চমক সহ কীলগার: কীলগার বিশ্লেষণ এবং এর বিকাশকারীর ডিনন

সাম্প্রতিক বছরগুলিতে, মোবাইল ট্রোজানগুলি সক্রিয়ভাবে ব্যক্তিগত কম্পিউটারের জন্য ট্রোজানগুলিকে প্রতিস্থাপন করছে, তাই ভাল পুরানো "গাড়িগুলির" জন্য নতুন ম্যালওয়ারের আবির্ভাব এবং সাইবার অপরাধীদের দ্বারা তাদের সক্রিয় ব্যবহার, যদিও অপ্রীতিকর, এখনও একটি ঘটনা। সম্প্রতি, CERT Group-IB-এর 24/7 তথ্য নিরাপত্তা ঘটনা প্রতিক্রিয়া কেন্দ্র একটি অস্বাভাবিক ফিশিং ইমেল সনাক্ত করেছে যা একটি নতুন পিসি ম্যালওয়্যার লুকিয়ে রেখেছিল যা কীলগার এবং পাসওয়ার্ডস্টিলারের ফাংশনগুলিকে একত্রিত করে৷ একটি জনপ্রিয় ভয়েস মেসেঞ্জার ব্যবহার করে ব্যবহারকারীর মেশিনে স্পাইওয়্যার কীভাবে প্রবেশ করেছে সেদিকে বিশ্লেষকদের দৃষ্টি আকর্ষণ করা হয়েছিল। ইলিয়া পোমেরান্তসেভ, CERT Group-IB-এর একজন ম্যালওয়্যার বিশ্লেষণ বিশেষজ্ঞ, ব্যাখ্যা করেছেন কীভাবে ম্যালওয়্যার কাজ করে, কেন এটি বিপজ্জনক, এমনকি সুদূর ইরাকে এর সৃষ্টিকর্তাকেও খুঁজে পাওয়া যায়।

সুতরাং, এর ক্রম যান. একটি সংযুক্তির ছদ্মবেশে, এই জাতীয় একটি চিঠিতে একটি ছবি রয়েছে, যা ক্লিক করার পরে ব্যবহারকারীকে সাইটে নিয়ে যাওয়া হয়েছিল cdn.discordapp.com, এবং সেখান থেকে একটি দূষিত ফাইল ডাউনলোড করা হয়েছিল।

একটি ফ্রি ভয়েস এবং টেক্সট মেসেঞ্জার ডিসকর্ড ব্যবহার করা বেশ অপ্রচলিত। সাধারণত, অন্যান্য তাত্ক্ষণিক বার্তাবাহক বা সামাজিক নেটওয়ার্কগুলি এই উদ্দেশ্যে ব্যবহার করা হয়।

আরও বিশদ বিশ্লেষণের সময়, ম্যালওয়ারের একটি পরিবার চিহ্নিত করা হয়েছিল। এটি ম্যালওয়্যার বাজারে একজন নবাগত হিসাবে পরিণত হয়েছে - 404 কীলগার.

একটি keylogger বিক্রয়ের জন্য প্রথম বিজ্ঞাপন পোস্ট করা হয়েছিল হ্যাকফোরাম 404 আগস্টে "8 কোডার" ডাকনামের অধীনে ব্যবহারকারী দ্বারা।

স্টোর ডোমেনটি বেশ সম্প্রতি নিবন্ধিত হয়েছে - সেপ্টেম্বর 7, 2019 এ।

ডেভেলপাররা ওয়েবসাইটে বলেছে 404 প্রকল্প [.]xyz, 404 কোম্পানিগুলিকে তাদের গ্রাহকদের কার্যকলাপ (তাদের অনুমতি নিয়ে) বা যারা তাদের বাইনারিকে বিপরীত প্রকৌশল থেকে রক্ষা করতে চায় তাদের সম্পর্কে জানতে সাহায্য করার জন্য ডিজাইন করা একটি টুল৷ সামনের দিকে তাকিয়ে, শেষ টাস্ক দিয়েই বলি 404 নিশ্চিতভাবে মানিয়ে নেয় না।

আমরা একটি ফাইল উল্টানোর সিদ্ধান্ত নিয়েছি এবং "BEST SMART KEYLOGGER" কী তা পরীক্ষা করে দেখব৷

