През последните години мобилните троянски коне активно изместват троянските коне за персонални компютри, така че появата на нов зловреден софтуер за добрите стари „коли“ и активното им използване от киберпрестъпниците, макар и неприятно събитие, все още е събитие. Наскоро CERT Group-IB XNUMX/XNUMX Център за реагиране при инциденти с информационна сигурност откри необичаен фишинг имейл, който криеше нов зловреден софтуер за компютри, който комбинира функциите на Keylogger и PasswordStealer. Вниманието на анализаторите беше привлечено от това как шпионският софтуер е попаднал на машината на потребителя - чрез популярен гласов месинджър. Иля Померанцев, експерт по анализ на зловреден код CERT Group-IB, разказа как работи зловреден софтуер, защо е опасен и дори откри неговия създател - в далечен Ирак.
И така, да вървим по ред. Под прикритието на прикачен файл такова писмо съдържаше снимка, като кликна върху която потребителят стигна до сайта cdn.discordapp.com, а оттам е изтеглен злонамерен файл.
Използването на Discord, безплатен гласов и текстов месинджър, е доста необичайно. Обикновено за тези цели се използват други месинджъри или социални мрежи.
При по-подробен анализ беше идентифицирано семейство зловреден софтуер. Оказа се, че е новодошъл на пазара на зловреден софтуер - 404 Keylogger.
Първото съобщение за продажбата на keylogger беше публикувано на хакфоруми потребител под псевдонима "404 Coder" на 8 август.
Домейнът на магазина е регистриран съвсем наскоро - 7 септември 2019 г.
Според разработчиците на сайта 404проекта[.]xyz, 404 е инструмент, създаден, за да помогне на компаниите да научат за действията на своите клиенти (с тяхно разрешение) или за тези, които искат да защитят своя двоичен файл от обратно инженерство. Гледайки напред, нека кажем това с последната задача 404 определено не работи.
Решихме да разрешим един от файловете и да проверим какво е "BEST SMART KEYLOGGER".
HPE екосистема
Товарач 1 (AtillaCrypter)
Оригиналният файл е защитен с EaxObfuscator и извършва двустепенно натоварване AtProtect от секцията с ресурси. По време на анализа на други проби, намерени във VirusTotal, стана ясно, че този етап не е предвиден от самия разработчик, а е добавен от неговия клиент. По-късно беше установено, че този буутлоудър е AtillaCrypter.
Товарач 2 (AtProtect)
Всъщност това зареждане е неразделна част от злонамерения софтуер и според разработчика трябва да поеме функционалността на противодействащ анализ.
На практика обаче защитните механизми са изключително примитивни и нашите системи успешно откриват този зловреден софтуер.
Основният модул се зарежда с помощта на Francchy ShellCode различни версии. Не изключваме обаче, че могат да се използват и други опции, напр. RunPE.
Конфигурационен файл
Фиксиране в системата
Фиксирането в системата се осигурява от буутлоудъра AtProtectако е зададен съответният флаг.
- Файлът се копира по пътя %AppData%GFqaakZpzwm.exe.
- Файлът се създава %AppData%GFqaakWinDriv.url, стартиране Zpzwm.exe.
- В клон HKCUSoftwareMicrosoftWindowsCurrentVersionRun генерира се ключ за стартиране WinDrive.url.
Взаимодействие с C&C
AtProtect Loader
Ако съответният флаг е налице, злонамереният софтуер може да стартира скрит процес iexplorer и следвайте предоставената връзка, за да уведомите сървъра за успешно заразяване.
крадец на данни
Независимо от използвания метод, мрежовата комуникация започва с получаване на външния IP на жертвата, използваща ресурса [http]://checkip[.]dyndns[.]org/.
Потребителски агент: Mozilla/4.0 (съвместим; MSIE 6.0; Windows NT 5.2; .NET CLR1.0.3705;)
Общата структура на съобщението е същата. Налично заглавие
|——- 404 Keylogger — {Тип} ——-|Където {Тип} съответства на вида на предаваната информация.
Следва информация за системата:
_______ + ИНФОРМАЦИЯ ЗА ЖЕРТВАТА + _______
IP: {Външен IP}
Име на собственика: {Име на компютър}
Име на ОС: {Име на ОС}
Версия на ОС: {Версия на ОС}
OS платформа: {Platform}
Размер на RAM: {RAM размер}
______________________________
И накрая, предадените данни.
SMTP
Темата на имейла изглежда така: 404K | {тип съобщение} | Име на клиента: {username}.
Интересно, за доставка на писма до клиента 404 Keylogger използва се SMTP сървърът на разработчика.
Това направи възможно идентифицирането на някои клиенти, както и пощата на един от разработчиците.
FTP
Когато използвате този метод, събраната информация се записва във файл и веднага се чете от там.
Логиката на това действие не е съвсем ясна, но създава допълнителен артефакт за писане на правила за поведение.
%HOMEDRIVE%%HOMEPATH%DocumentsA{Персонализиран номер}.txt
Pastebin
По време на анализа този метод се използва само за предаване на откраднати пароли. Освен това се използва не като алтернатива на първите две, а паралелно. Условието е стойността на константата, равна на "Vavaa". Вероятно това е името на клиента.
