Son illərdə mobil troyanlar fərdi kompüterlər üçün troyanları fəal şəkildə əvəz edir, buna görə də köhnə yaxşı “avtomobillər” üçün yeni zərərli proqramların yaranması və onların kibercinayətkarlar tərəfindən aktiv istifadəsi xoşagəlməz olsa da, hələ də hadisədir. Bu yaxınlarda CERT Group-IB-nin 24/7 məlumat təhlükəsizliyi insidentlərinə cavab mərkəzi Keylogger və PasswordStealer funksiyalarını birləşdirən yeni kompüter zərərli proqram təminatını gizlədən qeyri-adi fişinq e-poçtu aşkar etdi. Analitiklərin diqqəti casus proqramın istifadəçinin maşınına necə daxil olduğu - məşhur səsli messencerdən istifadə etməklə cəlb edilib. İlya PomerantsevCERT Group-IB-də zərərli proqramların təhlili üzrə mütəxəssis, zərərli proqramın necə işlədiyini, nə üçün təhlükəli olduğunu izah etdi və hətta onun yaradıcısını uzaq İraqda tapdı.
Beləliklə, sıra ilə gedək. Qoşma adı altında belə bir məktubda istifadəçinin sayta aparıldığı bir şəkil var idi. cdn.discordapp.com, və oradan zərərli fayl endirildi.
Pulsuz səsli və mətn mesajı olan Discord-dan istifadə olduqca qeyri-ənənəvidir. Bir qayda olaraq, bu məqsədlər üçün digər ani mesajlaşma proqramları və ya sosial şəbəkələrdən istifadə olunur.
Daha ətraflı təhlil zamanı zərərli proqram ailəsi müəyyən edilib. Zərərli proqram bazarına yeni gələn olduğu ortaya çıxdı - 404 Keylogger.
Keylogger satışı ilə bağlı ilk elan yerləşdirilib hackforums 404 avqust tarixində “8 Coder” ləqəbi ilə istifadəçi tərəfindən.
Mağaza domeni bu yaxınlarda - 7 sentyabr 2019-cu ildə qeydə alınıb.
Tərtibatçıların veb saytında dediyi kimi 404layihə[.]xyz, 404 şirkətlərə müştərilərinin fəaliyyəti (icazəsi ilə) haqqında məlumat əldə etmək üçün və ya ikili sistemlərini tərs mühəndislikdən qorumaq istəyənlər üçün nəzərdə tutulmuş bir vasitədir. İrəliyə baxaraq, deyək ki, son tapşırıqla 404 mütləq öhdəsindən gəlmir.
Fayllardan birini tərsinə çevirmək və “ƏN YAXŞI SMART KEYLOGGER”in nə olduğunu yoxlamaq qərarına gəldik.
Zərərli proqram ekosistemi
Yükləyici 1 (AtillaCrypter)
Mənbə faylı istifadə edərək qorunur EaxObfuscator və iki addımlı yükləməni həyata keçirir AtProtect resurslar bölməsindən. VirusTotal-da tapılan digər nümunələrin təhlili zamanı məlum oldu ki, bu mərhələ tərtibatçının özü tərəfindən deyil, müştərisi tərəfindən əlavə edilib. Sonradan bu yükləyicinin AtillaCrypter olduğu müəyyən olundu.
Bootloader 2 (AtProtect)
Əslində, bu yükləyici zərərli proqramın ayrılmaz hissəsidir və tərtibatçının niyyətinə uyğun olaraq təhlilə qarşı mübarizə funksiyasını öz üzərinə götürməlidir.
Bununla belə, praktikada mühafizə mexanizmləri son dərəcə primitivdir və sistemlərimiz bu zərərli proqramı uğurla aşkar edir.
Əsas modul istifadə edərək yüklənir Franchy Shell Kodu müxtəlif versiyalar. Bununla belə, istisna etmirik ki, başqa variantlardan da istifadə oluna bilərdi, məsələn, RunPE.
Konfiqurasiya faylı
Sistemdə fiksasiya
Sistemdə konsolidasiya yükləyici tərəfindən təmin edilir AtProtect, müvafiq bayraq qoyulubsa.
- Fayl yol boyunca kopyalanır %AppData%GFqaakZpzwm.exe.
- Fayl yaradılır %AppData%GFqaakWinDriv.url, işə salınması Zpzwm.exe.
- İplikdə HKCUSoftwareMicrosoftWindowsCurrentVersionRun başlanğıc açarı yaradılır WinDriv.url.
