In onlangse jare verdring mobiele Trojane Trojane aktief vir persoonlike rekenaars, so die opkoms van nuwe kwaadwillige programme vir die goeie ou "motors" en die aktiewe gebruik daarvan deur kubermisdadigers, hoewel 'n onaangename gebeurtenis, is steeds 'n gebeurtenis. Onlangs het CERT Group-IB se XNUMX/XNUMX inligtingsekuriteitsvoorvalreaksiesentrum 'n ongewone uitvissing-e-pos opgespoor wat 'n nuwe wanware vir rekenaars versteek het wat die funksies van Keylogger en PasswordStealer kombineer. Ontleders se aandag is gevestig op hoe die spyware op die gebruiker se masjien gekom het – met behulp van 'n gewilde stemboodskapper. Ilya Pomerantsev, 'n kenner in die ontleding van kwaadwillige kode CERT Group-IB, het vertel hoe die wanware werk, hoekom dit gevaarlik is, en selfs die skepper daarvan gevind - in die verre Irak.
So, kom ons gaan in volgorde. Onder die dekmantel van 'n aanhangsel het so 'n brief 'n prent bevat, wanneer daarop geklik word, waarop die gebruiker by die webwerf kom cdn.discordapp.com, en 'n kwaadwillige lêer is van daar afgelaai.
Die gebruik van Discord, 'n gratis stem- en teksboodskapper, is redelik buite die boks. Gewoonlik word ander boodskappers of sosiale netwerke vir hierdie doeleindes gebruik.
Tydens 'n meer gedetailleerde ontleding is 'n familie wanware geïdentifiseer. Dit blyk 'n nuweling in die wanwaremark te wees - 404 Keylogger.
Die eerste aankondiging oor die verkoop van 'n keylogger is op geplaas hackforums gebruiker onder die bynaam "404 Coder" op 8 Augustus.
Die winkel se domein is redelik onlangs geregistreer - 7 September 2019.
Volgens die ontwikkelaars op die webwerf 404projekte[.]xyz, 404 is 'n instrument wat geskep is om maatskappye te help om te leer oor die optrede van hul kliënte (met hul toestemming) of vir diegene wat hul binêre teen omgekeerde ingenieurswese wil beskerm. As ons vorentoe kyk, kom ons sê dit met die laaste taak 404 werk beslis nie.
Ons het besluit om een van die lêers op te los en te kyk wat "BESTE SMART KEYLOGGER" is.
HPE ekosisteem
Loader 1 (AtillaCrypter)
Die oorspronklike lêer is beskerm met EaxObfuscator en voer twee-fase laai uit AtProtect van die hulpbronne afdeling. Tydens die ontleding van ander monsters wat op VirusTotal gevind is, het dit duidelik geword dat hierdie stadium nie deur die ontwikkelaar self in die vooruitsig gestel is nie, maar deur sy kliënt bygevoeg is. Later is gevind dat hierdie selflaaiprogram AtillaCrypter is.
Loader 2 (AtProtect)
Trouens, hierdie laaier is 'n integrale deel van die wanware en moet volgens die ontwikkelaar die funksionaliteit van teenontleding aanneem.
In die praktyk is beskermingsmeganismes egter uiters primitief, en ons stelsels bespeur hierdie wanware suksesvol op.
Die hoofmodule word gelaai met behulp van Franchy Shell-kode verskeie weergawes. Ons sluit egter nie uit dat ander opsies gebruik kan word nie, bv. RunPE.
Konfigurasie lêer
Regstelling in die stelsel
Regstelling in die stelsel word verskaf deur die selflaaiprogram AtProtectas die ooreenstemmende vlag gestel is.
- Die lêer word langs die pad gekopieer %AppData%GFqaakZpzwm.exe.
- Lêer word tans geskep %AppData%GFqaakWinDrive.url, lanseer Zpzwm.exe.
- In tak HKCUSoftwareMicrosoftWindowsCurrentVersionRun begin sleutel word gegenereer WinDrive.url.
Interaksie met C&C
AtProtect Loader
As die ooreenstemmende vlag teenwoordig is, kan wanware 'n versteekte proses begin ie ontdekker en volg die skakel wat verskaf word om die bediener van 'n suksesvolle infeksie in kennis te stel.
datasteler
Ongeag die metode wat gebruik word, begin netwerkkommunikasie met die verkryging van die eksterne IP van die slagoffer deur die hulpbron te gebruik [http]://checkip[.]dyndns[.]org/.
