У апошнія гады мабільныя траяны актыўна выцясняюць траяны для персанальных кампутараў, таму з'яўленне новых шкоднасных праграм пад старыя добрыя "тачкі" і іх актыўнае выкарыстанне кіберзлачынцамі, хоць і непрыемная, але ўсё ж падзея. Нядаўна цэнтр кругласутачнага рэагавання на інцыдэнты інфармацыйнай бяспекі CERT Group-IB зафіксаваў незвычайнае фішынгавае рассыланне, за якой хавалася новая шкоднасная праграма для ПК, якая спалучае ў сабе функцыі Keylogger і PasswordStealer. Увагу аналітыкаў прыцягнула тое, якім чынам шпіёнская праграма пападала на машыну карыстача — з дапамогай папулярнага галасавога месэнджара. Ілля Памаранцаў, спецыяліст па аналізе шкоднаснага кода CERT Group-IB распавёў, як працуе шкоднасная праграма, чым яна небяспечная, і нават знайшоў яе стваральніка - у далёкім Іраку.
Дык вось, пойдзем па парадку. Пад выглядам укладання ў такім вось лісце ўтрымоўвалася малюнак, пры кліку на якую карыстач пападаў на сайт cdn.discordapp.com, і адтуль загружаўся шкоднасны файл.
Выкарыстанне Discord, бясплатнага галасавога і тэкставага месэнджэра, дастаткова нестандартна. Звычайна для гэтых мэт выкарыстоўваюцца іншыя месэнджары ці сацыяльныя сеткі.
У працэсе больш дэталёвага аналізу было ўстаноўлена сямейства ВПА. Ім аказаўся пачатковец на рынку шкоднасных праграм 404 Keylogger.
Першае аб'яву аб продажы кейлоггера было размешчана на хакфорумы карыстальнікам пад нікам «404 Coder» 8 жніўня.
Дамен крамы быў зарэгістраваны зусім нядаўна - 7 верасня 2019 года.
Як запэўніваюць распрацоўшчыкі на сайце 404projects[.]xyz, 404 - Гэта інструмент, створаны, каб дапамагчы кампаніям даведвацца аб дзеяннях сваіх кліентаў (з іх дазволу) або ён патрэбен тым, хто жадае абараніць свой бінарны файл ад рэверс-інжынірынгу. Забягаючы наперад, скажам, што з апошняй задачай 404 сапраўды не спраўляецца.
Мы вырашылі разрэверсіць адзін з файлаў і праверыць, што з сябе ўяўляе "BEST SMART KEYLOGGER".
Экасістэма ВПА
Загрузнік 1 (AtillaCrypter)
Зыходны файл абаронены пры дапамозе EaxObfuscator і ажыццяўляе двухэтапную загрузку AtProtect з секцыі рэсурсаў. У ходзе аналізу іншых сэмплаў, знойдзеных на VirusTotal, стала зразумела, што гэтая стадыя не прадугледжвалася самім распрацоўшчыкам, а была дададзена яго кліентам. У далейшым было ўсталявана, што гэтым загрузнікам з'яўляецца AtillaCrypter.
Загрузнік 2 (AtProtect)
Па факце гэты загрузнік з'яўляецца неад'емнай часткай СПА і, па задуме распрацоўніка, павінен браць на сябе функцыянал па процідзеянні аналізу.
Аднак на практыцы механізмы абароны вельмі прымітыўныя, і нашы сістэмы паспяхова дэтэкцяць гэтае СПА.
Загрузка асноўнага модуля ажыццяўляецца пры дапамозе Franchy ShellCode розных версій. Аднак мы не выключаем, што маглі выкарыстоўвацца і іншыя варыянты, напрыклад, RunPE.
Канфігурацыйны файл
Замацаванне ў сістэме
Замацаванне ў сістэме забяспечваецца загрузчыкам AtProtect, калі ўсталяваны адпаведны сцяг.
- Файл капіюецца па дарозе %AppData%GFqaakZpzwm.exe.
- Ствараецца файл %AppData%GFqaakWinDriv.url, які запускае Zpzwm.exe.
- У галінцы HKCUSoftwareMicrosoftWindowsCurrentVersionRun ствараецца ключ на запуск WinDriv.url.
Узаемадзеянне з C&C
Загрузнік AtProtect
Пры наяўнасці адпаведнага сцяга ВПО можа запусціць схаваны працэс iexplorer і перайсці па названай спасылцы, каб паведаміць сервер аб паспяховым заражэнні.
