Sürpriz ilə Keylogger: keylogger təhlili və onun tərtibatçısının deanonu

Son illərdə mobil troyanlar fərdi kompüterlər üçün troyanları fəal şəkildə əvəz edir, buna görə də köhnə yaxşı “avtomobillər” üçün yeni zərərli proqramların yaranması və onların kibercinayətkarlar tərəfindən aktiv istifadəsi xoşagəlməz olsa da, hələ də hadisədir. Bu yaxınlarda CERT Group-IB-nin 24/7 məlumat təhlükəsizliyi insidentlərinə cavab mərkəzi Keylogger və PasswordStealer funksiyalarını birləşdirən yeni kompüter zərərli proqram təminatını gizlədən qeyri-adi fişinq e-poçtu aşkar etdi. Analitiklərin diqqəti casus proqramın istifadəçinin maşınına necə daxil olduğu - məşhur səsli messencerdən istifadə etməklə cəlb edilib. İlya PomerantsevCERT Group-IB-də zərərli proqramların təhlili üzrə mütəxəssis, zərərli proqramın necə işlədiyini, nə üçün təhlükəli olduğunu izah etdi və hətta onun yaradıcısını uzaq İraqda tapdı.

Beləliklə, sıra ilə gedək. Qoşma adı altında belə bir məktubda istifadəçinin sayta aparıldığı bir şəkil var idi. cdn.discordapp.com, və oradan zərərli fayl endirildi.

Pulsuz səsli və mətn mesajı olan Discord-dan istifadə olduqca qeyri-ənənəvidir. Bir qayda olaraq, bu məqsədlər üçün digər ani mesajlaşma proqramları və ya sosial şəbəkələrdən istifadə olunur.

Daha ətraflı təhlil zamanı zərərli proqram ailəsi müəyyən edilib. Zərərli proqram bazarına yeni gələn olduğu ortaya çıxdı - 404 Keylogger.

Keylogger satışı ilə bağlı ilk elan yerləşdirilib hackforums 404 avqust tarixində “8 Coder” ləqəbi ilə istifadəçi tərəfindən.

Mağaza domeni bu yaxınlarda - 7 sentyabr 2019-cu ildə qeydə alınıb.

Tərtibatçıların veb saytında dediyi kimi 404layihə[.]xyz, 404 şirkətlərə müştərilərinin fəaliyyəti (icazəsi ilə) haqqında məlumat əldə etmək üçün və ya ikili sistemlərini tərs mühəndislikdən qorumaq istəyənlər üçün nəzərdə tutulmuş bir vasitədir. İrəliyə baxaraq, deyək ki, son tapşırıqla 404 mütləq öhdəsindən gəlmir.

Fayllardan birini tərsinə çevirmək və “ƏN YAXŞI SMART KEYLOGGER”in nə olduğunu yoxlamaq qərarına gəldik.

Zərərli proqram ekosistemi

Yükləyici 1 (AtillaCrypter)

Mənbə faylı istifadə edərək qorunur EaxObfuscator və iki addımlı yükləməni həyata keçirir AtProtect resurslar bölməsindən. VirusTotal-da tapılan digər nümunələrin təhlili zamanı məlum oldu ki, bu mərhələ tərtibatçının özü tərəfindən deyil, müştərisi tərəfindən əlavə edilib. Sonradan bu yükləyicinin AtillaCrypter olduğu müəyyən olundu.

Bootloader 2 (AtProtect)

Əslində, bu yükləyici zərərli proqramın ayrılmaz hissəsidir və tərtibatçının niyyətinə uyğun olaraq təhlilə qarşı mübarizə funksiyasını öz üzərinə götürməlidir.

Bununla belə, praktikada mühafizə mexanizmləri son dərəcə primitivdir və sistemlərimiz bu zərərli proqramı uğurla aşkar edir.

Əsas modul istifadə edərək yüklənir Franchy Shell Kodu müxtəlif versiyalar. Bununla belə, istisna etmirik ki, başqa variantlardan da istifadə oluna bilərdi, məsələn, RunPE.

Konfiqurasiya faylı

Sistemdə fiksasiya

Sistemdə konsolidasiya yükləyici tərəfindən təmin edilir AtProtect, müvafiq bayraq qoyulubsa.

• Fayl yol boyunca kopyalanır %AppData%GFqaakZpzwm.exe.
• Fayl yaradılır %AppData%GFqaakWinDriv.url, işə salınması Zpzwm.exe.
• İplikdə HKCUSoftwareMicrosoftWindowsCurrentVersionRun başlanğıc açarı yaradılır WinDriv.url.

