本站专注区块链信息及金融服务,但不代表任何投资建议

曲速未来安全区:网络犯罪分子于广告上哥斯拉加载程序的恶意软件

曲速未来安全区 ·

2018年10月16日

热度: 14628

网络犯罪分子在Dark网络论坛上以500美元的价格宣传Godzilla Loader恶意软件,该恶意软件被定期维护并获得新的更新。


图1.哥斯拉加载器恶意软件

网络犯罪分子在Dark网络论坛上以500美元的价格宣传Godzilla Loader恶意软件,该恶意软件被定期维护并获得新的更新。

哥斯拉的特点?#36864;?#20204;的用途

为了让你有正确的思维方式来考虑哥斯拉与情绪,这是我们自己的下载器,用Python编写:


哥斯拉现代下载器或滴管首先在受害者的机器上运行二进制文件,然后从远程服务器下载?#34892;?#36733;荷。

根据调查得知,与其竞争对手Emotet相比,Godzilla Loader恶意软件的感染率要低得多。

Godzilla加载器广告称其内置UAC?#26376;罰?#29992;户帐户控制(UAC)是一种Microsoft安全工具,可帮助防止恶意软件的入侵。


图3.Godzilla Loader广告的开幕

绕过UAC非安全边界

早期的MS-Windows几乎没有访问控制的方式,并且在Windows Vista中引入了UAC作为解决此问题的权宜之计。您可能熟悉对话框提示,通知您这个或另一个进程“想要对您的计算机进行更改?#20445;?#36825;是“希望拥有管理?#27604;?#38480;”的外行翻译。UAC最初因为不断提示屏幕驱动早期的Vista采用者而臭名昭着,这些提示冻结了整个屏幕的其余部分并从所有其他应用程序?#26143;?#36208;了焦点。

自UAC首次亮相以来,其用户界面已经有了重大改进,但同样不能说它能够阻止恶意行为者。虽然UAC确实为进入恶意软件(例如)关闭AV产品提供了一定的障碍,但通过一些努力,这个障碍被证明是可以克服的。如果您想了解我们的意思,请考虑UACMEgithub存储库,由自称为“软件工程师,恶意软件分析师”的infosec个性化@hFireF0X提供服务;存储库是一个教育展览,目前列出了50多个(!)不同的攻击向量,用于绕过UAC及其相应的实现。UAC作为一个完全强大的安全功能的战斗早已失传。差不多十年前,微软叹了口气,宣称UAC不是安全边界。

正如广告中所提到的,哥斯拉装载机配备了内置的UAC?#26376;?具体来说,就是这里所描述的。此UAC绕过基本上是特权进程eventvwr.exe中的漏洞;由于存在错误,进程在查询注册表以获取Microsoft管理控制台的位置?#34987;?#35775;问错误的注册表项,并且可以修改此错误的注册表项,而不需要任何权限要求。因此,攻击者可以指定他们?#19981;?#30340;任何可执行文件,并且此可执行文件将以管理?#27604;?#38480;运行。


图4.eventvwr.exe的清单,包括自动提升请求

当你所拥有的只是一个IUNKNOWN接口时,一切看起来都像一个COM对象

随着新版本的“哥斯拉?#20445;?#20316;者声称他们已经转换了更多的控制流程,完全?#35272;?#20110;COM接口;通过IPresistFile接口实现持久性,并通过IShellDispatch接口触发本地磁盘上程序的shell执行。


图5.哥斯拉的第一个COM接口请求

它还执行其他功能,例如删除文件备份,这是它成为反勒索软件措施的唯一可能原因,该措施通过从影子文件备份?#25351;?#21407;始文件来运行。

威胁参与者为C&C通信提供了双层故障保护,并使用RSA-2048来验证C&C服务器的身份。

最新版本的恶意软件似乎从去年12月开始开发,最新版本包含传播模块,键盘记录模块和密码窃取模块。

勒索软件管家即服务

另一个引起注意的特性是在受害者?#20302;?#19978;自动删除文件备份卷影副本。对于大多数类型的恶意广告系列,?#26031;?#33021;不会以某种方式产生影响;它存在的唯一可能原因是通过从影子文件备份中?#25351;?#21407;始文件来实现非常具体的反Ransomware措施。

首先,“?#25351;?#38452;影文件”位于反勒索软件攻击的图腾柱上相对较低。最重要的是,绝大多数勒索软件都将内置?#26031;?#33021;;虽然勒索软件作者通常不是出色的加密思想,但他们已经掌握了基础知识,并?#19968;?#30784;已经包括“确保删除影子文件”。只有最低级别的低层勒索软件才能检查此复选框。

结论

区块链安全咨询公司 曲速未来 表示:根据它的存在和采用率,研究人员表示它可能是长尾原理的一个很好的例子。与手机型号和编程语言一样,可以预计恶意下载器的普及将遵循帕累托分布,其中少数演员占据市场的大部分,其余的则由小型利基演员的海洋所占据。这绝对是故事的一部分,但不是全部。


文章声明:本文为火星财经专栏作者作品,不代表火星财经观点,版权归作者所有,如需转载,请提前联系作者或注明出处。

声明:本文为入驻“火星号”作者作品,不代表火星财经官方立场。转载请注明出处、作者和本文链接
提示:投资有风险,入?#34892;?#35880;慎。本资讯不作为投资理财建议。
语音技术由科大讯飞提供
关键字: Dark 网络犯罪分子

推广
相关新闻

涨幅榜

你可能?#34892;?#36259;的内容
下一篇

曲速未来消息:重新开发新技术利用链保持防病毒无声

寻求报道 寻求融资 APP下载
APP下载 扫描下载APP
新疆18选7开奖结果