.png.c9b8f3e9eda461da3c0e9ca5ff8c6888.png)
GuLoader和Remcos關係大揭秘(上)
來自VgoStore的GuLoader及其與CloudEyE的關聯研究人員在2023年看到的樣本,是否真的是在2020年發現的與CloudEyE有關的GuLoader嗎?
事實上,GuLoader現在看起來真的不一樣了。該執行不像2020年在GuLoader中那樣涉及VB6應用程序,現在它以VBS腳本或NSIS可執行文件的形式傳播。 2020和2023版本唯一的共同點是GuLoader核心功能:加密shellcode,然而,這一部分也發生了重大變化。正如研究人員在上一篇文章中所描述的,GuLoader的開發人員使用了新的模糊處理技術,這些技術掩蓋了真實的執行流,並使自動反彙編工具和調試器無法分析代碼,新版本還使用算術運算實現了數據模糊處理。
然而,研究人員仍然設法在代碼中找到了相似之處,在下面的屏幕截圖中,您可以看到這兩個版本都使用了反調試技巧:修補DbgUiRemoteBreakIn和DbgBreakPoint函數。儘管由於新版本中的混淆,程序集代碼非常不同,但在2020年和2023年的GuLoader版本中,相同的字節用於覆蓋研究人員在卸載代碼後可以看到的函數的代碼。
2020年和2023年GuLoader版本的代碼相似性
一般來說,關於反分析技術,兩個版本的列表非常相似。很明顯,反分析技術的數量隨著每個新版本的發布而增加。
此外,所有版本的shellcode都使用大型結構來存儲shellcode執行的各個階段可能需要的全局變量,該結構的基址存儲在EBP寄存器中。此結構中各種變量的偏移量在不同版本之間發生了變化,而其他偏移量保持不變。
研究人員最近在2023年分析的樣本(MD5:40b9ca22013d02303d49d8f922ac2739)和2020年的舊樣本(MD5:d621b39ec6294c998580cc21f33b2f46)中得出:
2023年和2020(CloudEyE)的GuLoader的全局結構中API函數指針的相同偏移量
在這兩個樣本中,存儲許多API函數地址的變量的偏移量是相同的。
研究人員還發現了GuLoader的中間版本可供研究人員使用,他們在2021年和2022年確定了這些樣本。讓我們比較一下研究人員從2021年首次看到的樣本中提取的解密例程代碼(MD5:abf39daaa33505f26959db465116f21f)與上一個樣本中的2023 GuLoader樣本中的例程(MD5:40b9ca22013d02303d49d8f922ac2739)。由於混淆,這些函數中的彙編代碼略有不同,然而,如果研究人員使用反編譯器,他們會得到兩個樣本相同的結果。
2021年和2023年的GuLoader版本中相同的反編譯代碼
由於類似的行為和代碼模式,研究人員的惡意軟件自動分類和配置提取工具將這些樣本識別為GuLoader。
2021年、2022年和2023年的樣本被確定為GuLoader
研究人員使用自動分析處理了6000多個GuLoader樣本,這些樣本按首次看到的日期排序,並識別了不同版本的GuLoader,這也使研究人員能夠構建GuLoadershellcode版本的時間表。在下表中,研究人員標記了數據加密和模糊處理算法發生重大變化的版本的字符串,包括用於下載有效負載的URL,以及有效負載解密密鑰:
不同GuLoader shellcode版本出現的時間
該圖表顯示,對於GuLoader shellcode的每個新版本,舊版本的樣本數量都大大減少。以上列出的所有事實使研究人員確信,GuLoader的新版本,包括VgoStore演示的樣本,仍然是研究人員在2020年展示的與CloudEyE和Securitycode.eu相關的惡意軟件。
BreakingSecurity和VgoStore的幕後黑手如上所述,暱稱為“EMINэM”的用戶是BreakinSecurity.net官方Telegram群組的負責人:
“EMINэM”Telegram用戶詳細信息
研究人員可以在“EMINэM”發布的視頻中看到非常具體的製品,其中包括桌面“This PC”和文件夾“EM1NeM”的自定義圖標:
EMINэM的桌面工件
研究人員可以用這些來識別“EMINэM”創建的視頻。
現在讓回到@VgoStore_Group群,在該群的管理員中,可以看到兩個用戶:“EMINэM”(自定義標題為“Trusted Vendor”)和VGO (@VgoStore):
VgoStore Telegram群管理員
VGO和“EMINэM”偽裝成不同的用戶,研究人員甚至可以在這個組中找到他們之間的“對話”:
VGO與“EMINэM”之間的“對話”
