Gozi的技术DDoS防御迭代史-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!
QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > CC防护 > Gozi的技术DDoS防御迭代史

Gozi的技术DDoS防御迭代史

小墨安全管家 2020-09-29 12:54 CC防护 89 ℃
DDoS防御

该变体仅在2018-2019年期间突击了日本,依照其攻击特点,它与TA544相关。普通而言,Gozi通常是由垃圾邮件(非常是经过Cutwail)传播的,带有附件的办公文件,并使用地理位置来阻挠其目标(通常是日本国内银行的客户)以外的任何请求。垃圾邮件通常会带有Bebloh下载程序,接着下载真正的Gozi。

这种变体的Gozi也许是在ISFB泄露事件几年后首次浮上的。与其他变体相比,它最显著的特性是其C&C签入中的一具功能:大多数其他Gozi版本都模拟对图像的HTTP猎取请求,所以最终会浮上一些/images/的变体,接着是一具冗长且复杂的BASE64 blob,最终会浮上一具.gif或.jpeg文件扩展名。这种混淆关于安全解决方案来讲有些棘手,但并非不会,这大概算是为啥goziat使用一具不同的资源名目而不是“图像”,它能够在恶意软件的构建过程中配置。由于goziat并不担心签入是对图像的合法请求,它也放弃了“图像文件扩展名作为编码请求”的伎俩,这在Dreambot中特别流行,并被很多其他变体复制。相反,它使用简单的action=

8.5 @ CONFIG = @:配置;

1. 字符串以加密形式包含在二进制文件的.bss部分中,解密过程使用“密钥”字符串,它是字符串格式的编译时刻戳记(例如,2019年4月20日)。

4.4 在结果中随机添加歪杠字符(" / ");

尽管有几个不同的攻击活动使用Goziat,但都倾向于使用.at顶级域名,这也是研究人员挑选那个名字的缘由。这与IP地址甚至所使用的子域中的某些重叠一起,共同暗示了在活动操作级别上的一些共性。这些活动往往会在相当长的时刻内停留在相同的域和IP地址上,这并不是最佳的挑选。下表列出了研究人员可以跟踪使用此特定版本Gozi的攻击。

Gozi2RM3 / Gozi IAP2.0

针对日本银行客户的ISFB3恶意软件

3. 一种特定的C&C签入格式,显示在请求标头或正文中。一具典型的示例是soft =%u&version =%u&user =%08x%08x%08x%08x&server =%u&id =%u&crc =%x,虽然所使用的参数及其顺序略有不同。

Goziv3 RM3 WD结构

保存在随机命名的注册表项中的Goziv3 RM3数据

Goziv3 RM3垃圾邮件和附带的恶意文件

Goziat攻击者和Gozi2RM3攻击者之间也许存在联系,这两个变体都增加了另一具加密步骤,从而改变了它们解密有效载荷的方式,恶意服务器的公共RSA密钥进一步用serpent密钥加密,而serpent密钥本身只在运行时组装。其实,这两个变体都以同样的方式改变了他们的流程,而且在这样短的时刻框架内,也许暗示了他们要么是自愿共享代码,要么其中一具团队很警惕地摹仿另一具团队。

· Webstore: vo5vuw5tdkqetax4.onion      , zq4aggr2i6hmklgd.onion

Gozi的技术迭代史

4.3 使用自定义的转义字符“ _”转义非字母数字字符,例如“+”变成了_2B;

8.7 @ SOCKS = @:连接SOCKS服务器;

1. C2签入的新参数,其中值得注意的是knock,它编码了客户机在发出后续请求之间等待的秒数;

此变体使用forfiles.exe来执行Powershell足本,该足本将Shellcode加载到内存中,接着使用APC注入执行该Shellcode。经过在感染链中添加可执行文件forfiles,此变体能够躲避检测机制,这些机制搜索诸如PowerShell和mshta之类的更多已知足本引擎的持久性。

Gozi的技术迭代史

Goziv3 RM3

C&C服务器的顶级域通常是.xyz,同时样本通常使用Verisign签名。实际上,这意味着当受害者运行这些样本时,他们必须在一具较少的对话框上点击“确定”,以警告他们可能他们不应该执行互联网上陌生人交给他们的随机文件。