ম্যালওয়্যার ইকোসিস্টেম

লোডার 1 (AtillaCrypter)

সোর্স ফাইলটি ব্যবহার করে সুরক্ষিত EaxObfuscator এবং দ্বি-পদক্ষেপ লোডিং সঞ্চালন করে AtProtect সম্পদ বিভাগ থেকে। VirusTotal-এ পাওয়া অন্যান্য নমুনাগুলির বিশ্লেষণের সময়, এটি স্পষ্ট হয়ে ওঠে যে এই পর্যায়টি বিকাশকারী নিজেই সরবরাহ করেননি, তবে তার ক্লায়েন্ট দ্বারা যোগ করা হয়েছিল। পরে এটি নির্ধারণ করা হয়েছিল যে এই বুটলোডারটি AtillaCrypter ছিল।

বুটলোডার 2 (AtProtect)

প্রকৃতপক্ষে, এই লোডারটি ম্যালওয়্যারের একটি অবিচ্ছেদ্য অংশ এবং বিকাশকারীর অভিপ্রায় অনুযায়ী, কাউন্টারিং বিশ্লেষণের কার্যকারিতা গ্রহণ করা উচিত।

যাইহোক, বাস্তবে, সুরক্ষা ব্যবস্থাগুলি অত্যন্ত আদিম, এবং আমাদের সিস্টেমগুলি সফলভাবে এই ম্যালওয়্যার সনাক্ত করে৷

প্রধান মডিউল ব্যবহার করে লোড করা হয় ফ্র্যাঞ্চি শেলকোড বিভিন্ন সংস্করণ। যাইহোক, আমরা বাদ দিই না যে অন্যান্য বিকল্পগুলি ব্যবহার করা যেতে পারে, উদাহরণস্বরূপ, RunPE.

কনফিগারেশন ফাইল

সিস্টেমে একত্রীকরণ

সিস্টেমে একত্রীকরণ বুটলোডার দ্বারা নিশ্চিত করা হয় AtProtect, যদি সংশ্লিষ্ট পতাকা সেট করা হয়।

• ফাইল পাথ বরাবর অনুলিপি করা হয় %AppData%GFqaakZpzwm.exe.
• ফাইল তৈরি হয় %AppData%GFqaakWinDriv.url, লঞ্চ হচ্ছে Zpzwm.exe.
• সুতোয় এইচকেসিউসফটওয়্যারমাইক্রোসফট উইন্ডোস কর্নার ভার্সনরুন একটি স্টার্টআপ কী তৈরি করা হয় WinDriv.url.

C&C এর সাথে মিথস্ক্রিয়া

লোডার AtProtect

উপযুক্ত পতাকা উপস্থিত থাকলে, ম্যালওয়্যার একটি লুকানো প্রক্রিয়া চালু করতে পারে iexplorer এবং সফল সংক্রমণ সম্পর্কে সার্ভারকে অবহিত করতে নির্দিষ্ট লিঙ্ক অনুসরণ করুন।

ডেটা স্টিলার

যে পদ্ধতিই ব্যবহার করা হোক না কেন, নেটওয়ার্ক যোগাযোগ শুরু হয় সম্পদ ব্যবহার করে শিকারের বাহ্যিক আইপি পাওয়ার মাধ্যমে। [http]://checkip[.]dyndns[.]org/.

ব্যবহারকারী-এজেন্ট: Mozilla/4.0 (সামঞ্জস্যপূর্ণ; MSIE 6.0; Windows NT 5.2; .NET CLR1.0.3705;)

বার্তার সাধারণ কাঠামো একই। হেডার উপস্থিত
|——- 404 কীলগার — {টাইপ} ——-|যেখানে {টাইপ} প্রেরিত তথ্যের প্রকারের সাথে মিলে যায়।
নিম্নলিখিত সিস্টেম সম্পর্কে তথ্য:

_______ + ভিকটিম তথ্য + _______

IP: {বহিরাগত IP}
মালিকের নাম: {কম্পিউটার নাম}
OS নাম: {OS Name}
OS সংস্করণ: {OS সংস্করণ}
ওএস প্ল্যাটফর্ম: {প্ল্যাটফর্ম}
RAM সাইজ: {RAM size}
______________________________

এবং অবশেষে, প্রেরিত তথ্য.

