前言：

AZORult是一個強大的信息竊取程序和下載程序，安全研究人員最初在2016年通過Chthonic銀行特洛伊木馬識別出這是次要感染的一部分。后來它參與了許多malspam攻擊。直到一個復雜版本的AZORult間諜軟件在野外被發現，它參與了7月18日的大型電子郵件活動的惡意軟件被研究人員在野外發現了新版本的AZORult間諜軟件，它于7月18日參與了大型電子郵件活動，僅在24小時就出現在黑暗網絡上的網絡犯罪論壇上。攻擊者發送了數千封針對北美的郵件。這些消息使用與就業相關的主題，如“關于角色”和“工作申請”，而惡意附加文檔使用格式為“firstname.surname_resume.doc”的文件名?！癆ZORult惡意軟件憑借其憑證和加密貨幣盜竊的能力，為個人帶來潛在的直接經濟損失，以及行動者在受影響組織中建立灘頭陣地的機會”。

9月17日，安全研究人員在黑暗網站上發現了一個名為“Gazorp”的新在線建設者。Gazorp旨在構建流行惡意軟件Azorult的二進制文件，Azorult是一種用于竊取用戶密碼，信用卡信息，加密貨幣相關數據等的信息用戶。此外，Gazorp服務是免費提供的，威脅行為者可以創建新的Azorult樣本和相應的面板服務器代碼，只需提供他們的命令和控制（C＆C）地址即可。該地址嵌入到新創建的二進制文件中，而后者又可以以威脅行為者認為合適的任何方式進行分發。

根據對構建的惡意軟件的分析表明，Gazorp有效地生成了Azorult 3.0版的樣本，已知該版本在五個月前發布。從那以后，惡意軟件被更新兩次，隨后的版本3.1和3.2被發布并在野外觀察，使得Gazorp構建的版本已經過時。即便如此，過時版本好事具有多種竊取功能，任何參與者都可以利用這些功能來收集受害者信息并濫用它，以及包含對惡意軟件C2面板代碼的多次升級和增強。

Gazorp公布時機

非常有趣的事情是它的發布時間。Gazorp在Dark Web上的出現之前是Azorult面板的代碼泄漏。實際上，這種泄漏允許任何想要主持Azorult C＆C面板的人能夠以適度的低成本完成這項工作。泄漏還包含最新版惡意軟件的構建器，它似乎不是其作者使用的原始版本。相反，它只是編碼并將C＆C地址字符串作為參數提供給用戶，作為現成二進制文件中的特定字段。因此，簡單的機制和最近版本向公眾的整體傳遞有可能激發Gazorp的作者在線介紹它。

區塊鏈安全咨詢公司 曲速未來 提醒：另一點需要注意的是，在線構建器鏈接到Telegram頻道，其中創建者的活動對公眾可見。參與的人可以獲得項目的更新，并提出自己的改進意見。此外，作者鼓勵用戶通過向特定比特幣錢包發放交易來向他們的項目捐款，這似乎是將Gazorp貨幣化的唯一方式（因為它的使用是完全免費的）。作為回報，他們聲稱，用戶將從他們的一方的更多開發和升級中受益。

圖2：Gazorp在黑暗網站上的頁面

上面構建器頁面中的第一段指定了希望使用它的任何用戶需要采取的簡單操作。它轉換為以下內容：

“今天最受歡迎的經銷商之一的自由建設者，Azorult就在這里。它就像2×2一樣簡單：

1.指定竊取者將報告的域。

2.下載包含構建，手冊和面板的存檔。

3.安裝面板，部署構建。

4.工作$$$;

此外，作者試圖將他們引入惡意軟件面板的增強功能描述為他們在此項目中提供的最重要的價值。Azorult的版本3小組也在過去泄露并上傳到Github，為騙子和網絡犯罪分子濫用它提供了機會。

作者指出，對面板的更改包括多個漏洞和錯誤修復，更好的性能，可視化增強功能和各種新功能。實際上，如果為兩個面板區分源代碼樹，就可以看到Gazorp中的主要差異和增加。

圖3：Gazorp和Azorult v3面板之間的代碼樹差異，黑色方塊表示Azorult樹中缺少代碼目錄

實際上，Gazorp的小組看起來遠不如承諾那么誘人。與Azorult v3相比，主要統計頁面看起來相當沉悶，其對應的主要改進是全局堆映射，它按照Azorult面板中無法訪問的方式按國家地區提供統計信息。

圖4：Gazorp的主面板菜單，帶有新的全局統計功能

圖5：Azorult版本3主面板菜單

除了建議的修改之外，未來還有許多承諾的功能。例如，作者合并了一個“模塊”部分，該部分暗示了使用新功能擴展Azorult的能力，但尚未實現。它們還提供更多隨意面板功能，例如配置面板和將各種數據庫導出到文件的功能。這些還沒有提供，預計隨著項目的發展而增加。

圖6：計劃面板功能

使用Azorult v3.0二進制文件

由Gazorp生產的這個版本的Azorult可以通過幾個顯著的特征來識別：

1、每個版本的Azorult都有一個獨特的互斥鎖，惡意軟件在執行開始時會創建該互斥鎖。Azorult v3.0特別創建了一個互斥名稱，它是當前用戶（A-admin，U-user，S-system，G-guest）和字符串“d48qw4d6wq84d56as”的權限的串聯。

圖7：Azorult v3.0和Gazorp互斥鎖以及C2服務器名稱

2、Azorult使用簡單的XOR方法加密與C2服務器的連接，并在文件中使用密鑰硬編碼。每個版本的Azorult都有不同的密鑰。在v3.0的情況下，其0xfe，0x29,0x36。

圖8：Gazorp和Azorult 3.0連接方法和密鑰

3、來自C2服務器的解密返回消息由標簽組成。在3.0版中，返回的消息具有以下標記：

使用Base64解碼標簽之間的值。

圖9：Azorult v3.0和Gazorp通過標簽解釋收到的C2消息

結語：

這個新的shady服務為Web中一些常見惡意軟件的易訪問性提供了一個示例。目前，安全人員正在研究Gazorp服務的早期版本（0.1），其中提供的主要產品是增強的Azorult C＆C面板代碼。希望該項目能夠隨著時間的推移而發展，并可能為Azorult生成新的變體。區塊鏈安全咨詢公司 曲速未來 告誡：鑒于該服務是免費的，Gazorp建立二進制文件的新活動也有可能在野外開始出現更高規模。所以還是要繼續留意，注意它的威脅。