GuLoader和Remcos关系大揭秘（下）

　　GuLoader 和 Remcos 关系大揭秘（上）

　　来自 VgoStore 的 GuLoader 及其与 CloudEyE 的关联

　　研究人员在 2023 年看到的样本，是否真的是在 2020 年发现的与 CloudEyE 有关的 GuLoader 吗？

　　事实上，GuLoader 现在看起来真的不一样了。该执行不像 2020 年在 GuLoader 中那样涉及 VB6 应用程序，现在它以 VBS 脚本或 NSIS 可执行文件的形式传播。2020 和 2023 版本唯一的共同点是 GuLoader 核心功能：加密 shellcode，然而，这一部分也发生了重大变化。正如研究人员在上一篇文章中所描述的，GuLoader 的开发人员使用了新的模糊处理技术，这些技术掩盖了真实的执行流，并使自动反汇编工具和调试器无法分析代码，新版本还使用算术运算实现了数据模糊处理。

　　然而，研究人员仍然设法在代码中找到了相似之处，在下面的屏幕截图中，您可以看到这两个版本都使用了反调试技巧：修补 DbgUiRemoteBreakIn 和 DbgBreakPoint 函数。尽管由于新版本中的混淆，程序集代码非常不同，但在 2020 年和 2023 年的 GuLoader 版本中，相同的字节用于覆盖研究人员在卸载代码后可以看到的函数的代码。

　　2020 年和 2023 年 GuLoader 版本的代码相似性

　　一般来说，关于反分析技术，两个版本的列表非常相似。很明显，反分析技术的数量随着每个新版本的发布而增加。

　　此外，所有版本的 shellcode 都使用大型结构来存储 shellcode 执行的各个阶段可能需要的全局变量，该结构的基址存储在 EBP 寄存器中。此结构中各种变量的偏移量在不同版本之间发生了变化，而其他偏移量保持不变。

　　研究人员最近在 2023 年分析的样本（MD5:40b9ca22013d02303d49d8f922ac2739）和 2020 年的旧样本（MD5:d621b39ec6294c998580cc21f33b2f46）中得出：

　　2023 年和 2020 ? ( CloudEyE ) 的 GuLoader 的全局结构中 API 函数指针的相同偏移量

　　在这两个样本中，存储许多 API 函数地址的变量的偏移量是相同的。

　　研究人员还发现了 GuLoader 的中间版本可供研究人员使用，他们在 2021 年和 2022 年确定了这些样本。让我们比较一下研究人员从 2021 年首次看到的样本中提取的解密例程代码（MD5:abf39daaa33505f26959db465116f21f）与上一个样本中的 2023 GuLoader 样本中的例程 ( MD5：? 40b9ca22013d02303d49d8f922ac2739 ) 。由于混淆，这些函数中的汇编代码略有不同，然而，如果研究人员使用反编译器，他们会得到两个样本相同的结果。

　　2021 年和 2023 年的 GuLoader 版本中相同的反编译代码

　　由于类似的行为和代码模式，研究人员的恶意软件自动分类和配置提取工具将这些样本识别为 GuLoader。

　　2021 年、2022 年和 2023 年的样本被确定为 GuLoader

　　研究人员使用自动分析处理了 6000 多个 GuLoader 样本，这些样本按首次看到的日期排序，并识别了不同版本的 GuLoader，这也使研究人员能够构建 GuLoadershellcode 版本的时间表。在下表中，研究人员标记了数据加密和模糊处理算法发生重大变化的版本的字符串，包括用于下载有效负载的 URL，以及有效负载解密密钥：

　　不同 GuLoader shellcode 版本出现的时间

　　该图表显示，对于 GuLoader shellcode 的每个新版本，旧版本的样本数量都大大减少。以上列出的所有事实使研究人员确信，GuLoader 的新版本，包括 VgoStore 演示的样本，仍然是研究人员在 2020 年展示的与 CloudEyE 和 Securitycode.eu 相关的恶意软件。

　　BreakingSecurity 和 VgoStore 的幕后黑手

　　如上所述，昵称为 "EMIN э M" 的用户是 BreakinSecurity.net 官方 Telegram 群组的负责人：

　　"EMIN э M" ?? Telegram 用户详细信息

　　研究人员可以在 "EMIN э M" ? 发布的视频中看到非常具体的制品，其中包括桌面 "This PC" 和文件夹 "EM1NeM" 的自定义图标：

　　EMIN э M 的桌面工件

　　研究人员可以用这些来识别 "EMIN э M" ? 创建的视频。

　　现在让回到 @VgoStore_Group 群，在该群的管理员中，可以看到两个用户："EMIN э M" ? ( 自定义标题为 "Trusted Vendor" ) 和 VGO ( @VgoStore ) ：

　　VgoStore Telegram 群管理员

　　VGO 和 "EMIN э M" ? 伪装成不同的用户，研究人员甚至可以在这个组中找到他们之间的 " 对话 "：

　　VGO 与 "EMIN э M" ? 之间的 " 对话 "