SMTP এর

চিঠির বিষয় নিম্নরূপ: 404 কে | {বার্তার ধরন} | ক্লায়েন্টের নাম: {ব্যবহারকারীর নাম}.

মজার ব্যাপার হল, ক্লায়েন্টের কাছে চিঠি পৌঁছে দেওয়া 404 কীলগার ডেভেলপারদের SMTP সার্ভার ব্যবহার করা হয়।

এটি কিছু ক্লায়েন্ট এবং সেইসাথে বিকাশকারীদের একজনের ইমেল সনাক্ত করা সম্ভব করেছে।

FTP- র

এই পদ্ধতি ব্যবহার করার সময়, সংগৃহীত তথ্য একটি ফাইলে সংরক্ষণ করা হয় এবং সেখান থেকে অবিলম্বে পড়া হয়।

এই কর্মের পিছনে যুক্তি সম্পূর্ণরূপে পরিষ্কার নয়, তবে এটি আচরণগত নিয়ম লেখার জন্য একটি অতিরিক্ত শিল্পকর্ম তৈরি করে।

%HOMEDRIVE%%HOMEPATH%ডকুমেন্টসএ{আরবিট্রারি নম্বর}.txt

Pastebin

বিশ্লেষণের সময়, এই পদ্ধতিটি শুধুমাত্র চুরি করা পাসওয়ার্ড স্থানান্তর করতে ব্যবহৃত হয়। তদুপরি, এটি প্রথম দুটির বিকল্প হিসাবে নয়, সমান্তরালভাবে ব্যবহৃত হয়। শর্ত হল "Vavaa" এর সমান ধ্রুবকের মান। সম্ভবত এটি ক্লায়েন্টের নাম।

API এর মাধ্যমে https প্রোটোকলের মাধ্যমে মিথস্ক্রিয়া ঘটে পেস্টবিন. অর্থ api_paste_private হয় PASTE_UNLISTED, যা এই ধরনের পৃষ্ঠাগুলির জন্য অনুসন্ধান নিষিদ্ধ করে৷ পেস্টবিন.

এনক্রিপশন অ্যালগরিদম

সম্পদ থেকে একটি ফাইল পুনরুদ্ধার করা হচ্ছে

পেলোড বুটলোডার সম্পদে সংরক্ষণ করা হয় AtProtect বিটম্যাপ ইমেজ আকারে. নিষ্কাশন বিভিন্ন পর্যায়ে বাহিত হয়:

• ইমেজ থেকে বাইটের একটি অ্যারে বের করা হয়। প্রতিটি পিক্সেলকে বিজিআর ক্রমে 3 বাইটের ক্রম হিসাবে বিবেচনা করা হয়। নিষ্কাশনের পরে, অ্যারের প্রথম 4 বাইট বার্তাটির দৈর্ঘ্য সংরক্ষণ করে, পরবর্তীগুলি বার্তাটি নিজেই সংরক্ষণ করে।

  

• কী গণনা করা হয়। এটি করার জন্য, পাসওয়ার্ড হিসাবে নির্দিষ্ট করা "ZpzwmjMJyfTNiRalKVrcSkxCN" মান থেকে MD5 গণনা করা হয়। ফলস্বরূপ হ্যাশ দুইবার লেখা হয়।

  

• ডিক্রিপশন ECB মোডে AES অ্যালগরিদম ব্যবহার করে সঞ্চালিত হয়।

দূষিত কার্যকারিতা

ডাউনলোডার

বুটলোডারে প্রয়োগ করা হয়েছে AtProtect.

• যোগাযোগ করে [সক্রিয় লিঙ্ক-রিপালস] সার্ভারের স্থিতি নিশ্চিত করার জন্য অনুরোধ করা হয়েছে যে এটি ফাইলটি পরিবেশন করার জন্য প্রস্তুত। সার্ভার ফিরে আসা উচিত "চালু".
• লিঙ্কে [ডাউনলোড লিঙ্ক-প্রতিস্থাপন] পেলোড ডাউনলোড করা হয়.
• এর সাহায্যে ফ্র্যাঞ্চিশেলকোড পেলোড প্রক্রিয়ার মধ্যে ইনজেকশনের হয় [ইনজ-প্রতিস্থাপন].