然而,如果研究人員仔細觀看用戶VGO發布的視頻,研究人員會注意到用戶“EMINэM”發布的相同的偽裝對象:
“EMINэM”在VGO發布的視頻中的桌面
關於本視頻中“EMINэM”桌面的工件,研究人員注意到一個細節。他們看到用戶通過WinSCP連接到遠程主機,並打開文件夾“/var/www/html/zarath”,研究人員在主機“194.180.48.211”上發現了一個同名的打開目錄,這是研究人員在分析用戶VGO演示TheProtect的VBS變體的視頻時發現的,研究人員將其識別為GuLoader。
基於此,研究人員可以假設BreakingSecurity和VgoStore Telegram群都由同一個人控制,並且他還擁有兩個帳戶:“EMINэM”和VGO。
接下來,研究人員嘗試在Google上搜索“VgoStore”,發現用戶“VgoStore”在“wordpress.org”網站論壇上尋求WordPress插件的幫助。在對話期間,用戶發布了屬於YouTube用戶“EMINe M”(@BreakingSecurity)的兩個未列出的YouTube視頻的鏈接:
“EMINэM”在“wordpress.org”網站論壇上發布的未列出的YouTube視頻
在視頻“2023 01 26 15 18 16”(https://www.youtube.com/watch?v=L8yB_xybTPs)的開頭,研究人員看到了視頻中“EMINэM”的桌面上的熟悉的真人快打壁紙。研究人員還可以看到遠程桌面的IP地址“173.212.217.108”,“EMINэM”通過它訪問虛擬主機面板和電子郵件“abudllah.alshamsy(at)gmail[.]com”:
通過遠程桌面由“EMINэM”管理的服務器的IP地址
在第二個視頻(“2023 01 26 20 02 07”,https://www.youtube.com/watch?v=KHp07C3DgWo)中,研究人員觀察到VgoStore WordPress管理面板,BreakingSecurity和VgoStore的“訂單”選項卡同時打開:
BreakingSecurity和VgoStore的“訂單”選項卡在“EMINэM”的視頻中同時打開
儘管試圖隱瞞與VgoStore的任何直接聯繫,但可以發現“EMINэM”原來是BreakingSecurity和VgoStore網站以及Telegram群的管理員。
EMINэM的身份“EMINэM”在WordPress論壇上發布的一個視頻(“2023 01 26 15 18 16”,https://www.youtube.com/watch?v=L8yB_xybTPs)相當長。 “EMINэM”在不同的窗口之間反复切換,其中一些幀顯示了有助於研究人員調查的敏感數據。
“EMINэM”使用“Rabea Akram”假名通過電子郵件(expert.eminem@gmail[.]com)與網站通信:
“EMINэM” 使用假名管理的相關網站
在10:36處,研究人員可以看到“EMINэM”以“Shadi Gharz Elddin”的名義預訂了航班:
“EMINэM”在航班預訂確認電子郵件中的真實姓名
研究人員很容易就找到了Shadi Gharz的Facebook和Twitter賬戶,他在這些賬戶上公開寫道,他的工作地點是BreakingSecurity:
Shadi Gharz的社交網絡頁面
知道“EMINэM”的真名是Shadi後,就可以假設選擇“EMINэM”這個暱稱的來源很可能是藝術家Eminem的歌曲“the real Slim Shady”。
由“EMINэM”進行的惡意活動除了前面提到的樣本(SHA256:63559daa72c778e9657ca53e2a72deb541cdec3e0d36ecf04d15ddbf3786aea8, c914dab00f2b1d63c50eb217eeb29bcd5fe20b4e61538b0d9d052ff1b746fd73)之外,研究人員發現“EMINэM” 在過去幾年中策劃許多攻擊。
1. 在Eminem於2021年發布的一段視頻https://youtu.be/5xpYjLbDpnE?t=84中,在1:24處,研究人員看到了瀏覽器的歷史記錄:
“EMINэM”的瀏覽器歷史記錄包含Formbook CC服務器的地址
上面的列表包含用於控制木馬和檢索被盜數據的Formbook信息竊取面板的地址。以下是使用給定地址的CC服務器的Formbook樣本列表:
2. 在“EMINэM”發布的不同視頻中,研究人員注意到他通過RDP或SFTP管理的服務器的幾個IP地址。
研究人員能夠下載前面提到的打開目錄“hxxp://194.180.48.211/zarath/”的當前內容:
