拉的第一個COM接口請求
它還執行其他功能,例如刪除文件備份,這是它成為反勒索軟件措施的唯一可能原因,該措施通過從影子文件備份恢復原始文件來運行。
威脅參與者為C&C通信提供了雙層故障保護,并使用RSA-2048來驗證C&C服務器的身份。
最新版本的惡意軟件似乎從去年12月開始開發,最新版本包含傳播模塊,鍵盤記錄模塊和密碼竊取模塊。
勒索軟件管家即服務
另一個引起注意的特性是在受害者系統上自動刪除文件備份卷影副本。對于大多數類型的惡意廣告系列,此功能不會以某種方式產生影響;它存在的唯一可能原因是通過從影子文件備份中恢復原始文件來實現非常具體的反Ransomware措施。
首先,“恢復陰影文件”位于反勒索軟件攻擊的圖騰柱上相對較低。最重要的是,絕大多數勒索軟件都將內置此功能;雖然勒索軟件作者通常不是出色的加密思想,但他們已經掌握了基礎知識,并且基礎已經包括“確保刪除影子文件”。只有最低級別的低層勒索軟件才能檢查此復選框。
結論
區塊鏈安全咨詢公司 曲速未來 表示:根據它的存在和采用率,研究人員表示它可能是長尾原理的一個很好的例子。與手機型號和編程語言一樣,可以預計惡意下載器的普及將遵循帕累托分布,其中少數演員占據市場的大部分,其余的則由小型利基演員的海洋所占據。這絕對是故事的一部分,但不是全部。
1.TMT觀察網遵循行業規范,任何轉載的稿件都會明確標注作者和來源;
2.TMT觀察網的原創文章,請轉載時務必注明文章作者和"來源:TMT觀察網",不尊重原創的行為TMT觀察網或將追究責任;
3.作者投稿可能會經TMT觀察網編輯修改或補充。