ডোমেন বিশ্লেষণের সময় 404 প্রকল্প [.]xyz VirusTotal এ অতিরিক্ত দৃষ্টান্ত চিহ্নিত করা হয়েছে 404 কীলগার, সেইসাথে বিভিন্ন ধরনের লোডার।

প্রচলিতভাবে, এগুলি দুটি প্রকারে বিভক্ত:

1. ডাউনলোডিং সম্পদ থেকে বাহিত হয় 404 প্রকল্প [.]xyz.

   
   ডেটা বেস 64 এনকোড করা এবং AES এনক্রিপ্ট করা।

2. এই বিকল্পটি বেশ কয়েকটি পর্যায় নিয়ে গঠিত এবং সম্ভবত এটি একটি বুটলোডারের সাথে ব্যবহার করা হয় AtProtect.

• প্রথম পর্যায়ে, থেকে ডেটা লোড করা হয় পেস্টবিন এবং ফাংশন ব্যবহার করে ডিকোড করা হয়েছে HexToByte.

  

• দ্বিতীয় পর্যায়ে, লোডের উৎস হল 404 প্রকল্প [.]xyz. যাইহোক, ডিকম্প্রেশন এবং ডিকোডিং ফাংশনগুলি ডেটাস্টিলারের মতোই। এটি সম্ভবত মূল মডিউলে বুটলোডার কার্যকারিতা বাস্তবায়নের পরিকল্পনা করা হয়েছিল।

  

• এই পর্যায়ে, পেলোড ইতিমধ্যেই একটি সংকুচিত আকারে রিসোর্স ম্যানিফেস্টে রয়েছে। একই রকম নিষ্কাশন ফাংশন প্রধান মডিউলেও পাওয়া গেছে।

বিশ্লেষণ করা ফাইলের মধ্যে ডাউনলোডার পাওয়া গেছে njRat, স্পাইগেট এবং অন্যান্য RATs।

keylogger

লগ পাঠানোর সময়কাল: 30 মিনিট।

সমস্ত অক্ষর সমর্থিত. বিশেষ চরিত্রগুলো পালিয়ে গেছে। ব্যাকস্পেস এবং ডিলিট কীগুলির জন্য প্রক্রিয়াকরণ রয়েছে৷ কেস সংবেদনশীল।

ক্লিপবোর্ডলগার

লগ পাঠানোর সময়কাল: 30 মিনিট।

বাফার ভোটের সময়কাল: 0,1 সেকেন্ড।

বাস্তবায়িত লিঙ্ক এস্কেপিং।

স্ক্রিনলগার

লগ পাঠানোর সময়কাল: 60 মিনিট।

স্ক্রিনশট সংরক্ষিত হয় %HOMEDRIVE%%HOMEPATH%নথিপত্র404k404pic.png.

ফোল্ডার পাঠানোর পর 404k মুছে ফেলা হয়

পাসওয়ার্ড চুরিকারী

Браузеры	মেইল ক্লায়েন্ট	FTP ক্লায়েন্ট
ক্রৌমিয়াম	চেহারা	FileZilla
ফায়ারফক্স	থান্ডারবার্ড
সীমাঙ্কী	ফক্সমেইল
বরফ ড্রাগন
ফ্যাকাশে চাঁদ
সাইবারফক্স
ক্রৌমিয়াম
সাহসী ব্রাউজার
কিউকিউ ব্রাউজার
ইরিডিয়াম ব্রাউজার
এক্সভাস্ট ব্রাউজার
চেডোট
360 ব্রাউজার
কমোডোড্রাগন
360Chrome
সুপারবার্ড
সেন্ট ব্রাউজার
ঘোস্ট ব্রাউজার
আয়রন ব্রাউজার
ক্রৌমিয়াম
ভিভালডি
স্লিমজেট ব্রাউজার
অরবিটাম
কককক
মশাল
UC Browser
এপিক ব্রাউজার
BliskBrowser
Opera

গতিশীল বিশ্লেষণের প্রতিকূলতা

• একটি প্রক্রিয়া বিশ্লেষণের অধীনে আছে কিনা তা পরীক্ষা করা হচ্ছে

  প্রক্রিয়া অনুসন্ধান ব্যবহার করে বাহিত টাস্কমিগার, প্রসেসহ্যাকার, procexp64, procexp, procmon. যদি অন্তত একটি পাওয়া যায়, ম্যালওয়্যার প্রস্থান করে.