DataStealer
Незалежна ад выкарыстоўванага метаду сеткавае ўзаемадзеянне пачынаецца з атрымання вонкавага IP ахвяры з дапамогай рэсурсу [http]://checkip[.]dyndns[.]org/.
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; .NET CLR1.0.3705;)
Аднолькавая і агульная структура паведамлення. Прысутнічае загаловак
|——- 404 Keylogger — {Type} ——-|, Дзе {type} адпавядае тыпу перадаваемай інфармацыі.
Далей ідзе інфармацыя аб сістэме:
_______ + VICTIM INFO + _______
IP: {Вонкавы IP}
Owner Name: {Імя кампутара}
OS Name: {Назва АС}
OS Version: {Версія АС}
OS PlatForm: {Платформа}
RAM Size: {Памер АЗП}
______________________________
І, нарэшце, - перадаюцца дадзеныя.
SMTP
Тэма ліста мае наступны выгляд: 404 K | {Тып паведамлення} | Client Name: {Імя карыстальніка}.
Цікава, што для дастаўкі лістоў кліенту 404 Keylogger выкарыстоўваецца SMTP-сервер распрацоўшчыкаў.
Гэта дазволіла выявіць некаторых кліентаў, а таксама пошту аднаго з распрацоўшчыкаў.
FTP
Пры выкарыстанні гэтага метаду збіраная інфармацыя захоўваецца ў файл і адразу ж адтуль чытаецца.
Логіка гэтага дзеяння не зусім зразумелая, аднак гэта стварае дадатковы артэфакт для напісання правілаў паводзін.
%HOMEDRIVE%%HOMEPATH%DocumentsA{Адвольны лік}.txt
Pastebin
На момант аналізу гэты метад ужываецца толькі для перадачы выкрадзеных пароляў. Прычым ён выкарыстоўваецца не як альтэрнатыва першым двум, а паралельна. Умовай з'яўляецца значэнне канстанты, роўнае «Vavaa». Меркавана, гэтае імя кліента.
Узаемадзеянне адбываецца па https-пратаколу праз API Pastebin. Значэнне api_paste_private роўна PASTE_UNLISTED, што забараняе пошук такіх старонак у Pastebin.
Алгарытмы шыфравання
Выманне файла з рэсурсаў
Карысная нагрузка захоўваецца ў рэсурсах загрузніка AtProtect у выглядзе Bitmap-карцінак. Выманне ажыццяўляецца ў некалькі стадый:
- З карцінкі здабываецца масіў байтаў. Кожны піксель тлумачыцца як паслядоўнасць з 3 байтаў у парадку BGR. Пасля вымання першыя 4 байта масіва захоўваюць даўжыню паведамлення, наступныя - само паведамленне.
- Вылічаецца ключ. Для гэтага вылічваецца MD5 ад значэння "ZpzwmjMJyfTNiRalKVrcSkxCN", указанага ў якасці пароля. Атрыманы хэш запісваецца двойчы.
- Выконваецца расшыфроўка алгарытмам AES у рэжыме ECB.
Шкоднасны функцыянал
загрузнік
Рэалізуецца ў загрузніку AtProtect.
- Зваротам па [activelink-repalce] запытваецца статут сервера аб гатовасці аддаць файл. Сервер павінен вярнуць "ВКЛ".
- па спасылцы [downloadlink-replace] спампоўваецца карысная нагрузка.
- З дапамогай FranchyShellcode ажыццяўляецца инжект карыснай нагрузкі ў працэс [inj-replace].
У ходзе аналізу дамена 404projects[.]xyz на VirusTotal былі выяўлены дадатковыя экзэмпляры 404 Keylogger, а таксама некалькі відаў загрузнікаў.
Умоўна яны дзеляцца на два тыпы:
- Загрузка ажыццяўляецца з рэсурсу 404projects[.]xyz.
Дадзеныя закадаваны Base64 і зашыфраваны AES. - Гэты варыянт складаецца з некалькіх этапаў і, верагодней за ўсё, выкарыстоўваецца ў звязку з загрузнікам AtProtect.
- На першай стадыі дадзеныя загружаюцца з Pastebin і дэкадуюцца пры дапамозе функцыі HexToByte.