Gebruikersagent: Mozilla/4.0 (versoenbaar; MSIE 6.0; Windows NT 5.2; .NET CLR1.0.3705;)
Die algemene struktuur van die boodskap is dieselfde. Titel teenwoordig
|——- 404 Keylogger — {Type} ——-|Waar {tipe} stem ooreen met die tipe inligting wat oorgedra word.
Die volgende is inligting oor die stelsel:
_______ + SLAGOFFERINLIGTING + _______
IP: {Eksterne IP}
Eienaarnaam: {Rekenaarnaam}
OS Naam: {OS naam}
OS weergawe: {OS Weergawe}
OS-platform: {Platform}
RAM-grootte: {RAM-grootte}
______________________________
En uiteindelik, die oorgedra data.
SMTP
Die onderwerp van die e-pos lyk soos volg: 404K | {boodskap tipe} | Kliëntnaam: {gebruikersnaam}.
Interessant genoeg, om briewe aan die kliënt te lewer 404 Keylogger die ontwikkelaar se SMTP-bediener word gebruik.
Dit het dit moontlik gemaak om sommige kliënte te identifiseer, sowel as die pos van een van die ontwikkelaars.
FTP
Wanneer hierdie metode gebruik word, word die versamelde inligting in 'n lêer gestoor en onmiddellik van daar af gelees.
Die logika van hierdie aksie is nie heeltemal duidelik nie, maar dit skep 'n bykomende artefak vir die skryf van gedragsreëls.
%HOMEDRIVE%%HOMEPATH%DocumentsA{Gepasmaakte nommer}.txt
Pastebin
Ten tyde van ontleding word hierdie metode slegs gebruik vir die oordrag van gesteelde wagwoorde. Boonop word dit nie as 'n alternatief vir die eerste twee gebruik nie, maar parallel. Die voorwaarde is die waarde van die konstante gelyk aan "Vavaa". Vermoedelik is dit die kliënt se naam.
Die interaksie vind plaas oor die https-protokol via die API pastebin... Waarde api_paste_privaat ewe veel PASTE_ONLIST, wat verhoed dat sulke bladsye deursoek word pastebin.
Enkripsie algoritmes
Haal tans 'n lêer uit hulpbronne
Die loonvrag word in die laaierhulpbronne gestoor AtProtect in die vorm van Bitmaps. Onttrekking word in verskeie stadiums uitgevoer:
- 'n Skikking van grepe word uit die beeld onttrek. Elke pixel word as 'n reeks van 3 grepe in BGR-volgorde behandel. Na onttrekking stoor die eerste 4 grepe van die skikking die lengte van die boodskap, die volgende - die boodskap self.
- Die sleutel word bereken. Om dit te doen, word MD5 bereken vanaf die waarde "ZpzwmjMJyfTNiRalKVrcSkxCN" wat as die wagwoord gespesifiseer is. Die gevolglike hash word twee keer geskryf.
- Dekripsie word uitgevoer deur AES-algoritme in ECB-modus.
Kwaadwillige funksionaliteit
Downloader
Geïmplementeer in die selflaaiprogram AtProtect.
- Appèl deur [activelink-repalce] die status van die bediener oor die gereedheid om die lêer te gee, word versoek. Die bediener moet terugkeer "OP".
- die skakel [aflaaiskakel-vervang] die loonvrag word afgelaai.
- Met FranchyShell-kode loonvrag word in die proses ingespuit [inj-vervang].
Tydens domeinanalise 404projekte[.]xyz bykomende gevalle is op VirusTotal geïdentifiseer 404 Keylogger, asook verskeie tipes laaiers.
Konvensioneel word hulle in twee tipes verdeel:
- Laai word vanaf die hulpbron uitgevoer 404projekte[.]xyz.
Die data is Base64 geënkodeer en AES geïnkripteer. - Hierdie opsie bestaan uit verskeie stadiums en word heel waarskynlik saam met die selflaaiprogram gebruik AtProtect.
- In die eerste stadium word die data gelaai vanaf pastebin en gedekodeer met behulp van die funksie HexToByte.
