في السنوات الأخيرة ، عملت أحصنة طروادة المتنقلة على مزاحمة أحصنة طروادة لأجهزة الكمبيوتر الشخصية ، لذا فإن ظهور برامج ضارة جديدة لـ "السيارات" القديمة الجيدة واستخدامها النشط من قبل مجرمي الإنترنت ، على الرغم من كونه حدثًا غير سار ، لا يزال حدثًا. في الآونة الأخيرة ، اكتشف مركز الاستجابة لحوادث أمن المعلومات التابع لـ CERT Group-IB التابع لـ CERT Group-IB بريدًا إلكترونيًا غير عادي للتصيد الاحتيالي يخفي برنامجًا ضارًا جديدًا لأجهزة الكمبيوتر التي تجمع بين وظائف Keylogger و PasswordStealer. تم لفت انتباه المحللين إلى كيفية وصول برنامج التجسس إلى جهاز المستخدم - باستخدام برنامج مراسلة صوتية شائع. ايليا بوميرانتسيف، خبير في تحليل الكود الخبيث CERT Group-IB ، أخبر كيف تعمل البرمجيات الخبيثة ، ولماذا هي خطيرة ، وحتى وجدت منشئها - في العراق البعيد.
لذا ، دعنا نذهب بالترتيب. تحت ستار مرفق ، احتوت مثل هذه الرسالة على صورة ، من خلال النقر على المستخدم الذي وصل إلى الموقع cdn.discordapp.com، وتم تنزيل ملف ضار من هناك.
يعد استخدام Discord ، وهو برنامج مراسلة صوت ونص مجاني ، أمرًا خارج الصندوق. عادةً ما يتم استخدام رسل أو شبكات اجتماعية أخرى لهذه الأغراض.
خلال تحليل أكثر تفصيلاً ، تم تحديد عائلة من البرامج الضارة. اتضح أنه وافد جديد إلى سوق البرامج الضارة - 404 كلوغر.
تم نشر الإعلان الأول عن بيع كلوغر في الهاك فورومز مستخدم تحت الاسم المستعار "404 Coder" في 8 أغسطس.
تم تسجيل نطاق المتجر مؤخرًا - 7 سبتمبر 2019.
وفقا للمطورين على الموقع 404 مشاريع [.] xyz, 404 هي أداة تم إنشاؤها لمساعدة الشركات على التعرف على تصرفات عملائها (بإذن منهم) أو لأولئك الذين يرغبون في حماية نظامهم الثنائي من الهندسة العكسية. بالنظر إلى المستقبل ، دعنا نقول ذلك بالمهمة الأخيرة 404 بالتأكيد لا يعمل.
قررنا عكس أحد الملفات والتحقق من "أفضل KEYLOGGER ذكي".
النظام البيئي HPE
اللودر 1 (AtillaCrypter)
الملف الأصلي محمي بـ EaxObfuscator ويقوم بالتحميل على مرحلتين اتبروتكت من قسم الموارد. أثناء تحليل العينات الأخرى الموجودة على VirusTotal ، أصبح من الواضح أن هذه المرحلة لم يتصورها المطور نفسه ، ولكن تمت إضافتها بواسطة عميله. في وقت لاحق تم اكتشاف أن أداة تحميل التشغيل هذه هي AtillaCrypter.
اللودر 2 (AtProtect)
في الواقع ، يعد هذا المحمل جزءًا لا يتجزأ من البرامج الضارة ، ووفقًا للمطور ، يجب أن يتولى وظيفة تحليل المواجهة.
ومع ذلك ، من الناحية العملية ، تعتبر آليات الحماية بدائية للغاية ، وقد نجحت أنظمتنا في اكتشاف هذه البرامج الضارة.
يتم تحميل الوحدة الرئيسية باستخدام امتياز ShellCode إصدارات مختلفة. ومع ذلك ، لا نستبعد إمكانية استخدام خيارات أخرى ، على سبيل المثال ، RunPE.
ملف الضبط
التثبيت في النظام
يتم توفير التثبيت في النظام بواسطة أداة تحميل التشغيل اتبروتكتإذا تم تعيين العلم المقابل.
- يتم نسخ الملف على طول المسار ٪ AppData٪ GFqaakZpzwm.exe.
- يتم إنشاء الملف ٪ AppData٪ GFqaakWinDriv.url، إطلاق Zpzwm.exe.
- في الفرع HKCUSoftwareMicrosoftWindowsCurrentVersionRun يتم إنشاء مفتاح البدء WinDrive.url.
التفاعل مع C&C
محمل AtProtect
في حالة وجود العلامة المقابلة ، يمكن للبرامج الضارة إطلاق عملية مخفية com.iexplorer واتبع الرابط المقدم لإخطار الخادم بنجاح الإصابة.
