2019年12月,網絡安全公司Proofpoint的研究人員發現了後來被他們命名為“GuLoader”的新型惡意軟件下載器。在當時,GuLoader主要被用於下載Parallax,一種遠程訪問木馬(Remote Access Trojan,RAT)。
雖然是惡意軟件下載器家族中的新成員,但GuLoader很快便得到了廣泛應用,被大量的網絡黑客用於傳播遠程訪問木馬以及信息竊取程序,包括Agent Tesla/Origin Logger、FormBook、NanoCore RAT、Netwire RAT、Remcos RAT和Ave Maria/Warzone RAT等。
技術分析
根據Proofpoint研究人員的說法,GuLoader是一個PE文件(可移植可執行文件),其中涉及到Visual Basic 6打包程序的使用。
GuLoader多被嵌入在.iso或.rar文件中,其主函數包含了一些shellcode(能夠利用軟件漏洞而執行的代碼)。
為了使對它的分析變得困難,GuLoader使用了相對複雜的注入技術,這包括:
- 生成自身的子進程副本(處於掛起狀態);
- 將系統DLL(通常是“msvbvm60.dll”或“mstsc.exe”)的映像映射到位於0x400000的子進程上;
- 將解壓縮後的代碼注入到子進程中;
- 在掛起的子進程的上下文中修改寄存器,以將執行重定向到注入的代碼中;
- 恢復子進程;
- 子進程使用解壓縮後的代碼覆蓋0x400000處的系統DLL映像。
下載的文件由64個十六進制數字組成,後跟一個XOR編碼的PE可執行文件,其中XOR密鑰就存儲在shellcode中。
有效載荷的URI路徑和下載的文件名通常採用“<something>_encrypted_XXXXXX.bin”的形式,其中“XXXXXXX”是十六進制數字。/<something>
下載的有效載荷包含如下內容:
- 64個小寫字母的十六進制數字
- XOR編碼的PE二進制文件
值得注意的是,經加密的有效載荷通常存儲在包括Google Drive和Microsoft OneDrive在內的合法網盤中。換句話來說,惡意軟件是直接從各種合法的雲存儲平臺下載的。
在GuLoader的早期版本中,XOR密鑰固定為96個字節。但在更高版本中,密鑰明顯變長,通常為512-768字節長,這也就導致對它的分析變得更為棘手。
結語
惡意軟件下載器是計算機病毒的一種,雖然它們並不會直接對你的計算機造成損害,但它們卻可以將能夠造成各種損害的病毒下載到你的計算機上。可以說,它們比其他病毒更加值得注意。
藉助Google Drive和Microsoft OneDrive來傳播計算機病毒,GuLoader讓我們再一次看到了合法雲服務如何輕易遭到濫用,如何淪為網絡黑客的“幫兇”。毫無疑問,廣大雲服務提供商們應該有所行動了。
閱讀更多 黑客視界 的文章
