阅读 43

如何破压缩包密码软件下载?把病毒文件存放在网盘上!

2019年12月,网络安全公司Proofpoint的研究人员发现了后来被他们命名为“GuLoader”的新型恶意软件下载器。在当时,GuLoader主要被用于下载Parallax,一种远程访问木马(Remote Access Trojan,RAT)。

虽然是恶意软件下载器家族中的新成员,但GuLoader很快便得到了广泛应用,被大量的网络黑客用于传播远程访问木马以及信息窃取程序,包括Agent Tesla/Origin Logger、FormBook、NanoCore RAT、Netwire RAT、Remcos RAT和Ave Maria/Warzone RAT等。

技术分析根据Proofpoint研究人员的说法,GuLoader是一个PE文件(可移植可执行文件),其中涉及到Visual Basic 6打包程序的使用。

GuLoader多被嵌入在.iso或.rar文件中,其主函数包含了一些shellcode(能够利用软件漏洞而执行的代码)。

为了使对它的分析变得困难,GuLoader使用了相对复杂的注入技术,这包括:

生成自身的子进程副本(处于挂起状态);将系统DLL(通常是“msvbvm60.dll”或“mstsc.exe”)的映像映射到位于0x400000的子进程上;将解压缩后的代码注入到子进程中;在挂起的子进程的上下文中修改寄存器,以将执行重定向到注入的代码中;恢复子进程;子进程使用解压缩后的代码覆盖0x400000处的系统DLL映像。下载的文件由64个十六进制数字组成,后跟一个XOR编码的PE可执行文件,其中XOR密钥就存储在shellcode中。

有效载荷的URI路径和下载的文件名通常采用“_encrypted_XXXXXX.bin”的形式,其中“XXXXXXX”是十六进制数字。

下载的有效载荷包含如下内容:

64个小写字母的十六进制数字XOR编码的PE二进制文件

值得注意的是,经加密的有效载荷通常存储在包括Google Drive和Microsoft OneDrive在内的合法网盘中。换句话来说,恶意软件是直接从各种合法的云存储平台下载的。

在GuLoader的早期版本中,XOR密钥固定为96个字节。但在更高版本中,密钥明显变长,通常为512-768字节长,这也就导致对它的分析变得更为棘手。

结语恶意软件下载器是计算机病毒的一种,虽然它们并不会直接对你的计算机造成损害,但它们却可以将能够造成各种损害的病毒下载到你的计算机上。可以说,它们比其他病毒更加值得注意。

借助Google Drive和Microsoft OneDrive来传播计算机病毒,GuLoader让我们再一次看到了合法云服务如何轻易遭到滥用,如何沦为网络黑客的“帮凶”。毫无疑问,广大云服务提供商们应该有所行动了。

文章分类
百科问答
版权声明:本站是系统测试站点,无实际运营。本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 XXXXXXo@163.com 举报,一经查实,本站将立刻删除。
相关推荐