بائع البيانات
بغض النظر عن الطريقة المستخدمة ، يبدأ اتصال الشبكة بالحصول على IP الخارجي للضحية باستخدام المورد [http]: // checkip [.] dyndns [.] org /.
وكيل المستخدم: Mozilla / 4.0 (متوافق ؛ MSIE 6.0 ؛ Windows NT 5.2 ؛ .NET CLR1.0.3705 ؛)
الهيكل العام للرسالة هو نفسه. العنوان موجود
| ——- 404 Keylogger - {Type} ——- |حيث {يكتب} يتوافق مع نوع المعلومات التي يتم إرسالها.
فيما يلي معلومات عن النظام:
_______ + معلومات الضحية + _______
IP: {عنوان IP خارجي}
اسم المالك: {Computer name}
اسم نظام التشغيل: {OS name}
إصدار نظام التشغيل: {إصدار نظام التشغيل}
نظام التشغيل الأساسي: {النظام الأساسي}
حجم ذاكرة الوصول العشوائي: {حجم ذاكرة الوصول العشوائي}
______________________________
وأخيرًا البيانات المرسلة.
SMTP
يبدو موضوع البريد الإلكتروني كالتالي: 404K | {نوع الرسالة} | اسم العميل: {username}.
ومن المثير للاهتمام ، تسليم الرسائل للعميل 404 كلوغر يتم استخدام خادم SMTP للمطور.
هذا جعل من الممكن التعرف على بعض العملاء ، وكذلك البريد الإلكتروني لأحد المطورين.
FTP
عند استخدام هذه الطريقة ، يتم حفظ المعلومات التي تم جمعها في ملف وقراءتها على الفور من هناك.
منطق هذا الإجراء ليس واضحًا تمامًا ، لكنه يخلق أداة إضافية لكتابة القواعد السلوكية.
٪ HOMEDRIVE ٪٪ HOMEPATH٪ DocumentsA {Custom number} .txt
Pastebin
في وقت التحليل ، تُستخدم هذه الطريقة فقط لنقل كلمات المرور المسروقة. علاوة على ذلك ، لا يتم استخدامه كبديل عن الأولين ، ولكن بالتوازي. الشرط هو قيمة الثابت التي تساوي "فافا". من المفترض أن هذا هو اسم العميل.
يحدث التفاعل عبر بروتوكول https عبر واجهة برمجة التطبيقات pastebin. معنى api_paste_private غير لصق_غير مدرج، مما يمنع البحث في مثل هذه الصفحات pastebin.
خوارزميات التشفير
استرجاع ملف من الموارد
يتم تخزين الحمولة في موارد أداة التحميل اتبروتكت في شكل صور نقطية. يتم الاستخراج على عدة مراحل:
- يتم استخراج مصفوفة من البايت من الصورة. يتم التعامل مع كل بكسل على أنه تسلسل من 3 بايت بترتيب BGR. بعد الاستخراج ، تقوم أول 4 بايتات من المصفوفة بتخزين طول الرسالة ، والبايت التالي - الرسالة نفسها.
- المفتاح محسوب. للقيام بذلك ، يتم حساب MD5 من القيمة "ZpzwmjMJyfTNiRalKVrcSkxCN" المحددة ككلمة المرور. يتم كتابة التجزئة الناتجة مرتين.
- يتم تنفيذ فك التشفير بواسطة خوارزمية AES في وضع ECB.
وظائف ضارة
تحميل
نفذت في محمل الإقلاع اتبروتكت.
- الاستئناف من قبل [Activelink-repalce] مطلوب حالة الخادم حول الاستعداد لإعطاء الملف. يجب أن يعود الخادم "على".
- على الرابط [استبدال رابط التنزيل] يتم تنزيل الحمولة.
- استخدام الامتياز يتم حقن الحمولة في العملية [استبدال].
أثناء تحليل المجال 404 مشاريع [.] xyz تم تحديد مثيلات إضافية على VirusTotal 404 كلوغر، بالإضافة إلى عدة أنواع من اللوادر.
تقليديا ، يتم تقسيمها إلى نوعين:
- يتم التحميل من المورد 404 مشاريع [.] xyz.
البيانات بترميز Base64 ومشفرة AES. - يتكون هذا الخيار من عدة مراحل ويتم استخدامه على الأرجح مع أداة تحميل التشغيل اتبروتكت.
- في المرحلة الأولى ، يتم تحميل البيانات من pastebin وفك الشفرة باستخدام الوظيفة سداسي بايت.