- In die tweede fase is die aflaaibron homself 404projekte[.]xyz. Terselfdertyd is die dekompressie- en dekoderingsfunksies soortgelyk aan dié wat in DataStealer gevind word. Waarskynlik was dit oorspronklik beplan om die laaier-funksionaliteit in die hoofmodule te implementeer.
- Op hierdie stadium is die loonvrag reeds in die hulpbronmanifes in saamgeperste vorm. Soortgelyke ekstraksiefunksies is ook in die hoofmodule gevind.
Laaiers is tussen die geanaliseerde lêers gevind njRat, SpyGate en ander RAT's.
Keylogger
Logstuurtydperk: 30 minute.
Alle karakters word ondersteun. Spesiale karakters word ontsnap. Daar is 'n verwerking van die BackSpace- en Delete-sleutels. Register word in ag geneem.
knipbordlogger
Logstuurtydperk: 30 minute.
Buffer-peilingstydperk: 0,1 sekondes.
Geïmplementeerde skakel ontsnap.
ScreenLogger
Logstuurtydperk: 60 minute.
Skermkiekies word gestoor in %HOMEDRIVE%%HOMEPATH%Documents404k404pic.png.
Nadat u die gids gestuur het 404k verwyder word.
Wagwoord Stealer
Браузеры | E-pos kliënte | FTP-kliënte |
---|---|---|
Chrome | Outlook | FileZilla |
Firefox | Thunderbird | |
SeaMonkey | Foxmail | |
ysdraak | ||
Bleekmaan | ||
kuberjakkals | ||
Chrome | ||
BraveBrowser | ||
QQBrowser | ||
Iridium-blaaier | ||
XvastBrowser | ||
Chedot | ||
360 Blaaier | ||
ComodoDragon | ||
360 Chrome | ||
Supervoël | ||
CentBrowser | ||
GhostBrowser | ||
IronBrowser | ||
Chroom | ||
Vivaldi | ||
SlimjetBrowser | ||
Orbitum | ||
CocCoc | ||
Torch | ||
UCBrower | ||
EpicBrowser | ||
BliskBrowser | ||
Opera |
Teenstand teen dinamiese analise
- Kontroleer of 'n proses onder ontleding is
Uitgevoer deur na prosesse te soek taakmgr, ProcessHacker, procexp64, proceexp, procmon. As ten minste een gevind word, gaan die wanware uit.
- Kontroleer of jy in 'n virtuele omgewing is
Uitgevoer deur na prosesse te soek vmtoolsd, VGAuthService, vmacthlp, VBoxService, VBoxTray. As ten minste een gevind word, gaan die wanware uit.
- Raak vir 5 sekondes aan die slaap
- Demonstrasie van verskillende tipes dialoogkassies
Kan gebruik word om sommige sandbakke te omseil.
- Omseil UAC
Uitgevoer deur 'n registersleutel te wysig EnableLUA in groepbeleidinstellings.
- Pas die versteekte kenmerk toe op die huidige lêer.
- Vermoë om die huidige lêer te verwyder.
Onaktiewe kenmerke
Tydens die ontleding van die laaier en die hoofmodule is funksies gevind wat vir bykomende funksionaliteit verantwoordelik is, maar dit word nêrens gebruik nie. Dit is waarskynlik te wyte aan die feit dat die wanware nog in ontwikkeling is en die funksionaliteit sal binnekort uitgebrei word.
AtProtect Loader
'n Funksie is gevind wat verantwoordelik is vir die laai en inspuiting in die proses msiexec.exe arbitrêre module.