• আপনি ভার্চুয়াল পরিবেশে আছেন কিনা তা পরীক্ষা করা হচ্ছে

  প্রক্রিয়া অনুসন্ধান ব্যবহার করে বাহিত vmtoolsd, VGAuthService, vmacthlp, VBoxService, VBoxTray. যদি অন্তত একটি পাওয়া যায়, ম্যালওয়্যার প্রস্থান করে.

• 5 সেকেন্ডের জন্য ঘুমিয়ে পড়া
• বিভিন্ন ধরনের ডায়ালগ বক্সের প্রদর্শনী

  কিছু স্যান্ডবক্স বাইপাস করতে ব্যবহার করা যেতে পারে।

• UAC বাইপাস

  রেজিস্ট্রি কী সম্পাদনা করে সম্পাদিত EnableLUA গ্রুপ পলিসি সেটিংসে।

• বর্তমান ফাইলে "লুকানো" বৈশিষ্ট্য প্রয়োগ করে।
• বর্তমান ফাইল মুছে ফেলার ক্ষমতা.

নিষ্ক্রিয় বৈশিষ্ট্য

বুটলোডার এবং প্রধান মডিউলের বিশ্লেষণের সময়, ফাংশনগুলি পাওয়া গেছে যা অতিরিক্ত কার্যকারিতার জন্য দায়ী, কিন্তু সেগুলি কোথাও ব্যবহার করা হয় না। এটি সম্ভবত ম্যালওয়্যারটি এখনও বিকাশের মধ্যে রয়েছে এবং কার্যকারিতাটি শীঘ্রই প্রসারিত করা হবে এই কারণে।

লোডার AtProtect

একটি ফাংশন পাওয়া গেছে যা প্রক্রিয়ায় লোড এবং ইনজেকশনের জন্য দায়ী msiexec.exe নির্বিচারে মডিউল।

ডেটা স্টিলার

• সিস্টেমে একত্রীকরণ

  

• ডিকম্প্রেশন এবং ডিক্রিপশন ফাংশন

  
  
  সম্ভবত নেটওয়ার্ক যোগাযোগের সময় ডেটা এনক্রিপশন শীঘ্রই কার্যকর করা হবে।

• অ্যান্টিভাইরাস প্রক্রিয়া বন্ধ করা

zlclient	Dvp95_0	Pavsched	avgserv9
egui	ইঞ্জিন	পভ	avgserv9schedapp
bdagent	Esafe	পিসিসিওমন	avgemc
npfmsg	এসপওয়াচ	PCCMAIN	ashwebsv
olydbg	F-Agnt95	Pccwin98	ashdisp
Anubis	ফাইন্ডভির	পিসিএফওয়ালিকন	ashmaisv
wireshark	Fprot	Persfw	ashserv
অবস্তুই	এফ Prot	POP3TRAP	aswUpdSv
_এভিপি৩২	F-Prot95	PVIEW95	symwsc
vsmon	এফপি-উইন	RAV7	Norton
mbam	Frw	Rav7win	নর্টন অটো-সুরক্ষা
কীস্ক্র্যাম্বলার	F- Stopw	উদ্ধার	norton_av
_এভিপিসিসি	Iamapp	সেফওয়েব	নর্টোনাভ
_এভিপিএম	Iamserv	স্ক্যান২	ccsetmgr
অ্যাকউইন32	ইবমসন	স্ক্যান২	ccevtmgr
ফাঁড়ি	Ibmavsp	স্ক্যানপিএম	avadmin
ট্রোজান বিরোধী	আইক্লোড95	Scrscan	avcenter
এন্টিভাইরাসের	আইকলোডেন্ট	সার্ভ95	গড়
Apvxdwin	আইকমন	Smc	avguard
একটি ট্র্যাক	Icsupp95	SMCSERVICE	অবহিত করা
অটোডাউন	Icsupnt	হ্রেষাধ্বনি	avscan
Avconsol	আমি মুখোমুখি	স্পিংক্স	গার্ডগুই
Ave32	Iomon98	সুইপ 95	nod32krn
Avgctrl	Jedi	SYMPROXYSVC	nod32kui
Avkserv	লকডাউন 2000	Tbscan	ক্লামস্ক্যান
এভন্ট	সাবধান	Tca	ক্ল্যামট্রে
Avp	লুয়াল	Tds2-98	clamWin
Avp32	এমসিএফআই	Tds2-Nt	freshclam
এভিপিসিসি	মুলিভ	টার্মিনেট	ওলাদ্দিন
Avpdos32	এমপিফ্রে	Vet95	sig টুল
এভিপিএম	N32 স্ক্যানডব্লিউ	ভেত্রে	w9xpopen
Avptc32	NAVAPSVC	Vscan40	বন্ধ
Avpupd	NAVAPW32	Vsecomr	cmgrdian
Avsched32	NAVLU32	Vshwin32	alogserv
AVSYNMGR	নভনট	Vsstat	mcshield
Avwin95	NAVRUNR	ওয়েবস্ক্যানক্স	vshwin32
Avwupd32	Navw32	ওয়েবট্র্যাপ	avconsol
কালো	নভনট	Wfindv32	vsstat
কালো বরফ	নিওওয়াচ	জোন অ্যালার্ম	avsynmgr
Cfiadmin	NISSERV	লকডাউন 2000	avcmd
Cfiaudit	নিসুম	উদ্ধার ৩২	avconfig
সিফিনেট	Nmain	লুকসার্ভার	licmgr
Cfinet32	আদর্শবাদী	avgcc	নির্ধারিত
নখর95	নরটন	avgcc	preupd
claw95cf	আপগ্রেড	avgamsvr	MsMpEng
পরিষ্কারক	Nvc95	avgupsvc	MSASCui
ক্লিনার ৩	ফাঁড়ি	avgw	আভিরা।সিস্ট্রে
ডিফওয়াচ	পদমিন	avgcc32
Dvp95	Pavcl	avgserv