　　然而，如果研究人员仔细观看用户 VGO 发布的视频，研究人员会注意到用户 "EMIN э M" ? 发布的相同的伪装对象：

　　"EMIN э M" ? 在 VGO 发布的视频中的桌面

　　关于本视频中 "EMIN э M" ? 桌面的工件，研究人员注意到一个细节。他们看到用户通过 WinSCP 连接到远程主机，并打开文件夹 "/var/www/html/zarath"，研究人员在主机 "194.180.48.211" 上发现了一个同名的打开目录，这是研究人员在分析用户 VGO 演示 TheProtect 的 VBS 变体的视频时发现的，研究人员将其识别为 GuLoader。

　　基于此，研究人员可以假设 BreakingSecurity 和 VgoStore Telegram 群都由同一个人控制，并且他还拥有两个帐户：? "EMIN э M" ? 和 VGO。

　　接下来，研究人员尝试在 Google 上搜索 "VgoStore"，发现用户 "VgoStore" 在 "wordpress.org" 网站论坛上寻求 WordPress 插件的帮助。在对话期间，用户发布了属于 YouTube 用户 "EMINe M" ( @BreakingSecurity ) 的两个未列出的 YouTube 视频的链接：

　　"EMIN э M" ? 在 "wordpress.org" 网站论坛上发布的未列出的 YouTube 视频

　　在视频 "2023 01 26 15 18 16" ( https：//www.youtube.com/watch?v=L8yB_xybTPs ) 的开头，研究人员看到了视频中 "EMIN э M" ? 的桌面上的熟悉的真人快打壁纸。研究人员还可以看到远程桌面的 IP 地址 "173.212.217.108"，"EMIN э M" ? 通过它访问虚拟主机面板和电子邮件 "abudllah.alshamsy ( at ) gmail [ . ] com"：

　　通过远程桌面由 "EMIN э M" ? 管理的服务器的 IP 地址

　　在第二个视频 ( "2023 01 26 20 02 07"，https：//www.youtube.com/watch?v=KHp07C3DgWo ) 中，研究人员观察到 VgoStore WordPress 管理面板，BreakingSecurity 和 VgoStore 的 " 订单 " 选项卡同时打开：

　　BreakingSecurity 和 VgoStore 的 " 订单 " 选项卡在 "EMIN э M" ? 的视频中同时打开

　　尽管试图隐瞒与 VgoStore 的任何直接联系，但可以发现 "EMIN э M" ? 原来是 BreakingSecurity 和 VgoStore 网站以及 Telegram 群的管理员。

　　EMIN э M 的身份

　　"EMIN э M" ? 在 WordPress 论坛上发布的一个视频 ( "2023 01 26 15 18 16"，https：//www.youtube.com/watch?v=L8yB_xybTPs ) 相当长。"EMIN э M" ? 在不同的窗口之间反复切换，其中一些帧显示了有助于研究人员调查的敏感数据。

　　"EMIN э M" ? 使用 "Rabea Akram" 假名通过电子邮件 ( expert.eminem@gmail [ . ] com ) 与网站通信：

　　"EMIN э M" 使用假名管理的相关网站

　　在 10：36 处，研究人员可以看到 "EMIN э M" ? 以 "Shadi Gharz Elddin" 的名义预订了航班：

　　"EMIN э M" ? 在航班预订确认电子邮件中的真实姓名

　　研究人员很容易就找到了 Shadi Gharz 的 Facebook 和 Twitter 账户，他在这些账户上公开写道，他的工作地点是 BreakingSecurity：

　　Shadi Gharz 的社交网络页面

　　知道 "EMIN э M" ? 的真名是 Shadi 后，就可以假设选择 "EMIN э M" 这个昵称的来源很可能是艺术家 Eminem 的歌曲 "the real Slim Shady"。

　　由 "EMIN э M" ? 进行的恶意活动

　　除了前面提到的样本 ( SHA256：? 63559daa72c778e9657ca53e2a72deb541cdec3e0d36ecf04d15ddbf3786aea8, c914dab00f2b1d63c50eb217eeb29bcd5fe20b4e61538b0d9d052ff1b746fd73 ) 之外，研究人员发现 "EMIN э M" 在过去几年中策划许多攻击。

　　1. 在 Eminem 于 2021 年发布的一段视频 https：//youtu.be/5xpYjLbDpnE?t=84 中，在 1：24 处，研究人员看到了浏览器的历史记录：

　　"EMIN э M" ? 的浏览器历史记录包含 Formbook C&C 服务器的地址

　　上面的列表包含用于控制木马和检索被盗数据的 Formbook 信息窃取面板的地址。以下是使用给定地址的 C&C 服务器的 Formbook 样本列表：

　　2. 在 "EMIN э M" ? 发布的不同视频中，研究人员注意到他通过 RDP 或 SFTP 管理的服务器的几个 IP 地址。

　　研究人员能够下载前面提到的打开目录 "hxxp：//194.180.48.211/zarath/" 的当前内容：

　　"194.180.48.211/zarath/" 的内容

　　研究人员发现这个文件夹中的一部分文件是 GuLoader 加密的 shellcode，其余的是加密的有效负载，其中大多数是 Remcos。虽然开发人员可能会声称 Remcos 和 GuLoader ( CloudEyE, TheProtect ) 是合法软件，但研究人员也在这个文件夹中发现了两个真正的恶意有效负载，研究人员将其识别为 Amadey Loader，以及相应的加载和解密这些有效负载的 GuLoader shellcode：