C&C ilə qarşılıqlı əlaqə
Yükləyici AtProtect
Müvafiq bayraq varsa, zərərli proqram gizli bir prosesi işə sala bilər kəşfiyyatçı və müvəffəqiyyətli infeksiya haqqında serveri xəbərdar etmək üçün göstərilən linki izləyin.
DataStealer
İstifadə olunan üsuldan asılı olmayaraq, şəbəkə rabitəsi resursdan istifadə edərək qurbanın xarici IP-sini əldə etməklə başlayır [http]://checkip[.]dyndns[.]org/.
İstifadəçi Agenti: Mozilla/4.0 (uyğundur; MSIE 6.0; Windows NT 5.2; .NET CLR1.0.3705;)
Mesajın ümumi quruluşu eynidir. Başlıq təqdim olunur
|——- 404 Keylogger — {Növ} ——-|Hara {növ} ötürülən məlumatın növünə uyğundur.
Sistem haqqında məlumat aşağıdakılardır:
_______ + QURBAN MƏLUMATI + _______
IP: {Xarici IP}
Sahibinin Adı: {Kompüter adı}
ƏS Adı: {ƏS Adı}
ƏS Versiyası: {ƏS Versiyası}
ƏS Platforması: {Platforma}
RAM ölçüsü: {RAM ölçüsü}
______________________________
Və nəhayət, ötürülən məlumatlar.
SMTP
Məktubun mövzusu belədir: 404 K | {Mesaj Növü} | Müştəri Adı: {Username}.
Maraqlıdır ki, məktubları müştəriyə çatdırmaq 404 Keylogger Tərtibatçıların SMTP serverindən istifadə olunur.
Bu, bəzi müştəriləri, eləcə də tərtibatçılardan birinin elektron poçtunu müəyyən etməyə imkan verdi.
FTP
Bu üsuldan istifadə edərkən toplanmış məlumat faylda saxlanılır və dərhal oradan oxunur.
Bu hərəkətin arxasında duran məntiq tam aydın deyil, lakin davranış qaydalarının yazılması üçün əlavə artefakt yaradır.
%HOMEDRIVE%%HOMEPATH%SənədlərA{İxtiyari nömrə}.txt
Pastebin
Təhlil zamanı bu üsul yalnız oğurlanmış parolların ötürülməsi üçün istifadə olunur. Üstəlik, ilk ikisinə alternativ kimi deyil, paralel olaraq istifadə olunur. Şərt “Vavaa”ya bərabər olan sabitin qiymətidir. Çox güman ki, bu müştərinin adıdır.
Qarşılıqlı əlaqə API vasitəsilə https protokolu vasitəsilə baş verir pastebin... Dəyər api_paste_private bərabərdir SİYAHISIYA_YAPIN, bu, belə səhifələrin axtarışını qadağan edir pastebin.
Şifrələmə alqoritmləri
Resurslardan faylın götürülməsi
Faydalı yük bootloader resurslarında saxlanılır AtProtect Bitmap şəkilləri şəklində. Ekstraksiya bir neçə mərhələdə aparılır:
- Şəkildən bayt massivi çıxarılır. Hər piksel BGR qaydasında 3 bayt ardıcıllığı kimi qəbul edilir. Ekstraksiyadan sonra massivin ilk 4 baytı mesajın uzunluğunu, sonrakıları isə mesajın özünü saxlayır.
- Açar hesablanır. Bunun üçün MD5 parol kimi göstərilən “ZpzwmjMJyfTNiRalKVrcSkxCN” dəyərindən hesablanır. Nəticədə hash iki dəfə yazılır.
- Şifrənin açılması ECB rejimində AES alqoritmindən istifadə etməklə həyata keçirilir.
Zərərli funksionallıq
Downloader
Yükləyicidə həyata keçirilir AtProtect.
- Əlaqə saxlayaraq [activelink-repalce] Fayla xidmət göstərməyə hazır olduğunu təsdiqləmək üçün serverin statusu tələb olunur. Server qayıtmalıdır "ON".
- Sitatla istinad edin [endirmə linki-dəyişdir] Faydalı yük endirilir.
- Ilə FranchyShell kodu faydalı yük prosesə vurulur [inj-əvəz].
Domen təhlili zamanı 404layihə[.]xyz VirusTotal-da əlavə nümunələr müəyyən edilmişdir 404 Keylogger, həmçinin bir neçə növ yükləyicilər.
Şərti olaraq, onlar iki növə bölünür:
- Yükləmə resursdan həyata keçirilir 404layihə[.]xyz.
Məlumat Base64 kodlu və AES şifrələnir. - Bu seçim bir neçə mərhələdən ibarətdir və çox güman ki, yükləyici ilə birlikdə istifadə olunur AtProtect.