C&C ilə qarşılıqlı əlaqə

Yükləyici AtProtect

Müvafiq bayraq varsa, zərərli proqram gizli bir prosesi işə sala bilər kəşfiyyatçı və müvəffəqiyyətli infeksiya haqqında serveri xəbərdar etmək üçün göstərilən linki izləyin.

DataStealer

İstifadə olunan üsuldan asılı olmayaraq, şəbəkə rabitəsi resursdan istifadə edərək qurbanın xarici IP-sini əldə etməklə başlayır [http]://checkip[.]dyndns[.]org/.

İstifadəçi Agenti: Mozilla/4.0 (uyğundur; MSIE 6.0; Windows NT 5.2; .NET CLR1.0.3705;)

Mesajın ümumi quruluşu eynidir. Başlıq təqdim olunur
|——- 404 Keylogger — {Növ} ——-|Hara {növ} ötürülən məlumatın növünə uyğundur.
Sistem haqqında məlumat aşağıdakılardır:

_______ + QURBAN MƏLUMATI + _______

IP: {Xarici IP}
Sahibinin Adı: {Kompüter adı}
ƏS Adı: {ƏS Adı}
ƏS Versiyası: {ƏS Versiyası}
ƏS Platforması: {Platforma}
RAM ölçüsü: {RAM ölçüsü}
______________________________

Və nəhayət, ötürülən məlumatlar.

SMTP

Məktubun mövzusu belədir: 404 K | {Mesaj Növü} | Müştəri Adı: {Username}.

Maraqlıdır ki, məktubları müştəriyə çatdırmaq 404 Keylogger Tərtibatçıların SMTP serverindən istifadə olunur.

Bu, bəzi müştəriləri, eləcə də tərtibatçılardan birinin elektron poçtunu müəyyən etməyə imkan verdi.

FTP

Bu üsuldan istifadə edərkən toplanmış məlumat faylda saxlanılır və dərhal oradan oxunur.

Bu hərəkətin arxasında duran məntiq tam aydın deyil, lakin davranış qaydalarının yazılması üçün əlavə artefakt yaradır.

%HOMEDRIVE%%HOMEPATH%SənədlərA{İxtiyari nömrə}.txt

Pastebin

Təhlil zamanı bu üsul yalnız oğurlanmış parolların ötürülməsi üçün istifadə olunur. Üstəlik, ilk ikisinə alternativ kimi deyil, paralel olaraq istifadə olunur. Şərt “Vavaa”ya bərabər olan sabitin qiymətidir. Çox güman ki, bu müştərinin adıdır.

Qarşılıqlı əlaqə API vasitəsilə https protokolu vasitəsilə baş verir pastebin... Dəyər api_paste_private bərabərdir SİYAHISIYA_YAPIN, bu, belə səhifələrin axtarışını qadağan edir pastebin.

Şifrələmə alqoritmləri

Resurslardan faylın götürülməsi

Faydalı yük bootloader resurslarında saxlanılır AtProtect Bitmap şəkilləri şəklində. Ekstraksiya bir neçə mərhələdə aparılır:

• Şəkildən bayt massivi çıxarılır. Hər piksel BGR qaydasında 3 bayt ardıcıllığı kimi qəbul edilir. Ekstraksiyadan sonra massivin ilk 4 baytı mesajın uzunluğunu, sonrakıları isə mesajın özünü saxlayır.

  

• Açar hesablanır. Bunun üçün MD5 parol kimi göstərilən “ZpzwmjMJyfTNiRalKVrcSkxCN” dəyərindən hesablanır. Nəticədə hash iki dəfə yazılır.

  

• Şifrənin açılması ECB rejimində AES alqoritmindən istifadə etməklə həyata keçirilir.

Zərərli funksionallıq

Downloader

Yükləyicidə həyata keçirilir AtProtect.

• Əlaqə saxlayaraq [activelink-repalce] Fayla xidmət göstərməyə hazır olduğunu təsdiqləmək üçün serverin statusu tələb olunur. Server qayıtmalıdır "ON".
• Sitatla istinad edin [endirmə linki-dəyişdir] Faydalı yük endirilir.
• Ilə FranchyShell kodu faydalı yük prosesə vurulur [inj-əvəz].

Domen təhlili zamanı 404layihə[.]xyz VirusTotal-da əlavə nümunələr müəyyən edilmişdir 404 Keylogger, həmçinin bir neçə növ yükləyicilər.

Şərti olaraq, onlar iki növə bölünür:

1. Yükləmə resursdan həyata keçirilir 404layihə[.]xyz.

   
   Məlumat Base64 kodlu və AES şifrələnir.