Взаимодействието се осъществява по https протокола чрез API pastebin... Стойност api_paste_private е PASTE_UNLISTED, което предотвратява търсенето в такива страници pastebin.
Алгоритми за криптиране
Извличане на файл от ресурси
Полезният товар се съхранява в ресурсите на зареждащия механизъм AtProtect под формата на растерни изображения. Екстракцията се извършва на няколко етапа:
- От изображението се извлича масив от байтове. Всеки пиксел се третира като поредица от 3 байта в BGR ред. След извличането първите 4 байта от масива съхраняват дължината на съобщението, следващите - самото съобщение.
- Ключът е изчислен. За да направите това, MD5 се изчислява от стойността "ZpzwmjMJyfTNiRalKVrcSkxCN", посочена като парола. Полученият хеш се записва два пъти.
- Дешифрирането се извършва от AES алгоритъм в режим ECB.
Злонамерена функционалност
Downloader
Внедрено в буутлоудъра AtProtect.
- Призовавам [активна връзка-repalce] изисква се статус на сървъра относно готовността за предоставяне на файла. Сървърът трябва да се върне "НА".
- По линк [връзка за изтегляне-замяна] полезният товар се изтегля.
- С FranchyShellcode полезният товар се инжектира в процеса [inj-replace].
По време на анализ на домейна 404проекта[.]xyz допълнителни случаи са идентифицирани във VirusTotal 404 Keylogger, както и няколко вида товарачи.
Условно те се разделят на два вида:
- Зареждането се извършва от ресурса 404проекта[.]xyz.
Данните са Base64 кодирани и AES криптирани. - Тази опция се състои от няколко етапа и най-вероятно се използва заедно с буутлоудъра AtProtect.
- На първия етап данните се зареждат от pastebin и декодиран с помощта на функцията HexToByte.
- Във втория етап източникът на изтегляне е самият той 404проекта[.]xyz. В същото време функциите за декомпресия и декодиране са подобни на тези в DataStealer. Вероятно първоначално е било планирано да се внедри функционалността на зареждащия модул в основния модул.
- В този момент полезният товар вече е в манифеста на ресурса в компресирана форма. Подобни функции за извличане бяха открити и в основния модул.
Сред анализираните файлове са открити зареждащи програми njRat, SpyGate и други RATs.
Keylogger
Време за изпращане на лог: 30 минути.
Всички знаци се поддържат. Специалните знаци са екранирани. Има обработка на клавишите BackSpace и Delete. Регистърът се взема предвид.
clipboardlogger
Време за изпращане на лог: 30 минути.
Период на запитване на буфера: 0,1 секунди.
Внедрено екраниране на връзката.
ScreenLogger
Време за изпращане на лог: 60 минути.
Екранните снимки се записват в %HOMEDRIVE%%HOMEPATH%Documents404k404pic.png.
След изпращане на папката 404k се премахва.
Крадец на пароли
| Браузеры | Имейл клиенти | FTP клиенти |
|---|---|---|
| Chrome | перспектива | FileZilla |
| Firefox | Буревестник | |
| SeaMonkey | лисича поща | |
| Icedragon | ||
| Бледата Луна | ||
| киберлисица | ||
| Chrome | ||
| BraveBrowser | ||
| QQBrowser | ||
| Браузър Iridium | ||
| XvastBrowser | ||
| Чедот | ||
| 360 Браузър | ||
| ComodoDragon | ||
| 360Chrome | ||
| Супер птица | ||
| CentBrowser | ||
| GhostBrowser | ||
| IronBrowser | ||
| Хром | ||
| Vivaldi | ||
| SlimjetBrowser | ||
| Орбитум | ||
| CocCoc | ||
| Факел | ||
| UCBrowser | ||
| EpicBrowser | ||
| BliskBrowser | ||
| Opera |
Противопоставяне на динамичния анализ
- Проверка дали даден процес е в процес на анализ
Извършва се чрез търсене на процеси Taskmgr, ProcessHacker, procexp64, procexp, procmon. Ако бъде открит поне един, зловредният софтуер излиза.
- Проверка дали сте във виртуална среда
Извършва се чрез търсене на процеси vmtoolsd, VGAuthService, vmacthlp, VBoxService, VBoxTray. Ако бъде открит поне един, зловредният софтуер излиза.
- Заспите за 5 секунди
- Демонстрация на различни видове диалогови прозорци
Може да се използва за заобикаляне на някои пясъчни кутии.
- Заобикаляне на UAC
Извършва се чрез редактиране на ключ в системния регистър EnableLUA в настройките на груповата политика.
- Приложете атрибута Hidden към текущия файл.
- Възможност за изтриване на текущия файл.
Неактивни функции
По време на анализа на товарача и основния модул бяха открити функции, които отговарят за допълнителна функционалност, но те не се използват никъде. Това вероятно се дължи на факта, че зловреден софтуер все още е в процес на разработка и функционалността скоро ще бъде разширена.