- На другой стадыі крыніцай загрузкі служыць сам 404projects[.]xyz. Пры гэтым функцыі дэкампрэсіі і дэкадаванні аналагічныя знойдзеным у DataStealer. Верагодна, першапачаткова планавалася рэалізаваць функцыянал загрузніка ў асноўным модулі.
- На гэтым этапе карысная нагрузка ўжо знаходзіцца ў рэсурс-маніфесце ў сціснутым выглядзе. Аналагічныя функцыі вымання таксама былі знойдзены ў асноўным модулі.
Сярод прааналізаваных файлаў былі знойдзены загрузнікі njRat, SpyGate і іншых RAT.
Keylogger
Перыяд адпраўкі лога: 30 хвілін.
Падтрымліваюцца ўсе знакі. Спецзнакі экрануюцца. Ёсць апрацоўка клявішаў BackSpace і Delete. Улічваецца рэгістр.
ClipboardLogger
Перыяд адпраўкі лога: 30 хвілін.
Перыяд апытання буфера: 0,1 секунды.
Рэалізавана экранаванне спасылак.
ScreenLogger
Перыяд адпраўкі лога: 60 хвілін.
Скрыншоты захоўваюцца ў %HOMEDRIVE%%HOMEPATH%Documents404k404pic.png.
Пасля адпраўкі тэчка 404k выдаляецца.
PasswordStealer
Браўзэры | Паштовыя кліенты | FTP-кліенты |
---|---|---|
хром | Прагноз | FileZilla |
Firefox | буравеснік | |
SeaMonkey | Foxmail | |
ледзяны цмок | ||
Бледны месяц | ||
Кіберліса | ||
хром | ||
BraveBrowser | ||
QQBrowser | ||
IridiumBrowser | ||
XvastBrowser | ||
Чадот | ||
360 Браўзэр | ||
ComodoDragon | ||
360Chrome | ||
SuperBird | ||
CentBrowser | ||
GhostBrowser | ||
IronBrowser | ||
Хром | ||
Вівальдзі | ||
SlimjetBrowser | ||
Арбітум | ||
КокКок | ||
Факел | ||
UCBrowser | ||
EpicBrowser | ||
BliskBrowser | ||
Опера |
Процідзеянне дынамічнаму аналізу
- Праверка знаходжання працэсу пад аналізам
Ажыццяўляецца з дапамогай пошуку працэсаў таскмгр, ProcessHacker, працэсэкс64, працэсэкс, procmon. Калі знойдзены хаця б адзін, ВПА завяршае працу.
- Праверка знаходжання ў віртуальным асяроддзі
Ажыццяўляецца з дапамогай пошуку працэсаў vmtoolsd, VGAuthService, vmacthlp, VBoxService, VBoxTray. Калі знойдзены хаця б адзін, ВПА завяршае працу.
- Засынанне на 5 секунд
- Дэманстрацыя дыялогавых вокнаў розных тыпаў
Можа быць скарыстана для абыходу некаторых пясочніц.
- Абыход UAC
Выконваецца праз рэдагаванне ключа рэестра EnableLUA у наладах групавой палітыкі.
- Ужыванне атрыбуту "Утоены" для бягучага файла.
- Магчымасць выканаць выдаленне бягучага файла.
Неактыўныя магчымасці
У ходзе аналізу загрузніка і асноўнага модуля былі знойдзены функцыі, якія адказваюць за дадатковы функцыянал, аднак яны нідзе не выкарыстоўваюцца. Верагодна, гэта злучана з тым, што ВПО усё яшчэ ў распрацоўцы, і неўзабаве функцыянальнасць будзе пашырана.
Загрузнік AtProtect
Была знойдзена функцыя, якая адказвае за падгрузку і инжект у працэс msiexec.exe адвольнага модуля.