2. Bu seçim bir neçə mərhələdən ibarətdir və çox güman ki, yükləyici ilə birlikdə istifadə olunur AtProtect.

• Birinci mərhələdə məlumatlar buradan yüklənir pastebin və funksiyadan istifadə edərək deşifrə edilir HexToByte.

  

• İkinci mərhələdə yükləmə mənbəyidir 404layihə[.]xyz. Bununla belə, dekompressiya və dekodlaşdırma funksiyaları DataStealer-də olanlara bənzəyir. Yəqin ki, əvvəlcə əsas modulda yükləyici funksiyasını həyata keçirmək planlaşdırılırdı.

  

• Bu mərhələdə faydalı yük artıq sıxılmış formada resurs manifestindədir. Oxşar çıxarma funksiyaları əsas modulda da tapıldı.

Təhlil edilən fayllar arasında yükləyicilər tapıldı njRat, SpyGate və digər RAT-lar.

Keylogger

Qeydin göndərilmə müddəti: 30 dəqiqə.

Bütün simvollar dəstəklənir. Xüsusi simvollar qaçır. BackSpace və Delete düymələri üçün emal var. Hərflərə həssasdır.

ClipboardLogger

Qeydin göndərilmə müddəti: 30 dəqiqə.

Bufer səsvermə müddəti: 0,1 saniyə.

Qaçan keçid həyata keçirildi.

ScreenLogger

Qeydin göndərilmə müddəti: 60 dəqiqə.

Ekran görüntüləri saxlanılır %HOMEDRIVE%%HOMEPATH%Sənədlər404k404pic.png.

Qovluğu göndərdikdən sonra 404k silinir.

Şifrə Oğurluğu

Brauzerlər	Poçt müştəriləri	FTP müştəriləri
xrom	dünyagörüşü	FileZilla
Firefox	Thunderbird
SeaMonkey	Foxmail
buzdragon
Solğun Ay
Kiberfoks
xrom
BraveBrowser
QQBrowser
Iridium brauzeri
XvastBrowser
Chedot
360 Brauzer
ComodoDragon
360Chrome
SuperQuş
CentBrowser
GhostBrowser
IronBrowser
Xrom
Vivaldi
SlimjetBrowser
Orbit
CocCoc
Məşəl
UCBrowser
EpicBrowser
BliskBrowser
Opera

Dinamik analizə qarşı mübarizə

• Bir prosesin təhlil altında olub olmadığını yoxlamaq

  Proses axtarışından istifadə etməklə həyata keçirilir görevmgr, ProsesHacker, procexp64, procexp, procmon. Ən azı biri aşkar edilərsə, zərərli proqram çıxır.

• Virtual mühitdə olub olmadığınızı yoxlayır

  Proses axtarışından istifadə etməklə həyata keçirilir vmtoolsd, VGAuthService, vmacthlp, VBoxService, VBoxTray. Ən azı biri aşkar edilərsə, zərərli proqram çıxır.

• 5 saniyə yuxuya getmək
• Müxtəlif növ dialoq qutularının nümayişi

  Bəzi qum qutularını keçmək üçün istifadə edilə bilər.

• UAC-ı keçin

  Qeydiyyatın açarını redaktə etməklə həyata keçirilir EnableLUA Qrup Siyasəti parametrlərində.

• Cari fayla "Gizli" atributunu tətbiq edir.
• Cari faylı silmək imkanı.

Qeyri-aktiv Xüsusiyyətlər

Yükləyicinin və əsas modulun təhlili zamanı əlavə funksionallıqdan məsul olan funksiyalar aşkar edildi, lakin onlar heç bir yerdə istifadə edilmir. Bu, yəqin ki, zərərli proqramın hələ də inkişaf mərhələsində olması və funksionallığın tezliklə genişləndiriləcəyi ilə bağlıdır.

Yükləyici AtProtect

Prosesə yükləmə və inyeksiya üçün cavabdeh olan bir funksiya tapıldı msiexec.exe ixtiyari modul.

DataStealer

• Sistemdə fiksasiya

  

• Dekompressiya və deşifrə funksiyaları

  
  
  Çox güman ki, şəbəkə rabitəsi zamanı məlumatların şifrələnməsi tezliklə həyata keçiriləcək.