AtProtect Loader
Беше открита функция, която отговаря за зареждането и инжектирането в процеса msiexec.exe произволен модул.
крадец на данни
- Фиксиране в системата
- Функции за декомпресия и декриптиране
Вероятно криптирането на данни по време на мрежово взаимодействие ще бъде въведено скоро. - Прекратяване на антивирусни процеси
| zlclient | Dvp95_0 | Павшед | avgserv9 |
| егуи | Ecengine | pavw | avgserv9schedapp |
| bdagent | Esafe | PCCIOMON | avgemc |
| npfmsg | Espwatch | PCCMAIN | ashwebsv |
| olydbg | F-Agnt95 | pccwin98 | пепелник |
| Анубис | Findvir | Pcfwallicon | ashmaisv |
| Wireshark | fprot | Persfw | ashserv |
| Авастуи | F-Prot | POP3TRAP | aswUpdSv |
| _Avp32 | F-Prot95 | PVIEW95 | symwsc |
| vsmon | Fp победа | Rav7 | Norton |
| mbam | frw | Rav7win | Norton Auto-Protect |
| ключодържател | F-Стоп | Спасяване | norton_av |
| _Avpcc | imapp | SafeWeb | nortonav |
| _Avpm | Iamserv | Сканиране32 | ccsetmgr |
| Ackwin32 | Ибмасн | Сканиране95 | ccevtmgr |
| Преден пост | Ibmavsp | Scanpm | avaadmin |
| Анти-троянски | Icload95 | Scrscan | avcenter |
| AntiVir | Icloadnt | Serv95 | ср |
| Apvxdwin | icmon | Smc | авгард |
| ATRACK | Icsupp95 | СМССЕРВИЗ | avnotify |
| автоматично спускане | Icsuppnt | сумтене | avscan |
| Avconsol | лице | Сфинкс | guardgui |
| Ave32 | Iomon98 | Почистване95 | nod32krn |
| Avgctrl | Джедай | SYMPROXYSVC | nod32kui |
| Avkserv | Заключване2000 | Tbscan | сканиране на миди |
| Avnt | Внимавай | Tca | clamTray |
| ср | Луал | Tds2-98 | clamWin |
| Avp32 | mcafee | Tds2-Nt | freshclam |
| Avpcc | Moolive | TermiNET | оладин |
| Avpdos32 | mpftray | Vet95 | инструмент за сиг |
| Avpm | N32scanw | Веттарай | w9xpopen |
| Avptc32 | NAVAPSVC | Vscan40 | Близо |
| Avpupd | NAVAPW32 | Всекомр | cmgrdian |
| Avsched32 | NAVLU32 | Vshwin32 | alogserv |
| AVSYNMGR | Navnt | Vsstat | макшийлд |
| Avwin95 | НАВРУНР | webscanx | vshwin32 |
| Avwupd32 | Navw32 | WEBTRAP | avconsol |
| blackd | Navwnt | Wfindv32 | vsstat |
| Черен лед | neowatch | ZoneAlarm | avsynmgr |
| cfiadmin | NISSERV | ЗАКЛЮЧВАНЕ 2000 | avcmd |
| Cfiaudit | Нисум | СПАСЯВАНЕ32 | avconfig |
| cfinet | n основен | ЛУКОМСЪРВЪР | licmgr |
| Cfinet32 | нормист | avgcc | график |
| нокът95 | NORTON | avgcc | preupd |
| Claw95cf | Надграждане | avgamsvr | MsMpEng |
| Чистачка | Nvc95 | avgupsvc | MSASCui |
| Чистачка3 | Преден пост | ср | Avira.Systray |
| Defwatch | администратор | avgcc32 | |
| Dvp95 | Павчл | avgserv |
- самоунищожение
- Зареждане на данни от посочения манифестен ресурс
- Копиране на файл по пътя %Temp%tmpG[Текущи дата и час в милисекунди].tmp
Интересното е, че идентична функция присъства в зловреден софтуер AgentTesla. - Функционалност на червея
Зловреден софтуер получава списък с преносими носители. Копие на злонамерения софтуер се създава в корена на медийната файлова система с името Sys.exe. Автоматичното стартиране се реализира с помощта на файла autorun.inf.
Профил на нападателя
По време на анализа на командния център беше възможно да се установи пощата и псевдонимът на разработчика - Razer, известен още като Brwa, Brwa65, HiDDen PerSOn, 404 Coder. Освен това в YouTube беше намерено интересно видео, което демонстрира работата със строителя.
Това направи възможно намирането на оригиналния канал за разработчици.
Стана ясно, че има опит в писането на криптори. Има и връзки към страници в социалните мрежи, както и истинското име на автора. Оказа се, че е жител на Ирак.
Ето как се предполага, че изглежда разработчик на 404 Keylogger. Снимка от личния му фейсбук профил.
CERT Group-IB обяви нова заплаха - 404 Keylogger - XNUMX/XNUMX Център за наблюдение и реагиране на кибер заплахи (SOC) в Бахрейн.
Източник: www.habr.com