AzoRult هو برنامج ضار سيئ السمعة لسرقة المعلومات ظهر لأول مرة في عام 2016، ويستهدف بشكل أساسي أنظمة Windows. وهي مصممة لتصفية البيانات الحساسة، بما في ذلك بيانات الاعتماد ومعلومات الدفع وتفاصيل محفظة العملات المشفرة. على مر السنين، تطورت من خلال إصدارات مختلفة، مما عزز قدراتها وأساليب التوزيع.
النتائج الرئيسية
صيغة الملف: ملف قابل للتنفيذ (PE) محمول، تم تجميعه باستخدام C/C ++.
الوظيفة:
يعمل AzorUlt كسارق معلومات وقطارة قادر على تنزيل برامج ضارة إضافية. تشمل وظائفها الأساسية ما يلي:
· سرقة البيانات: يجمع سجل المتصفح وبيانات اعتماد تسجيل الدخول من تطبيقات مختلفة (مثل Discord و Steam) وملفات تعريف الارتباط والمفاتيح الخاصة لمحفظة العملات المشفرة 24.
· اتصالات الأوامر والتحكم (C2): يتم تجميع البيانات المسروقة في ملف ZIP وتشفيرها وإرسالها إلى خادم C2 الخاص بها عبر طلبات HTTP POST
المخاطر المحتملة: تهديد كبير لخصوصية المستخدم وأمانه.
يمكن استخدام هذه المعلومات من قبل متخصصي الأمن والأفراد لاكتشاف التهديدات التي تشكلها Azorult.exe والتخفيف من حدتها.
يوفر هذا التحليل نظرة عامة شاملة على بنية الملف وسلوكه والمخاطر المحتملة.
تحليل ملف مريب: Azorult.exe
التحليل الثابت
كشف تحليل 'azorult.exe' عن الهاش الخاص به، والذي تم تأكيده كبرنامج ضار من قبل 62 بائعًا على VirusTotal. يستخدم تقنيات مكافحة التحليل مثل اكتشاف مصحح الأخطاء ووظائف النوم الممتدة لتجنب الاكتشاف. يطلب ملف المانيفست امتيازات إدارية، مع الإشارة إلى نيته في عمليات النظام الغازية. تشير عمليات استيراد DLL إلى إمكانات في الاتصال بالشبكة ومعالجة الملفات ومراقبة النظام. بالإضافة إلى ذلك، تستخدم البرامج الضارة العديد من واجهات برمجة التطبيقات للاتصال عبر الإنترنت، وجمع معلومات النظام، وفحوصات تصحيح الأخطاء، وتعليق الخيط، وطلبات ICMP، مما يعكس سلوكها المعقد متعدد الوظائف.
الشكل 1: معلومات عن النظام الثنائي
جيل فايل هاش
الشكل 2: تجزئة النظام الثنائي
الشكل 3: النتيجة الإجمالية للفيروسات للهاش
تحليل ملف مانيفست
الشكل 4: ملف مانيفست
ملفات DLL وواجهات برمجة التطبيقات المستخدمة من قبل النظام الثنائي
الشكل 5:ملفات DLL المستخدمة من قبل النظام الثنائي
الشكل 6: وظائف API المستوردة بواسطة النظام الثنائي
التحليل الديناميكي
أظهر البرنامج الضار 'azorult.exe' العديد من السلوكيات الضارة أثناء التحليل. في وضع عدم الاتصال، حاولت تعطيل التحكم في حساب المستخدم (UAC)، بحثًا عن امتيازات إدارية لتعديل الإعدادات. كما قامت بإجراء تغييرات في السجل للوصول الدائم عن بُعد، مما يعرض سلامة النظام للخطر. بمجرد الاتصال بالإنترنت، قامت بإنشاء وحذف الخدمات الأساسية واستخدامها سكربت لتنفيذ البرامج النصية المخفية، بما في ذلك تثبيت برامج ضارة إضافية.
ممر UAC
الشكل 7: تنبيه تجاوز UAC
الشكل 8: تم تعديل مفاتيح التسجيل
الشكل 9:تنبيهات عند تفجير الثنائي
الشكل 10: استخدام Wscript لتشغيل برنامج نصي
الشكل 11: الملفات التي تم تنزيلها في الدليل C:\ProgramData\Windows
نظرة ثاقبة على ملف VBS
الشكل 12: محتوى ملف VBS
الشكل 13: محتوى الملف الدفعي
قام ملف VBS بتنفيذ ملف دفعي مخفي ("install.bat «)، تم استيراد إعدادات التسجيل وإطلاق "rutserv.exe «، والتي، على الرغم من شرعيتها عادةً، تم الاستفادة منها للاستمرار. كشف تحليل الشبكة عن استعلامات DNS للنطاقات الضارة وتفاعلات HTTP مع خادم الأوامر والتحكم، مما يشير إلى جمع بيانات الاعتماد والاتصال بالخادم وترشيح البيانات. كما بدأت تعدين العملات المشفرة باستخدام موارد النظام.