- Birinci mərhələdə məlumatlar buradan yüklənir pastebin və funksiyadan istifadə edərək deşifrə edilir HexToByte.
- İkinci mərhələdə yükləmə mənbəyidir 404layihə[.]xyz. Bununla belə, dekompressiya və dekodlaşdırma funksiyaları DataStealer-də olanlara bənzəyir. Yəqin ki, əvvəlcə əsas modulda yükləyici funksiyasını həyata keçirmək planlaşdırılırdı.
- Bu mərhələdə faydalı yük artıq sıxılmış formada resurs manifestindədir. Oxşar çıxarma funksiyaları əsas modulda da tapıldı.
Təhlil edilən fayllar arasında yükləyicilər tapıldı njRat, SpyGate və digər RAT-lar.
Keylogger
Qeydin göndərilmə müddəti: 30 dəqiqə.
Bütün simvollar dəstəklənir. Xüsusi simvollar qaçır. BackSpace və Delete düymələri üçün emal var. Hərflərə həssasdır.
ClipboardLogger
Qeydin göndərilmə müddəti: 30 dəqiqə.
Bufer səsvermə müddəti: 0,1 saniyə.
Qaçan keçid həyata keçirildi.
ScreenLogger
Qeydin göndərilmə müddəti: 60 dəqiqə.
Ekran görüntüləri saxlanılır %HOMEDRIVE%%HOMEPATH%Sənədlər404k404pic.png.
Qovluğu göndərdikdən sonra 404k silinir.
Şifrə Oğurluğu
Brauzerlər | Poçt müştəriləri | FTP müştəriləri |
---|---|---|
xrom | dünyagörüşü | FileZilla |
Firefox | Thunderbird | |
SeaMonkey | Foxmail | |
buzdragon | ||
Solğun Ay | ||
Kiberfoks | ||
xrom | ||
BraveBrowser | ||
QQBrowser | ||
Iridium brauzeri | ||
XvastBrowser | ||
Chedot | ||
360 Brauzer | ||
ComodoDragon | ||
360Chrome | ||
SuperQuş | ||
CentBrowser | ||
GhostBrowser | ||
IronBrowser | ||
Xrom | ||
Vivaldi | ||
SlimjetBrowser | ||
Orbit | ||
CocCoc | ||
Məşəl | ||
UCBrowser | ||
EpicBrowser | ||
BliskBrowser | ||
Opera |
Dinamik analizə qarşı mübarizə
- Bir prosesin təhlil altında olub olmadığını yoxlamaq
Proses axtarışından istifadə etməklə həyata keçirilir görevmgr, ProsesHacker, procexp64, procexp, procmon. Ən azı biri aşkar edilərsə, zərərli proqram çıxır.
- Virtual mühitdə olub olmadığınızı yoxlayır
Proses axtarışından istifadə etməklə həyata keçirilir vmtoolsd, VGAuthService, vmacthlp, VBoxService, VBoxTray. Ən azı biri aşkar edilərsə, zərərli proqram çıxır.
- 5 saniyə yuxuya getmək
- Müxtəlif növ dialoq qutularının nümayişi
Bəzi qum qutularını keçmək üçün istifadə edilə bilər.
- UAC-ı keçin
Qeydiyyatın açarını redaktə etməklə həyata keçirilir EnableLUA Qrup Siyasəti parametrlərində.
- Cari fayla "Gizli" atributunu tətbiq edir.
- Cari faylı silmək imkanı.
Qeyri-aktiv Xüsusiyyətlər
Yükləyicinin və əsas modulun təhlili zamanı əlavə funksionallıqdan məsul olan funksiyalar aşkar edildi, lakin onlar heç bir yerdə istifadə edilmir. Bu, yəqin ki, zərərli proqramın hələ də inkişaf mərhələsində olması və funksionallığın tezliklə genişləndiriləcəyi ilə bağlıdır.
Yükləyici AtProtect
Prosesə yükləmə və inyeksiya üçün cavabdeh olan bir funksiya tapıldı msiexec.exe ixtiyari modul.