• আত্ম-ধ্বংস
• নির্দিষ্ট রিসোর্স ম্যানিফেস্ট থেকে ডেটা লোড হচ্ছে

  

• একটি পাথ বরাবর একটি ফাইল অনুলিপি করা %Temp%tmpG[বর্তমান তারিখ এবং সময় মিলিসেকেন্ডে].tmp

  
  মজার বিষয় হল, AgentTesla ম্যালওয়্যারে একটি অভিন্ন ফাংশন উপস্থিত রয়েছে৷

• কৃমি কার্যকারিতা

  ম্যালওয়্যার অপসারণযোগ্য মিডিয়ার একটি তালিকা পায়। নামের সাথে মিডিয়া ফাইল সিস্টেমের রুটে ম্যালওয়্যারের একটি কপি তৈরি করা হয় Sys.exe. অটোরান একটি ফাইল ব্যবহার করে বাস্তবায়ন করা হয় autorun.inf.

  

আক্রমণকারীর প্রোফাইল

কমান্ড সেন্টারের বিশ্লেষণের সময়, বিকাশকারীর ইমেল এবং ডাকনাম স্থাপন করা সম্ভব হয়েছিল - রেজার, ওরফে ব্রওয়া, ব্রওয়া 65, হাইডিডেন পারসন, 404 কোডার। এরপরে, আমরা YouTube-এ একটি আকর্ষণীয় ভিডিও পেয়েছি যা নির্মাতার সাথে কাজ করে দেখায়।

এটি মূল বিকাশকারী চ্যানেল খুঁজে পাওয়া সম্ভব করেছে।

এটা স্পষ্ট হয়ে ওঠে যে তার ক্রিপ্টোগ্রাফার লেখার অভিজ্ঞতা ছিল। এছাড়াও সামাজিক নেটওয়ার্কগুলিতে পৃষ্ঠাগুলির লিঙ্ক রয়েছে, সেইসাথে লেখকের আসল নাম। তিনি ইরাকের বাসিন্দা বলে জানা গেছে।

এটি একটি 404 Keylogger বিকাশকারীকে অনুমিতভাবে দেখতে কেমন লাগে৷ ছবি তার ব্যক্তিগত ফেসবুক প্রোফাইল থেকে।

CERT Group-IB একটি নতুন হুমকি ঘোষণা করেছে - 404 Keylogger - বাহরাইনে সাইবার হুমকির জন্য একটি XNUMX-ঘন্টা পর্যবেক্ষণ এবং প্রতিক্রিয়া কেন্দ্র (SOC)।

উত্স: www.habr.com