مزيد من مراقبة العمليات
الشكل 14: نشاط ملف rutserv.exe
أنشطة الشبكة
الشكل 15: استعلامات DNS والردود
الشكل 16: طلبات HTTP إلى taskhostw.com
الشكل 17: محتويات طلبات HTTP والاستجابات
الشكل 18: HTTP للحصول على ملف التكوين الذي يقوم بتعدين العملة المشفرة
تم تحديد مزيد من التحقيق «ink.exe» كمسؤولة عن نشاط التعدين. استخدمت البرامج الضارة الحذف الذاتي للكود بعد التنفيذ لتجنب الاكتشاف. برمجة AutoIt تم استخدامه أيضًا للكشف عن ملفات تنفيذية ونصوص إضافية سهلت تثبيت البرامج الضارة والتحكم في النظام والتهرب. توضح هذه السلوكيات استراتيجية هجوم معقدة تستهدف المثابرة والتلاعب بالنظام والتهرب من الاكتشاف.
تحليل الملف التنفيذي الذي تم تنزيله
الشكل 19: هاش ملف ink.exe
الشكل 20: سلاسل من ink.exe
التفجير الثاني
الشكل 21: رسالة خطأ عند تفجيرها للمرة الثانية
التحليل الثنائي التلقائي
الشكل 22: نتيجة تكسير النظام الثنائي الذي تم تجميعه تلقائيًا
الشكل 23: محتويات Clean.bat الشكل 24: محتويات Temp.bat
الشكل 25: محتويات البرنامج النصي. au3
الخاتمة
يكشف تحليل 'azorult.exe' ومكوناته ذات الصلة عن عملية برامج ضارة معقدة للغاية ومتعددة المراحل تركز على الثبات والتحكم في النظام والتهرب. تتضمن العناصر الرئيسية محاولات تعديل إعدادات الأمان عن طريق تعطيل UAC، وإجراء تغييرات في السجل للوصول المستدام عن بُعد، والاستفادة من العمليات المشروعة والخبيثة لإثبات الثبات. إن استخدامه لـ WScript والنصوص المخفية لتنفيذ الحمولات الثانوية، بما في ذلك البرامج الضارة الإضافية مثل "rutserv.exe"، يسلط الضوء أيضًا على تعدد استخداماته.
أنشطة الشبكة، مثل استعلامات DNS واتصالات HTTP مع خوادم الأوامر والتحكم، واستخراج البيانات النشطة للإشارة، وسرقة بيانات الاعتماد، ومراقبة النظام. علاوة على ذلك، تستغل البرامج الضارة موارد النظام لتعدين العملات المشفرة، مع مكونات مثل "ink.exe" المصممة لهذا الغرض. يؤكد استخدام البرمجة النصية لـ AutoIt للتعتيم وتنفيذ المزيد من التعليمات البرمجية الضارة على الطبيعة المعقدة لسلسلة الهجوم الخاصة بها.
من خلال الجمع بين تدابير مكافحة الاكتشاف مثل كود الحذف الذاتي وتقنيات تجنب مصحح الأخطاء مع العمليات على المستوى الإداري، يُظهر 'azorult.exe' سلوكًا متكيفًا ومراوغًا للغاية، مصممًا للحفاظ على الوصول والتحكم على المدى الطويل في الأنظمة المخترقة. هذا المزيج من التخفي والمثابرة واستغلال الموارد يجعله تهديدًا قويًا، خاصة في البيئات التي تكون فيها الدفاعات متعددة الطبقات ضعيفة أو مشوهة.
التوصيات
- عزل الأنظمة المتأثرة: افصل الجهاز المصاب عن الشبكة لمنع المزيد من الانتشار والتواصل مع خوادم الأوامر والتحكم.
- قم بإجراء فحص شامل: استخدم أدوات مكافحة الفيروسات/مكافحة البرامج الضارة ذات السمعة الطيبة لإجراء فحص شامل وإزالة التهديدات المحددة.
- إزالة الملفات الضارة: احذف الملفات المسقطة وأي عناصر ذات صلة تم العثور عليها في C:\ProgramData\Windows و C:\ProgramData\Microsoft\Intel\ والأدلة المشبوهة الأخرى.