- في المرحلة الثانية ، يكون مصدر التنزيل هو نفسه 404 مشاريع [.] xyz. في الوقت نفسه ، تتشابه وظائف فك الضغط وفك التشفير مع تلك الموجودة في DataStealer. ربما ، كان من المخطط أصلاً تنفيذ وظيفة اللودر في الوحدة الرئيسية.
- في هذه المرحلة ، تكون الحمولة موجودة بالفعل في بيان المورد بشكل مضغوط. تم العثور على وظائف استخراج مماثلة في الوحدة الرئيسية.
تم العثور على لوادر بين الملفات التي تم تحليلها njRat, بوابة التجسس و RATs الأخرى.
كلوغر
فترة إرسال السجل: 30 دقيقة.
يتم دعم جميع الشخصيات. تم الهروب الأحرف الخاصة. تتم معالجة مفتاحي BackSpace و Delete. التسجيل يؤخذ في الاعتبار.
الحافظة
فترة إرسال السجل: 30 دقيقة.
فترة استقصاء المخزن المؤقت: 0,1 ثانية.
تم تنفيذ ارتباط الهروب.
مسجل الشاشة
فترة إرسال السجل: 60 دقيقة.
يتم حفظ لقطات الشاشة بتنسيق ٪ HOMEDRIVE ٪٪ HOMEPATH٪ المستندات 404k404pic.png.
بعد إرسال المجلد 404k يتم حذف.
سارق كلمة المرور
| المتصفحات | عملاء البريد الإلكتروني | عملاء FTP |
|---|---|---|
| الكروم | بريد اوتلوك | فايلزيلا |
| برنامج فايرفوكس | ثندربيرد | |
| إضافات | Foxmail | |
| Icedragon | ||
| القمر الشاحب | ||
| Cyberfox | ||
| الكروم | ||
| متصفح شجاع | ||
| متصفح كيو كيو | ||
| إيريديوم متصفح | ||
| متصفح اكسفاست | ||
| شيدوت | ||
| 360 المتصفح | ||
| تنين كومودو | ||
| 360 كروم | ||
| سوبر بيرد | ||
| متصفح سنت | ||
| متصفح الاشباح | ||
| متصفح الحديد | ||
| الكروم | ||
| فيفالدي | ||
| متصفح Slimjet | ||
| Orbitum | ||
| كوككوك | ||
| شعلة | ||
| متصفح يوسي | ||
| متصفح ملحمي | ||
| متصفح بليسك | ||
| العمل |
معارضة التحليل الديناميكي
- التحقق مما إذا كانت العملية قيد التحليل
نفذت من خلال البحث عن العمليات taskmgr, ProcessHacker, procex64, com.procexp, com.procmon. إذا تم العثور على واحد على الأقل ، فسيتم الخروج من البرنامج الضار.
- التحقق مما إذا كنت في بيئة افتراضية
نفذت من خلال البحث عن العمليات vmtoolsd, VGAuthService, vmacthlp, VBoxService, VBoxTray. إذا تم العثور على واحد على الأقل ، فسيتم الخروج من البرنامج الضار.
- تنام لمدة 5 ثوان
- عرض لأنواع مختلفة من مربعات الحوار
يمكن استخدامها لتجاوز بعض صناديق الرمل.
- تجاوز UAC
يتم إجراؤها عن طريق تحرير مفتاح التسجيل EnableLUA في إعدادات نهج المجموعة.
- قم بتطبيق السمة المخفية على الملف الحالي.
- القدرة على حذف الملف الحالي.
الميزات غير النشطة
أثناء تحليل المحمل والوحدة الرئيسية ، تم العثور على وظائف مسؤولة عن وظائف إضافية ، ولكنها لا تستخدم في أي مكان. ربما يرجع ذلك إلى حقيقة أن البرامج الضارة لا تزال قيد التطوير وسيتم توسيع الوظائف قريبًا.
محمل AtProtect
تم العثور على وظيفة مسؤولة عن التحميل والحقن في العملية msiexec.exe وحدة تعسفية.