DataStealer
- Замацаванне ў сістэме
- Функцыі дэкампрэсіі і дэшыфроўкі
Верагодна, хутка будзе рэалізавана шыфраванне дадзеных пры сеткавым узаемадзеянні. - Завяршэнне працэсаў антывірусаў
zlclient | Dvp95_0 | Pavsched | avgserv9 |
egui | Ecengine | Pavw | avgserv9schedapp |
bdagent | Esafe | PCCIOMON | avgemc |
npfmsg | Espwatch | PCCMAIN | ashwebsv |
olydbg | F-Agnt95 | Pccwin98 | ashdisp |
anubis | Findviru | Pcfwallicon | ashmaisv |
Wireshark | Fprot | Persfw | ashserv |
avastui | F-Prot | POP3TRAP | aswUpdSv |
_Avp32 | F-Prot95 | PVIEW95 | symwsc |
vsmon | Fp-Win | Rav7 | Нортана |
mbam | Frw | Rav7win | Norton Auto-Protect |
keyscrambler | F-Stopw | Ратаваць | norton_av |
_Avpcc | Iamapp | Safeweb | nortonav |
_Avpm | Iamserv | Сканіраванне 32 | ccsetmgr |
Ackwin32 | Ibmasn | Сканіраванне 95 | ccevtmgr |
Застава | Ibmavsp | Scanpm | avadmin |
Антытраян | Icload95 | Scrscan | avcenter |
Antivir | Icloadnt | Serv95 | ср |
Apvxdwin | Icmon | Smc | avguard |
ATRACK | Icsupp95 | SMCSERVICE | avnotify |
Autodown | Icsuppnt | пырханне | avscan |
Avconsol | Iface | Сфінкс | guardgui |
Праспект32 | Iomon98 | Падмятаць95 | nod32krn |
Avgctrl | Джэдай | SYMPROXYSVC | nod32kui |
Avkserv | Блакаванне 2000 | Tbscan | clamscan |
Avnt | пільнасць | Tca | clamTray |
ср | Луал | Tds2-98 | clamWin |
Avp32 | mcafee | Tds2-Nt | свежая |
Avpcc | Moolive | TermiNET | oladdin |
Avpdos32 | Mpftray | Vet95 | інструмент сігналу |
Avpm | N32scanw | Vettray | w9xpopen |
Avptc32 | NAVAPSVC | Vscan40 | Wclose |
Avpupd | NAVAPW32 | Vsecomr | cmgrdian |
Avsched32 | NAVLU32 | Vshwin32 | alogserv |
AVSYNMGR | Navnt | Vsstat | mcshield |
Avwin95 | NAVRUNR | Webscanx | vshwin32 |
Avwupd32 | Navw32 | WEBTRAP | avconsol |
Блэкд | Navwnt | Wfindv32 | vsstat |
Blackice | NeoWatch | Зонавая сігналізацыя | avsynmgr |
Cfiadmin | NISSERV | BLACKDOWN2000 | avcmd |
Cfiaudit | Нісум | ВЫРАТАВАННЕ32 | avconfig |
Cfinet | Nmain | LUCOMSERVER | licmgr |
Cfinet32 | Normist | avgcc | расклад |
Claw95 | NORTON | avgcc | preupd |
Claw95cf | Nupgrade | avgamsvr | MsMpEng |
Cleaner | Nvc95 | avgupsvc | MSASCui |
Cleaner3 | Застава | avgw | Avira.Systray |
Defwatch | Padmin | avgcc32 | |
Dvp95 | Pavcl | avgserv |
- Самазнішчэнне
- Загрузка даных з названага рэсурс-маніфеста
- Капіраванне файла па шляху %Temp%tmpG[Бягучая дата і час у мілісекундах].tmp
Цікава, што ідэнтычная функцыя прысутнічае ў ВПА AgentTesla. - Функцыянал чарвяка
ВПО атрымлівае спіс здымных носьбітаў. У корані файлавай сістэмы носьбіта ствараецца копія ВПО з імем Sys.exe. Аўтазапуск рэалізаваны пры дапамозе файла autorun.inf.
Профіль зламысніка
Падчас аналізу каманднага цэнтра атрымалася ўсталяваць пошту і нік распрацоўніка – Razer, ён жа Brwa, Brwa65, HiDDen PerSOn, 404 Coder. Далей было знойдзена цікавае відэа на YouTube, дзе дэманструецца праца з білдэрам.
Гэта дазволіла знайсці арыгінальны канал распрацоўшчыка.
Стала ясна, што досвед у напісанні крыптараў у яго маецца. Там жа ёсць спасылкі на старонкі ў сацыяльных сетках, а таксама сапраўднае імя аўтара. Ім аказаўся жыхар Ірака.
Вось так, як мяркуецца, выглядае распрацоўшчык 404 Keylogger. Фота з яго асабістага профіля ў Facebook.
CERT Group-IB апавясціў аб новай пагрозе – 404 Keylogger – кругласутачны цэнтр маніторынгу і рэагавання на кіберпагрозы (SOC) у Бахрэйне.
Крыніца: habr.com