在上个月，网络安全公司Check Point的研究人员在暗网发现了一个新的恶意软件在线生成器，名为“Gazorp”。该生成器被设计用来生成近来非常受网络犯罪子欢迎的恶意软件——Azorult，一款能够窃取用户密码、支付卡信息，以及与加密货币交易相关数据等信息的信息窃取程序。 [出自:jiwo.org]

值得注意的是，Gazorp所提供的恶意软件在线生成服务是完全免费的，任何人只需要提供命令和控制（C＆C）服务器地址就可以生成属于自己的Azorult样本。C&C服务器地址会被嵌入到新生成的恶意软件二进制文件中，然后随着恶意软件的传播和感染发挥它的作用（收集信息）。

Gazorp有效地生成了Azorult 3.0

正如文章一开头所提到的那样，由Gazorp生成的恶意软件被Check Point的研究人员证实是信息窃取程序Azorult。研究人员表示，Gazorp有效地生成了Azorult 3.0版本，这是一个在五个月之前发布的版本。在那之后，Azorult至少已经经历过两次更新，因为它的后续版本3.1和3.2已经在现实攻击活动中被捕获。也就是说，由Gazorp构建的Azorult 3.0是一个过时版本。

即便如此，这个过时版本（Azorult 3.0）依旧身具多种窃取功能，任何人都可以利用这些功能来收集并滥用受害者的信息。此外，Gazorp的创建者还对Azorult 3.0的C&C面板代码进行了多次升级和增强，使得它能够被更多的人轻易使用。

Gazorp基于Azorult泄露的源代码

根据研究人员的说法，Gazorp是在Azorult  3.0的面板代码泄露在网络上之后才出现的。实际上，这种泄露允许任何想要掌控Azorult C＆C面板的人，能够以相对较低的成本来完成这项工作。

研究人员还表示，同时被泄露的还包括一个Azorult  3.0的生成器，但它似乎并不是其开发者使用的原始版本。相反，它只是对用户作为参数提供给它的C&C地址字符串进行编码，然后放入一个现成的二进制文件中。

另一点需要注意的是，这个在线生成器还链接到了Telegram频道，用户可以在这里了解到该开发项目的更新，并提出自己的改进意见。此外，Gazorp的创建者还鼓励用户通过向指定的比特币钱包来向他们的项目捐款。他们声称，作为回报，用户将从他们的进一步开发和升级中获取到更多的收益。

暗网上的Gazorp页面

上面这个生成器页面在其内容描述的第一段就告诉用户，Azorult的生成十分简单：

1. 提供用于收集信息的C&C地址；

2. 下载包含恶意软件生成过程的说明、面板安装文件及其使用手册的压缩文件；

3. 安装面板，完成生成恶意软件之前所必须的设置；

4. 开始生成。

此外，Gazorp的创建者还试图强调他们对面板升级和增强，这包括对多个漏洞和错误的修复，以及能够提供更好性能和各种新功能。为了展示Gazorp所提供的Azorult面板和原始Azorult 3.0面板的差异，Check Point的研究人员为我们提供了这两个面板的对比图，如下所示：

Gazorp和Azorult 3.0面板之间的差异，黑色方块代表Azorult 3.0没有的部分

分析由Gazorp生成的Azorult v3.0

Check Point的研究人员表示，由Gazorp生产的Azorult v3.0可以通过以下几个显著的特征来识别：

1、每个Azorult版本都有一个独特的互斥锁，会在恶意软件执行开始之初创建。

由Gazorp生成的Azorult v3.0同样也会创建一个互斥名称，它是当前用户（A-admin、U-user、S-system、G-guest）和字符串“d48qw4d6wq84d56as”的组合。

互斥锁以及C&C服务器名称

2、每个Azorult版本都会使用一个简单的XOR算法来加密它与C&C服务器的连接，而使用的密钥被硬编码在二进制文件中。版本不同，密钥也不同。对于由Gazorp生成的Azorult v3.0而言，它是0xfe、0x29、0x36。

连接方法和密钥

3、来自C&C服务器的解密返回消息由tag标签组成。对于由Gazorp生成的Azorult v3.0而言，返回的消息具有以下tag标签：

<c> configuration_data</c>

<s>Sqlite3_file</s>

<z>zip_functions_file</z>

<d>names_of_softwares_to_steal_credentials_from</d>

tag标签之间的值会通过Base64解码。

通过tag标签解析接收到的C&C消息

总结

Check Point表示，这个新出现的恶意软件在线生成服务再一次给我们展示了恶意软件即服务（Malware-as-a-Service，MaaS）日渐盛行的趋势。

目前，Gazorp服务似乎仍处于早期阶段，其提供的主要产品也只是基于Azorult 3.0 C＆C面板代码的增强，但随着时间的推移，很可能会有新的Azorult变种能够被生成。

此外，鉴于该服务是完全免费的。因此，基于Gazorp生成的Azorult恶意软件很可能会在现实攻击活动中大量出现。