بائع البيانات
- التثبيت في النظام
- وظائف فك الضغط وفك التشفير
من المحتمل أن يتم تنفيذ تشفير البيانات أثناء تفاعل الشبكة قريبًا. - إنهاء عمليات مكافحة الفيروسات
| zlclient | DVP95_0 | بافشيد | متوسط 9 |
| egui | محرك كهربائي | بافو | avgserv9schedapp |
| com.bdagent | esafe | PCCIOMON | متوسط |
| npfmsg | إسبواتش | PCCMIN | أشويبسف |
| com.olydbg | F-وكيل95 | pccwin98 | أشديسب |
| أنوبيس | فيندفير | بي سي فواليكون | أشميسف |
| يريشارك | fprot | بيرسفو | اشيرف |
| أفاستوي | F-بروت | POP3TRAP | aswUpdSv |
| _Avp32 | إف بروت 95 | عرض95 | com.symwsc |
| vsmon | فوز Fp | Rav7 | نورتون |
| مبام | frw | راف 7وين | نورتون أوتو بروتكت |
| جهاز تشويش المفاتيح | F- توقف | إنقاذ | norton_av |
| _Avpcc | imapp | SafeWeb | نورتوناف |
| _أفبم | إعامرف | Scan32 | ccsetmgr |
| أكوين 32 | إبسن | Scan95 | com.ccevtmgr |
| القاعدة الأمامية | إبمافس | سكانبم | أفادمين |
| مكافحة طروادة | ايكلود95 | سكرسكان | أفسينتير |
| اوفيس | Icloadnt | سيرف 95 | متوسط |
| أبفكسدوين | icmon | SMC | أفجارد |
| مسار | Icsupp95 | خدمة اس ام سي سي | avnotify |
| الحفظ التلقائي | icsuppnt | شم | com.avscan |
| أفكونسول | أواجه | أبو الهول | جاردجي |
| Ave32 | ايومون 98 | الاجتياح 95 | nod32krn |
| أفجكترل | الوافي | سيمبروكسيسفك | nod32kui |
| أفكسيرف | 2000 | تبسكان | clamcan |
| أفنت | مراقبة | TCA | البطلينوس |
| Avp | لوال | Tds2-98 | البطلينوس |
| أفب32 | مكافي | Tds2-الإقليم الشمالي | freshclam |
| أفبكك | موليف | TermiNET | أول الدين |
| أفدوس32 | mpftray | الطبيب البيطري95 | سيغتول |
| أفبم | N32scanw | فيتاري | w9xpopen |
| Avptc32 | نافابسفك | فسكان 40 | يغلق |
| Avpupd | نافابو32 | فسكومر | كمغردان |
| أفشيد 32 | نافلو32 | فيشوين 32 | الوجرف |
| أفسينمجر | نافنت | فسستات | ماك شيلد |
| أفوين 95 | نافرونر | webscanx | vsshwin32 |
| أفوبد 32 | نافو32 | ويب تراب | أفكونسول |
| بلاك | نافونت | Wfindv32 | vsstat |
| الجليد الأسود | نيوواتش | زون ألارم | com.avsynmgr |
| cfiadmin | نيسيرف | القفل 2000 | avcmd |
| كفيوديت | نيسوم | الإنقاذ32 | avconfig |
| سفينت | ن رئيسي | لوكومسيرفر | Licmgr |
| Cfinet32 | المعياري | متوسط | جدولة |
| مخلب95 | NORTON | متوسط | قبل التحديث |
| مخلب 95cf | نوبجريد | avgamsvr | MsMpEng |
| منظف | Nvc95 | avgupsvc | MSASCui |
| منظف 3 | القاعدة الأمامية | متوسط | أفيرا |
| ديفواتش | مسؤل | متوسط 32 | |
| DVP95 | بافكل | avgserv |
- التدمير الذاتي
- تحميل البيانات من مصدر البيان المحدد
- نسخ ملف على طول المسار ٪ Temp٪ tmpG [التاريخ والوقت الحالي بالملي ثانية] .tmp
ومن المثير للاهتمام ، وجود وظيفة مماثلة في البرنامج الضار AgentTesla. - وظيفة دودة
تتلقى البرامج الضارة قائمة بالوسائط القابلة للإزالة. يتم إنشاء نسخة من البرنامج الضار في جذر نظام ملفات الوسائط بالاسم سيس.exe. يتم تنفيذ Autostart باستخدام الملف AUTORUN.INF.
الملف الشخصي للمهاجم
أثناء تحليل مركز القيادة ، كان من الممكن إنشاء البريد والاسم المستعار للمطور - Razer ، المعروف أيضًا باسم Brwa ، Brwa65 ، HiDDen PerSOn ، 404 Coder. علاوة على ذلك ، تم العثور على فيديو مثير للاهتمام على موقع يوتيوب ، والذي يوضح العمل مع المنشئ.
هذا جعل من الممكن العثور على قناة المطور الأصلية.
أصبح من الواضح أن لديه خبرة في كتابة التشفير. هناك أيضًا روابط لصفحات على الشبكات الاجتماعية ، بالإضافة إلى الاسم الحقيقي للمؤلف. اتضح أنه مقيم في العراق.
هذا ما يبدو عليه مطور 404 Keylogger. صورة من ملفه الشخصي على Facebook.
أعلنت CERT Group-IB عن تهديد جديد - 404 Keylogger - وهو مركز مراقبة واستجابة للتهديدات السيبرانية (SOC) يعمل على مدار الساعة طوال أيام الأسبوع في البحرين.
المصدر: www.habr.com