2019年12月,网络安全公司Proofpoint的研究人员发现了后来被他们命名为“GuLoader”的新型恶意软件下载器。在当时,GuLoader主要被用于下载Parallax,一种远程访问木马(Remote Access Trojan,RAT)。
虽然是恶意软件下载器家族中的新成员,但GuLoader很快便得到了广泛应用,被大量的网络黑客用于传播远程访问木马以及信息窃取程序,包括Agent Tesla/Origin Logger、FormBook、NanoCore RAT、Netwire RAT、Remcos RAT和Ave Maria/Warzone RAT等。
技术分析
根据Proofpoint研究人员的说法,GuLoader是一个PE文件(可移植可执行文件),其中涉及到Visual Basic 6打包程序的使用。
GuLoader多被嵌入在.iso或.rar文件中,其主函数包含了一些shellcode(能够利用软件漏洞而执行的代码)。
为了使对它的分析变得困难,GuLoader使用了相对复杂的注入技术,这包括:
- 生成自身的子进程副本(处于挂起状态);
- 将系统DLL(通常是“msvbvm60.dll”或“mstsc.exe”)的映像映射到位于0x400000的子进程上;
- 将解压缩后的代码注入到子进程中;
- 在挂起的子进程的上下文中修改寄存器,以将执行重定向到注入的代码中;
- 恢复子进程;
- 子进程使用解压缩后的代码覆盖0x400000处的系统DLL映像。
下载的文件由64个十六进制数字组成,后跟一个XOR编码的PE可执行文件,其中XOR密钥就存储在shellcode中。
有效载荷的URI路径和下载的文件名通常采用“<something>_encrypted_XXXXXX.bin”的形式,其中“XXXXXXX”是十六进制数字。/<something>
下载的有效载荷包含如下内容:
- 64个小写字母的十六进制数字
- XOR编码的PE二进制文件
值得注意的是,经加密的有效载荷通常存储在包括Google Drive和Microsoft OneDrive在内的合法网盘中。换句话来说,恶意软件是直接从各种合法的云存储平台下载的。
在GuLoader的早期版本中,XOR密钥固定为96个字节。但在更高版本中,密钥明显变长,通常为512-768字节长,这也就导致对它的分析变得更为棘手。
结语
恶意软件下载器是计算机病毒的一种,虽然它们并不会直接对你的计算机造成损害,但它们却可以将能够造成各种损害的病毒下载到你的计算机上。可以说,它们比其他病毒更加值得注意。
借助Google Drive和Microsoft OneDrive来传播计算机病毒,GuLoader让我们再一次看到了合法云服务如何轻易遭到滥用,如何沦为网络黑客的“帮凶”。毫无疑问,广大云服务提供商们应该有所行动了。
閱讀更多 黑客視界 的文章