“194.180.48.211/zarath/”的內容
研究人員發現這個文件夾中的一部分文件是GuLoader加密的shellcode,其餘的是加密的有效負載,其中大多數是Remcos。雖然開發人員可能會聲稱Remcos和GuLoader (CloudEyE, TheProtect)是合法軟件,但研究人員也在這個文件夾中發現了兩個真正的惡意有效負載,研究人員將其識別為Amadey Loader,以及相應的加載和解密這些有效負載的GuLoader shellcode:
3.在2022年4月19日“EMINэM”在@BreakingSecurity_Group群中發布的視頻中,研究人員看到他如何以root用戶(這意味著他是該服務器的所有者)連接到名為“CaliPB”的遠程服務器,IP地址為“38.242.193.23”:
“EMINэM”以root用戶身份使用WinSCP連接到他的服務器
在下一個截圖中,研究人員可以通過web訪問“/var/www/html”文件夾的內容,並註意到一個名為“private”的子文件夾:
“EMINэM”服務器上文件夾' /var/www/html '的內容
不幸的是,無法檢索“私有”文件夾的內容,然而,研究人員仍然能夠使用VirusTotal找到相關的樣本。研究人員分析了之前從主機“38.242.193.23”下載的樣本。其中,研究人員找到了GuLoader和Remcos:
在這個表中,研究人員再次看到之前與“EMINэM”連接的IP地址“194.180.48.211”和“173.212.217.108”,但是現在研究人員看到新的IP地址“185.217.1.137”被用作Remcos的CC服務器。該IP地址屬於提供端口轉發服務的nVPN,可能是“EMINэM”用來隱藏其Remcos CC服務器的真實IP地址。研究人員的假設得到了以下事實的證實,在其中一個視頻中,研究人員在“EMINэM”的郵箱中看到一封來自nVPN的信:
“EMINэM”收到的nVpn.net確認電子郵件
研究人員還發現了一個域名“vrezvrez.com”,該域名在錄製視頻期間被解析為IP地址“38.242.193.23”,另外還發現了5個4.1版本的Formbook樣本,它們的CC服務器URL為“vrezvrez.com/private/”:
因此,證據顯示,Eminem不僅參與了Remcos和GuLoader的攻擊,還使用了Formbook和Amadey Loader等知名惡意軟件。
收入分析研究人員在WordPress論壇上發現的由“EMINэM”上傳的未列出的YouTube視頻“2023 01 26 15 18 16”包含了更多有助於研究人員調查的數據。研究人員在5:41處看到“EMINэM”的Gmail帳戶的收件箱,研究人員注意到了來自tochkaobmena.com服務的郵件。在視頻中可以從電子郵件中恢復鏈接:
https://tochkaobmena.com/hst_FhaMv1rUzBTMfXlgR71vRjafr47K0wQyjuF/
數字貨幣兌換確認包含一個URL
點擊鏈接,就可以找到了包含數字資產交換操作結果的頁面(Perfect Money USD-Tron USDT),其中包含Tron區塊鏈錢包地址:TLqC6F4AVs8MrdiQDgRuFcW2Xp3iY3hg2D,研究人員分析了交易記錄,併計算了該賬戶在過去一年天內收到的近6萬美元收入。
很明顯,BreakingSecurity和VgoStore只有部分資金是通過這個錢包流動的,詳細觀看視頻後,研究人員可以更好地了解VgoStore的收入。在5:06處,我們看到WordPress管理頁麵包含WooCommerce插件的報告:
WordPress管理頁面顯示銷售統計數據
15000美元可被視為VgoStore網站上Remcos和其他服務銷售的月收入估計。
總結Remcos和GuLoader等工具曾經只在黑客論壇上出售,現在卻偽裝成合法產品公開,這種工具現在很容易獲得,在懷有惡意的個人中很受歡迎。
調查結果顯示,一個化名為EMINэM的個人管理著BreakingSecurity和VgoStore網站,這些網站以新名稱TheProtect公開出售Remcos和GuLoader。研究人員還發現了EMINэM參與惡意軟件傳播的證據,包括臭名昭著的Formbook信息竊取程序和Amadey Loader,與此同時,EMINэM利用TheProtect繞過殺毒軟件的能力,將其用於自己的惡意目的。
根據這些發現,很明顯,BreakingSecurity、VgoStore及其產品所宣傳的合法性只不過是煙幕彈,這些服務背後的個人與網絡犯罪社區緊密相連,利用他們的平台為非法活動提供便利,並從銷售充滿惡意軟件的工具中獲利。