datasteler
- Regstelling in die stelsel
- Dekompressie en dekripsie funksies
Dit is waarskynlik dat data-enkripsie tydens netwerkinteraksie binnekort geïmplementeer sal word. - Beëindig antivirusprosesse
zl kliënt | Dvp95_0 | Pavsched | gemiddeld 9 |
egui | Ecengine | pavw | avgserv9schedapp |
bdagent | Veilig | PCCIOMON | gemc |
npfmsg | Espwatch | PCCMAIN | aswebsv |
olydbg | F-Agnt95 | pccwin98 | asdisp |
Anubis | Vindviru | Pcfwallicon | asmaisv |
Wireshark | fprot | Persfw | ashserv |
Avastui | F-Prot | POP3TRAP | aswUpdSv |
_Avp32 | F-Prot95 | PVIEW95 | simwsc |
vsmon | Fp wen | Rav7 | norton |
mbam | frw | Rav7 wen | Norton Auto-Protect |
sleutelscrambler | F-Stopw | Redding | norton_av |
_Avpcc | imapp | Veilige Web | nortonav |
_Avpm | Iamserv | Skandeer 32 | ccsetmgr |
Ackwin32 | Ibmasn | Skandeer 95 | ccevtmgr |
buitepos | Ibmavsp | Scanpm | avadmin |
Anti Trojaanse | Icload95 | Scrscan | avcenter |
AntiVir | Icloadnt | Diens 95 | gemiddelde |
Apvxdwin | icmon | SMC | avguard |
ATRACK | Icsupp95 | SMCSERVICE | in kennis stel |
outo-down | Icsuppnt | Snork | avscan |
Avconsol | Ek staar in die gesig | Sphinx | guardgui |
Ave32 | Iomon98 | Vee 95 | knik 32kr |
Avgctrl | Jedi | SYMPROXYSVC | nod32kui |
Avkserv | lockdown 2000 | Tbscan | clamscan |
Avn | Pasop | Tca | clamTray |
Avp | Luall | Tds2-98 | clamWen |
Avp32 | mcafee | Tds2-Nt | freshclam |
Avpcc | Moolive | TermiNET | oladdin |
Avpdos32 | mpftray | Veearts95 | sig hulpmiddel |
Avpm | N32scanw | Vettaray | w9x oop |
Avptc32 | NAVAPSVC | Vscan40 | Wtoe |
Avpupd | NAVAPW32 | Vsekomr | cmgrdian |
Avsched32 | NAVLU32 | Vshwin32 | alogserv |
AVSYNMGR | Navnt | Vsstat | mcshield |
Avwin95 | NAVRUNR | webscanx | vshwin32 |
Avwupd32 | Navw32 | WEBTRAP | avconsol |
Swart | Navwnt | Wfindv32 | vsstat |
Swart ys | neowatch | Sonarm | avsynmgr |
cfiadmin | NISSERV | SLUITING2000 | avcmd |
Cfioudit | Nisum | REDDING32 | avconfig |
Cfinet | n hoof | LUCOMSERVER | licmgr |
Cfinet32 | normis | avgcc | geskeduleer |
Klou95 | NORTON | avgcc | preupd |
Klou95cf | Opgradeer | avgamsvr | MsMpEng |
Cleaner | Nvc95 | avgupsvc | MSASCui |
Skoonmaker3 | buitepos | gemeen | Avira.Systray |
Defwatch | admin | avgcc32 | |
Dvp95 | Pavcl | avgserv |
- selfvernietiging
- Laai tans data vanaf die gespesifiseerde manifeshulpbron
- Kopieer 'n lêer langs die pad %Temp%tmpG[Huidige datum en tyd in millisekondes].tmp
Interessant genoeg is 'n identiese funksie teenwoordig in die AgentTesla-wanware. - Wurm funksionaliteit
Die wanware ontvang 'n lys van verwyderbare media. 'n Kopie van die wanware word in die wortel van die medialêerstelsel met die naam geskep Sys.exe. Autostart word geïmplementeer met behulp van die lêer autorun.inf.
Aanvallerprofiel
Tydens die ontleding van die bevelsentrum was dit moontlik om die pos en bynaam van die ontwikkelaar vas te stel - Razer, oftewel Brwa, Brwa65, HiDDen PerSOn, 404 Coder. Verder is 'n interessante video op YouTube gevind wat die werk met die bouer demonstreer.
Dit het dit moontlik gemaak om die oorspronklike ontwikkelaarkanaal te vind.
Dit het duidelik geword dat hy ervaring het met die skryf van kriptors. Daar is ook skakels na bladsye op sosiale netwerke, sowel as die regte naam van die skrywer. Dit het geblyk 'n inwoner van Irak te wees.
Dit is hoe 'n 404 Keylogger-ontwikkelaar kwansuis lyk. Foto van sy persoonlike Facebook-profiel.
CERT Group-IB het 'n nuwe bedreiging aangekondig - 404 Keylogger - 'n XNUMX/XNUMX Cyber Threat Monitoring and Response Centre (SOC) in Bahrein.
Bron: will.com