详细内容或原文请订阅后点击阅览

AZORult 恶意软件:技术分析

2024年9月4日 05:49 33 Comments
X Twitter Instagram Mail

编者注:本文由恶意软件逆向工程师和威胁情报分析师 Mostafa ElSheimy 撰写。您可以在 X 和 LinkedIn 上找到 Mostafa。在此恶意软件分析报告中,我们对复杂的凭证和支付卡信息窃取程序 AZORult 进行了深入研究。我们的演练涵盖了恶意软件的演变,包括从 Delphi 到 […] 的转变。文章 AZORult 恶意软件:技术分析首先出现在 ANY.RUN 的网络安全博客上。

来源:ANY.RUN _恶意软件分析
主页 恶意软件分析

Azorult恶意软件:技术分析

编辑注:当前文章由恶意软件逆向工程师和威胁情报分析师Mostafa Elsheimy撰写。您可以在X和LinkedIn上找到Mostafa。

x LinkedIn

在此恶意软件分析报告中,我们对Azorult进行了深入的检查,这是一个复杂的证书和支付卡信息窃取器。

我们的演练涵盖了恶意软件的演变,包括从Delphi到C ++的过渡以及引入.bit域支持。我们将研究Azorult的样本,以发现其行为,逃避技术和操作策略。该分析旨在增强对Azorult功能的理解并为有效的对策提供信息。

概述

Azorult是一款复杂的证书和支付卡信息窃取器,也可以作为各种恶意软件系列的下载器。值得注意的是,版本2引入了对.bit域的支持,并增强了其功能。

窃取器 下载器

Azorult已被观察到与Chthonic一起操作,并由Ramnit部署。该恶意软件最初是在Delphi开发的,于2019年将其移植到C ++,显示出其演变和增加的复杂性。

基本分析

让我们开始对样本的分析。这是其关键细节:

样品哈希90A82DEFE606E51D282626265A4373737130682B738241700782D7E41184775B7FB7创建时间2013-12-12-25 05:01:01:01:38 UTC
样品哈希90A82DEFE606E51D2826265A43737130682B738241700782D7E41184775B7FB7FB7 样本哈希 90A82DEFE606E51D2826265A43737130682B738241700782D7E41188475B7FB7 创建时间2013-12-25 05:01:38 UTC 创建时间 2013-12-25 05:01:38 UTC

必须注意的是,创建时间已由作者编辑。

any.run Sandbox 脚本 隐藏
AZORult 程序 复杂性 示例 创建 规避 技术分析 工程师 引入 对策 C++ 90a82defe606e51d2826265a43737130682b738241700782d7e41188475b7fb7 策略 Mostafa 恶意软件 哈希 ElSheimy 窃取 分析