- استعادة إعدادات التسجيل: قم بإرجاع أي تغييرات في السجل تم إجراؤها بواسطة البرامج الضارة، خاصة تلك المتعلقة بالوصول عن بُعد والمثابرة.
- خدمات الاستعادة: أعد تثبيت أو إصلاح أي خدمات متأثرة مثل swprv لضمان استقرار النظام.
- فحص تكوينات الشبكة وإصلاحها: تأكد من استعادة تكوينات الشبكة إلى حالتها الأصلية وعدم ترك أي اتصالات شبكة ضارة أو إعدادات DNS.
IOC
الكائن الرئيسي - azorult.exe
· md55df0cf8b8aa7e56884 f71d3720 fb2c6
· شا 10610 صور 911 ساعة 5 د 666 أ 45 ب 41 د 771903170 ص 58 أ 05 أ
· شا256dd396a3f66 ad728660023 cb116235f3cb1c35d679a155b08 ec6a9ccaf966c360
ملف قابل للتنفيذ تم إسقاطه
- C:\Users\admin\AppData\Local\Temp\autAA65.tmp
- C:\Users\admin\AppData\Local\Temp\autC159.tmp
- C:\ProgramData\install\ink.exe: ef3839826 ed36f3a534d1d099665 b909
- C:\ProgramData\Windows\rfusclient.exe
- C:\ProgramData\Windows\rutserv.exe
- C:\ProgramData\Windows\winit.exe
- C:\ProgramData\Windows\vp8encoder.dll
- C:\ProgramData\Windows\vp8decoder.dll
- C:\ProgramData\Microsoft\Intel\P.exe
- C:\ProgramData\Microsoft\Intel\R8.exe
- C:\ProgramData\Microsoft\Intel\winlog.exe
- C:\ProgramData\Microsoft\Intel\taskhost.exe
- C:\ProgramData\RealtekHD\taskhostw.exe
- C:\ProgramData\Microsoft\rootsystem\1.exe
- C:\rdp\Rar.exe
- C:\ProgramData\Microsoft\Intel\winlogon.exe
- C:\rdp\RDPWInst.exe
- C:\Users\admin\AppData\Local\Temp\aut2761.tmp
- C:\Program الملفات\ غلاف RDP\ rdpwrap.dll
- C:\Windows\System32\rfxvmt.dll
طلبات DNS
- iplogger.org
- موقع boglogov.site
- taskhostw.com
- البريد الإلكتروني.freehost.com.ua
- c.pki.goog
- خادم rms-tektonit.ru
- raw.githubusercontent.com
- ip-api.com
روابط
- 109.248.203.81
- 40.126.32.140
- 152.89.218.85
- 185.199.108.133
- 172.67.74.161
- 23.218.210.69
- 224.0.0.251
- 20.12.23.50
- 184.30.21.171
- 20.190.159.23
- 194.0.200.251
- 208.95.112.1
- 95.213.205.83
طلبات HTTP/HTTPS
- http://www.microsoft.com/pkiops/crl/MicSecSerCA2011_2011-10-18.crl
- http://ocsp.digicert.com/MFEwTzBNMEswSTAJBgUrDgMCGgUABBSAUQYBMq2awn1Rh6Doh%2FsBYgFV7gQUA95QNVbRTLtm8KPiGxvDl7I90VUCEAJ0LqoXyo4hxxe7H%2Fz9DKA%3D
- http://ip-api.com/json
- http://www.microsoft.com/pkiops/crl/Microsoft%20ECC%20Product%20Root%20Certificate%20Authority%202018.crl
- http://www.microsoft.com/pkiops/crl/Microsoft%20ECC%20Update%20Secure%20Server%20CA%202.1.crl
- http://ocsp.digicert.com/MFEwTzBNMEswSTAJBgUrDgMCGgUABBQ50otx%2Fh0Ztl%2Bz8SiPI7wEWVxDlQQUTiJUIBiV5uNu5g%2F6%2BrkS7QYXjzkCEAz1vQYrVgL0erhQLCPM8GY%3D
- http://c.pki.goog/r/gsr1.crl
- http://c.pki.goog/r/r4.crl
- http://taskhostw.com/L.html
- http://taskhostw.com/randomink/STATUS.html
- http://taskhostw.com/randomink/loaderTOP.html
- http://taskhostw.com/randomink/Login.html
- http://taskhostw.com/randomink/Password.html
- http://taskhostw.com/randomink/Server.html
.png)
.png)