DataStealer
- Sistemdə fiksasiya
- Dekompressiya və deşifrə funksiyaları
Çox güman ki, şəbəkə rabitəsi zamanı məlumatların şifrələnməsi tezliklə həyata keçiriləcək. - Antivirus proseslərinin dayandırılması
zlclient | Dvp95_0 | Pavsched | avgserv9 |
egui | Ecengine | Pavw | avgserv9schedapp |
bdagent | Esafe | PCCIOMON | avgemc |
npfmsg | Espwatch | PCCMAIN | ashwebsv |
olydbg | F-Agnt95 | Pccwin98 | ashdisp |
anubis | Findvir | Pcfwallicon | aşmaisv |
wireshark | Fprot | Persfw | aşserv |
avastui | F-Prot | POP3TRAP | aswUpdSv |
_Avp32 | F-Prot95 | PVIEW95 | symwsc |
vsmon | Fp-Qələbə | Ravxnumx | norton |
mbam | Frw | Rav7win | Norton Avtomatik Qoruma |
keyscrambler | F-Stopw | xilas | norton_av |
_Avpcc | Iamapp | Safeweb | nortonav |
_Avpm | Iamserv | Skan 32 | ccsetmgr |
Ackwin32 | İbmasn | Skan 95 | ccevtmgr |
Outpost | Ibmavsp | Scanpm | avadmin |
Trojan əleyhinə | Icload95 | Scrscan | avcenter |
Antivir | Icloadnt | Serv95 | avgnt |
Apvxdwin | Icmon | Smc | avguard |
ATRACK | Icsupp95 | SMCSERVİS | xəbərdar et |
Avtomatik aşağı | Icsuppnt | Snort | avscan |
Avconsol | üz | Sfinks | mühafizəçi |
Ave32 | Iomon98 | Süpür 95 | nod32krn |
Avgctrl | Jedi | SYMPROXYSVC | nod32kui |
Avkserv | Kilidləmə 2000 | Tbscan | clamscan |
Avnt | Bayıra bax | Tca | clamTray |
Avp | Luall | Tds2-98 | clamWin |
Avp32 | mcafee | Tds2-Nt | təzə kəlmə |
Avpcc | Moolive | TermiNET | oladdin |
Avpdos32 | MPftray | Vet95 | sig aləti |
Avpm | N32scanw | Vettray | w9xpopen |
Avptc32 | NAVAPSVC | Vscan40 | Yaxın |
Avpupd | NAVAPW32 | Vsecomr | cmgrdian |
Avsched32 | NAVLU32 | Vshwin32 | alogserv |
AVSYNMGR | Navnt | Vsstat | mcshield |
Avwin95 | NAVRUNR | Webscanx | vshwin32 |
Avwupd32 | Navw32 | WEBTRAP | avconsol |
blackd | Navwnt | Wfindv32 | vsstat |
Qara buz | NeoWatch | Zona həyəcanı | avsynmgr |
Cfiadmin | NISSERV | KİLİD 2000 | avcmd |
Cfiaudit | Nisum | Xilasetmə 32 | avconfig |
Cfinet | Nmain | LUCOMSERVER | licmgr |
Cfine32 | Normist | avgcc | planlı |
Claw95 | NORTON | avgcc | preupd |
Claw95cf | Yeniləyin | avgamsvr | MsMpEng |
Təmizləyici | Nvc95 | avgupsvc | MSASCui |
Təmizləyici 3 | Outpost | avgw | Avira.Systray |
Gözləmə | Padmin | avgcc32 | |
Dvp95 | Pavcl | avgserv |
- Özünü məhvetmə
- Göstərilən resurs manifestindən data yüklənir
- Faylın yol boyunca kopyalanması %Temp%tmpG[Millisaniyələrdə cari tarix və vaxt].tmp
Maraqlıdır ki, eyni funksiya AgentTesla zərərli proqramında mövcuddur. - Qurd funksionallığı
Zərərli proqram çıxarıla bilən media siyahısını alır. Zərərli proqramın surəti adı ilə media fayl sisteminin kökündə yaradılır Sys.exe. Autorun fayldan istifadə etməklə həyata keçirilir autorun.inf.
Təcavüzkar profili
Komanda mərkəzinin təhlili zamanı tərtibatçının elektron poçtunu və ləqəbini müəyyən etmək mümkün oldu - Razer, aka Brwa, Brwa65, HiDDen PerSON, 404 Coder. Sonra YouTube-da inşaatçı ilə işləməyi nümayiş etdirən maraqlı bir video tapdıq.
Bu, orijinal tərtibatçı kanalını tapmağa imkan verdi.
Onun kriptoqraflar yazmaq təcrübəsi olduğu aydın oldu. Sosial şəbəkələrdəki səhifələrə keçidlər, müəllifin əsl adı da var. Onun İraq sakini olduğu üzə çıxıb.
Guya 404 Keylogger tərtibatçısı belə görünür. Şəkil onun şəxsi Facebook profilindəndir.
CERT Group-IB yeni bir təhlükə elan etdi - 404 Keylogger - Bəhreyndə kibertəhlükələrə qarşı XNUMX saatlıq monitorinq və cavab mərkəzi (SOC).
Mənbə: www.habr.com