Azov впервые привлек внимание сообщества информационной безопасности как полезная нагрузка ботнета SmokeLoader, который часто встречается на сайтах с поддельным пиратским ПО и кряками.
Отличительной чертой Azov от обычных программ-вымогателей является модификация некоторых 64-битных исполняемых файлов для выполнения собственного кода. Модификация исполняемых файлов осуществляется с помощью полиморфного кода, чтобы не быть потенциально блокированной статическими сигнатурами, а также применяется к 64-битным исполняемым файлам, о чем обычный автор вредоносного ПО не стал бы беспокоиться.
Технический анализ: Основные моменты:
- Создан вручную на ассемблере с использованием FASM
- Использование методов анти-анализа и обфускации кода
- Многопоточная периодическая перезапись (зацикливание 666 байт) содержимого исходных данных
- Полиморфный способ распространения 64-битных файлов ".exe" по всей скомпрометированной системе "логическая бомба", настроенная на взрыв в определенное время.
- Отсутствие сетевой активности и утечки данных
- Использование ботнета SmokeLoader и троянских программ для распространения
- Эффективный, быстрый и, к сожалению, невосстановимый уничтожитель данных
Indicators of Compromise
SHA256
- 650f0d694c0928d88aeeed649cf629fc8a7bec604563bca716b1688227e0cc7e
- b102ed1018de0b7faea37ca86f27ba3025c0c70f28417ac3e9ef09d32617f801