　　3. 在 2022 年 4 月 19 日 "EMIN э M" ? 在 @BreakingSecurity_Group 群中发布的视频中，研究人员看到他如何以 root 用户 ( 这意味着他是该服务器的所有者 ) 连接到名为 "CaliPB" 的远程服务器，IP 地址为 "38.242.193.23"：

　　"EMIN э M" ? 以 root 用户身份使用 WinSCP 连接到他的服务器

　　在下一个截图中，研究人员可以通过 web 访问 "/var/www/html" 文件夹的内容，并注意到一个名为 "private" 的子文件夹：

　　"EMIN э M" ? 服务器上文件夹 " /var/www/html " 的内容

　　不幸的是，无法检索 " 私有 " 文件夹的内容，然而，研究人员仍然能够使用 VirusTotal 找到相关的样本。研究人员分析了之前从主机 "38.242.193.23" 下载的样本。其中，研究人员找到了 GuLoader 和 Remcos：

　　在这个表中，研究人员再次看到之前与 "EMIN э M" ? 连接的 IP 地址 "194.180.48.211" 和 "173.212.217.108"，但是现在研究人员看到新的 IP 地址 "185.217.1.137" 被用作 Remcos 的 C&C 服务器。该 IP 地址属于提供端口转发服务的 nVPN，可能是 "EMIN э M" ? 用来隐藏其 Remcos C&C 服务器的真实 IP 地址。研究人员的假设得到了以下事实的证实，在其中一个视频中，研究人员在 "EMIN э M" ? 的邮箱中看到一封来自 nVPN 的信：

　　"EMIN э M" ? 收到的 nVpn.net 确认电子邮件

　　研究人员还发现了一个域名 "vrezvrez.com"，该域名在录制视频期间被解析为 IP 地址 "38.242.193.23"，另外还发现了 5 个 4.1 版本的 Formbook 样本，它们的 C&C 服务器 URL 为 "vrezvrez.com/private/"：

　　因此，证据显示，Eminem 不仅参与了 Remcos 和 GuLoader 的攻击，还使用了 Formbook 和 Amadey Loader 等知名恶意软件。

　　收入分析

　　研究人员在 WordPress 论坛上发现的由 "EMIN э M" ? 上传的未列出的 YouTube 视频 "2023 01 26 15 18 16" 包含了更多有助于研究人员调查的数据。研究人员在 5：41 处看到 "EMIN э M" ? 的 Gmail 帐户的收件箱，研究人员注意到了来自 tochkaobmena.com 服务的邮件。在视频中可以从电子邮件中恢复链接：

　　https：//tochkaobmena.com/hst_FhaMv1rUzBTMfXlgR71vRjafr47K0wQyjuF/

　　数字货币兑换确认包含一个 URL

　　点击链接，就可以找到了包含数字资产交换操作结果的页面（Perfect Money USD->Tron USDT），其中包含 Tron 区块链钱包地址：TLqC6F4AVs8MrdiQDgRuFcW2Xp3iY3hg2D，研究人员分析了交易记录，并计算了该账户在过去一年天内收到的近 6 万美元收入。

　　很明显，BreakingSecurity 和 VgoStore 只有部分资金是通过这个钱包流动的，详细观看视频后，研究人员可以更好地了解 VgoStore 的收入。在 5:06 处，我们看到 WordPress 管理页面包含 WooCommerce 插件的报告：

　　WordPress 管理页面显示销售统计数据

　　15000 美元可被视为 VgoStore 网站上 Remcos 和其他服务销售的月收入估计。

　　总结

　　Remcos 和 GuLoader 等工具曾经只在黑客论坛上出售，现在却伪装成合法产品公开，这种工具现在很容易获得，在怀有恶意的个人中很受欢迎。

　　调查结果显示，一个化名为 EMIN э M 的个人管理着 BreakingSecurity 和 VgoStore 网站，这些网站以新名称 TheProtect 公开出售 Remcos 和 GuLoader。研究人员还发现了 EMIN э M 参与恶意软件传播的证据，包括臭名昭著的 Formbook 信息窃取程序和 Amadey Loader，与此同时，EMIN э M 利用 TheProtect 绕过杀毒软件的能力，将其用于自己的恶意目的。

　　根据这些发现，很明显，BreakingSecurity、VgoStore 及其产品所宣传的合法性只不过是烟幕弹，这些服务背后的个人与网络犯罪社区紧密相连，利用他们的平台为非法活动提供便利，并从销售充满恶意软件的工具中获利。