6.标准信息窃取功能的范围,如键记录、电子邮件、ftp帐户、IM数据和证书抓取,以及屏幕视频捕捉。这些插件还支持可选的dll格式插件,C&C服务器能够经过这些插件指示受感染的计算机在运行时下载并执行。

在本文中,我们就已Gozi为例子,详细介绍一下恶意软件的整个演变周期。

4.2 使用base64编码举行编码;

值得庆幸的是,至少有一具默认的用于C2通信的serpent加密密钥(10291029JSJUYNHG),很多活动从来都不想着举行修改。

名称“ISFB3”是从恶意二进制文件中的显式pdb路径派生而来的-c:\ isfb3 \ x64 \ Release \ client.pdb,然而标题中的数字“3”不是第三次迭代的意思。模拟图像检索GET请求仍然存在,同时没有阻挠该运动研究的突破性功能,一系列细微的技术差异使此变体与其他变种有所不同。

RM3加载器使用一种独特的文件格式,称为“PX格式”,每个dll基本上使用自定义程序加载器加载的。

· Api1: 6buzj3jmnvrak4lh.onion,      g4xp7aanksu6qgci.onion, l35sr5h5jl7xrh2q.onion

4.1 使用内置的对称密钥对签入举行加密(较早的变体使用RC6,较新的变体使用Serpent);

“ISFB”是Gozi派生词的专有名称,因为内部二进制字符串包含对“ISFB项目”的引用。最初将恶意软件称为“Ursnif”的行为与漫恶意软件传统的命名规则有关,这种传统至少能够追溯到1991年的米活泼基罗病毒。这种命名规则并没有啥错,然而关于刚浮上的Gozi的很多外号和误解则引发了混乱。幸运的是,“Rovnix”和“Snifula”的命名法降伍了,但“Ursnif”的命名规则却被连续了下来。

8.6 @ VIDEO = @:视频,以便受害者访咨询感兴趣的页面后举行录制;

此变体利用保留在WD结构之一中的单词列表来伪随机生成注册表项名称,这使得经过注册表项IOC来检测此变体比往常的变体更加艰难。

能够看出,大多数更改也许都集中在删除功能,使恶意软件更简单以及恢复到更类似于第二个Gozi变体。

首先让分析师感到惊奇的大概是通信想法的调整,尽管C&C签入的混淆方案与Gozi变体中全局使用的相同,但在那个变体中,它被放在请求对象中,而不是URI中(它变成了“index.htm”)。此外,一般签入的格式略有不同:

4. 不使用PX格式;

4. 用于混淆C&C签入的精心设计的方案。尤其是在变体中,这实际上是一具常数,我们在任何地点都没有对其举行任何调整。混淆操作如下:

用于定位的系统UI语言检查

Gozi的技术DDoS谨防迭代史

至少从2017年夏季开始,这种变体就开始流行了。来自ISFB的很多代码仍然存在,但也有特别多不同之处。此变体与第二波Gozi之间存在一些明显的技术差异:

Gozi2RM3 C&C Web面板

伪造的图像请求及其含义,在Dreambot和其他一些变体中被使用

8.3 @ RANDSTR @:随机字符串;

下面我们列出了大多数Gozi共有的一些特征:

3. 混淆加密的C2签入时,不大概穿插随机歪线;

8.2 @ GROUP @:组ID(机器人的组ID);

当第二波Gozi浮上特别长一段时刻后,一些攻击者又开辟了新的版本,即Goziv3(RM3加载器),ISFB3和Gozi2RM3(IAP 2.0)。这些都对恶意软件的混淆机制,操纵流和C&C通信方案举行了自个儿的调整。尤其是,签名的二进制文件,HTTPS通信和2时期的客户端注册过程。

遗留在Firefox Send上的恶意文件

8.8 @ VNC = @:连接VNC;


DDoS防御

当前位置:主页 > CC防护 > Gozi的技术DDoS防御迭代史

标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119