• Antivirus proseslərinin dayandırılması

zlclient	Dvp95_0	Pavsched	avgserv9
egui	Ecengine	Pavw	avgserv9schedapp
bdagent	Esafe	PCCIOMON	avgemc
npfmsg	Espwatch	PCCMAIN	ashwebsv
olydbg	F-Agnt95	Pccwin98	ashdisp
anubis	Findvir	Pcfwallicon	aşmaisv
wireshark	Fprot	Persfw	aşserv
avastui	F-Prot	POP3TRAP	aswUpdSv
_Avp32	F-Prot95	PVIEW95	symwsc
vsmon	Fp-Qələbə	Ravxnumx	norton
mbam	Frw	Rav7win	Norton Avtomatik Qoruma
keyscrambler	F-Stopw	xilas	norton_av
_Avpcc	Iamapp	Safeweb	nortonav
_Avpm	Iamserv	Skan 32	ccsetmgr
Ackwin32	İbmasn	Skan 95	ccevtmgr
Outpost	Ibmavsp	Scanpm	avadmin
Trojan əleyhinə	Icload95	Scrscan	avcenter
Antivir	Icloadnt	Serv95	avgnt
Apvxdwin	Icmon	Smc	avguard
ATRACK	Icsupp95	SMCSERVİS	xəbərdar et
Avtomatik aşağı	Icsuppnt	Snort	avscan
Avconsol	üz	Sfinks	mühafizəçi
Ave32	Iomon98	Süpür 95	nod32krn
Avgctrl	Jedi	SYMPROXYSVC	nod32kui
Avkserv	Kilidləmə 2000	Tbscan	clamscan
Avnt	Bayıra bax	Tca	clamTray
Avp	Luall	Tds2-98	clamWin
Avp32	mcafee	Tds2-Nt	təzə kəlmə
Avpcc	Moolive	TermiNET	oladdin
Avpdos32	MPftray	Vet95	sig aləti
Avpm	N32scanw	Vettray	w9xpopen
Avptc32	NAVAPSVC	Vscan40	Yaxın
Avpupd	NAVAPW32	Vsecomr	cmgrdian
Avsched32	NAVLU32	Vshwin32	alogserv
AVSYNMGR	Navnt	Vsstat	mcshield
Avwin95	NAVRUNR	Webscanx	vshwin32
Avwupd32	Navw32	WEBTRAP	avconsol
blackd	Navwnt	Wfindv32	vsstat
Qara buz	NeoWatch	Zona həyəcanı	avsynmgr
Cfiadmin	NISSERV	KİLİD 2000	avcmd
Cfiaudit	Nisum	Xilasetmə 32	avconfig
Cfinet	Nmain	LUCOMSERVER	licmgr
Cfine32	Normist	avgcc	planlı
Claw95	NORTON	avgcc	preupd
Claw95cf	Yeniləyin	avgamsvr	MsMpEng
Təmizləyici	Nvc95	avgupsvc	MSASCui
Təmizləyici 3	Outpost	avgw	Avira.Systray
Gözləmə	Padmin	avgcc32
Dvp95	Pavcl	avgserv

• Özünü məhvetmə
• Göstərilən resurs manifestindən data yüklənir

  

• Faylın yol boyunca kopyalanması %Temp%tmpG[Millisaniyələrdə cari tarix və vaxt].tmp

  
  Maraqlıdır ki, eyni funksiya AgentTesla zərərli proqramında mövcuddur.

• Qurd funksionallığı

  Zərərli proqram çıxarıla bilən media siyahısını alır. Zərərli proqramın surəti adı ilə media fayl sisteminin kökündə yaradılır Sys.exe. Autorun fayldan istifadə etməklə həyata keçirilir autorun.inf.

  

Təcavüzkar profili

Komanda mərkəzinin təhlili zamanı tərtibatçının elektron poçtunu və ləqəbini müəyyən etmək mümkün oldu - Razer, aka Brwa, Brwa65, HiDDen PerSON, 404 Coder. Sonra YouTube-da inşaatçı ilə işləməyi nümayiş etdirən maraqlı bir video tapdıq.

Bu, orijinal tərtibatçı kanalını tapmağa imkan verdi.

Onun kriptoqraflar yazmaq təcrübəsi olduğu aydın oldu. Sosial şəbəkələrdəki səhifələrə keçidlər, müəllifin əsl adı da var. Onun İraq sakini olduğu üzə çıxıb.

Guya 404 Keylogger tərtibatçısı belə görünür. Şəkil onun şəxsi Facebook profilindəndir.

CERT Group-IB yeni bir təhlükə elan etdi - 404 Keylogger - Bəhreyndə kibertəhlükələrə qarşı XNUMX saatlıq monitorinq və cavab mərkəzi (SOC).

Mənbə: www.habr.com