安基网 首页 资讯 安全报 查看内容

把病毒文件存放在网盘上,新型恶意软件下载器GuLoader来袭

2020-3-10 15:24| 投稿: xiaotiger |来自: 互联网


免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

摘要: 2019年12月,网络安全公司Proofpoint的研究人员发现了后来被他们命名为“GuLoader”的新型恶意软件下载器。在当时,GuLoader主要被用于下载Parallax,一种远程访问木马(Remote Access Trojan,RAT)。虽然是恶意软件下载器家族中的新成员,但GuLoader很快便得到了广泛应用,被大量的网络黑客用于传播 ...


2019年12月,网络安全公司Proofpoint的研究人员发现了后来被他们命名为“GuLoader”的新型恶意软件下载器。在当时,GuLoader主要被用于下载Parallax,一种远程访问木马(Remote Access Trojan,RAT)。

虽然是恶意软件下载器家族中的新成员,但GuLoader很快便得到了广泛应用,被大量的网络黑客用于传播远程访问木马以及信息窃取程序,包括Agent Tesla/Origin Logger、FormBook、NanoCore RAT、Netwire RAT、Remcos RAT和Ave Maria/Warzone RAT等。

技术分析

根据Proofpoint研究人员的说法,GuLoader是一个PE文件(可移植可执行文件),其中涉及到Visual Basic 6打包程序的使用。

GuLoader多被嵌入在.iso或.rar文件中,其主函数包含了一些shellcode(能够利用软件漏洞而执行的代码)。

为了使对它的分析变得困难,GuLoader使用了相对复杂的注入技术,这包括:

  1. 生成自身的子进程副本(处于挂起状态);
  2. 将系统DLL(通常是“msvbvm60.dll”或“mstsc.exe”)的映像映射到位于0x400000的子进程上;
  3. 将解压缩后的代码注入到子进程中;
  4. 在挂起的子进程的上下文中修改寄存器,以将执行重定向到注入的代码中;
  5. 恢复子进程;
  6. 子进程使用解压缩后的代码覆盖0x400000处的系统DLL映像。

下载的文件由64个十六进制数字组成,后跟一个XOR编码的PE可执行文件,其中XOR密钥就存储在shellcode中。

有效载荷的URI路径和下载的文件名通常采用“_encrypted_XXXXXX.bin”的形式,其中“XXXXXXX”是十六进制数字。

下载的有效载荷包含如下内容:

  • 64个小写字母的十六进制数字
  • XOR编码的PE二进制文件


值得注意的是,经加密的有效载荷通常存储在包括Google Drive和Microsoft OneDrive在内的合法网盘中。换句话来说,恶意软件是直接从各种合法的云存储平台下载的。

在GuLoader的早期版本中,XOR密钥固定为96个字节。但在更高版本中,密钥明显变长,通常为512-768字节长,这也就导致对它的分析变得更为棘手。

结语

恶意软件下载器是计算机病毒的一种,虽然它们并不会直接对你的计算机造成损害,但它们却可以将能够造成各种损害的病毒下载到你的计算机上。可以说,它们比其他病毒更加值得注意。

借助Google Drive和Microsoft OneDrive来传播计算机病毒,GuLoader让我们再一次看到了合法云服务如何轻易遭到滥用,如何沦为网络黑客的“帮凶”。毫无疑问,广大云服务提供商们应该有所行动了。



小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:https://www.toutiao.com/a6800916173119554051/

免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

 最新
返回顶部