Keylogger s iznenađenjem: analiza keyloggera i dekan njegovog programera

Posljednjih godina mobilni trojanci aktivno zamjenjuju trojance za osobna računala, tako da je pojava novih malvera za stare dobre "automobile" i njihovo aktivno korištenje od strane sajber kriminalaca, iako neugodan događaj, i dalje događaj. Nedavno je CERT Group-IB XNUMX/XNUMX centar za odgovor na incidente sigurnosti informacija otkrio neobičnu phishing e-poštu koja je skrivala novi zlonamjerni softver za PC koji kombinira funkcije Keylogger-a i PasswordStealer-a. Pažnju analitičara privukao je način na koji je špijunski softver ušao na mašinu korisnika - koristeći popularni glasovni glasnik. Ilya Pomerantsev, stručnjak za analizu zlonamjernog koda CERT Group-IB, ispričao je kako zlonamjerni softver funkcionira, zašto je opasan, pa čak i pronašao svog tvorca - u dalekom Iraku.

Dakle, idemo redom. Pod krinkom priloga, takvo pismo je sadržavalo sliku, kada je korisnik kliknuo na koju je došao na stranicu cdn.discordapp.com, a odatle je preuzeta zlonamjerna datoteka.

Korištenje Discorda, besplatnog glasovnog i tekstualnog glasnika, prilično je neobično. Obično se u te svrhe koriste drugi messengeri ili društvene mreže.

Tokom detaljnije analize, identifikovana je porodica malvera. Ispostavilo se da je to novajlija na tržištu zlonamjernog softvera - 404 Keylogger.

Objavljen je prvi oglas za prodaju keyloggera hackforums korisnik pod nadimkom "404 Coder" 8. avgusta.

Domena prodavnice registrovana je sasvim nedavno - 7.

Prema programerima na stranici 404projects[.]xyz, 404 je alat kreiran da pomogne kompanijama da nauče o akcijama svojih kupaca (uz njihovu dozvolu) ili za one koji žele zaštititi svoju binarnost od obrnutog inženjeringa. Gledajući unaprijed, recimo to sa posljednjim zadatkom 404 definitivno ne radi.

Odlučili smo da obrnemo jedan od fajlova i provjerimo šta je "BEST SMART KEYLOGGER".

HPE ekosistem

Loader 1 (AtillaCrypter)

Originalni fajl je zaštićen sa EaxObfuscator i vrši dvostepeno punjenje AtProtect iz odjeljka resursa. Tokom analize drugih uzoraka pronađenih na VirusTotalu, postalo je jasno da ovu fazu nije predvidio sam programer, već je dodao njegov klijent. Kasnije je otkriveno da je ovaj bootloader AtillaCrypter.

Loader 2 (AtProtect)

Zapravo, ovaj učitavač je sastavni dio zlonamjernog softvera i, prema riječima programera, trebao bi preuzeti funkcionalnost analize suprotstavljanja.

Međutim, u praksi su mehanizmi zaštite izuzetno primitivni i naši sistemi uspješno otkrivaju ovaj zlonamjerni softver.

Glavni modul se učitava pomoću Franchy ShellCode razne verzije. Međutim, ne isključujemo da se mogu koristiti i druge opcije, npr. RunPE.

Konfiguracioni fajl

Učvršćivanje u sistemu

Fiksiranje u sistemu obezbeđuje bootloader AtProtectako je postavljena odgovarajuća zastavica.

• Datoteka se kopira duž putanje %AppData%GFqaakZpzwm.exe.
• Fajl se kreira %AppData%GFqaakWinDriv.url, lansiranje Zpzwm.exe.
• U branši HKCUSoftwareMicrosoftWindowsCurrentVersionRun startni ključ se generiše WinDrive.url.

Interakcija sa C&C

AtProtect Loader

Ako je odgovarajuća zastavica prisutna, zlonamjerni softver može pokrenuti skriveni proces iexplorer i slijedite navedeni link da obavijestite server o uspješnoj infekciji.

datastealer

Bez obzira na metodu koja se koristi, mrežna komunikacija počinje dobijanjem eksterne IP adrese žrtve pomoću resursa [http]://checkip[.]dyndns[.]org/.

Korisnički agent: Mozilla/4.0 (kompatibilan; MSIE 6.0; Windows NT 5.2; .NET CLR1.0.3705;)

Opšta struktura poruke je ista. Naslov je prisutan
|——- 404 Keylogger — {Tip} ——-|gde {type} odgovara vrsti prenesene informacije.
Slijede informacije o sistemu:

_______ + INFORMACIJE O ŽRTVI + _______

IP: {Vanjski IP}
Ime vlasnika: {Computer name}
Naziv OS-a: {OS name}
Verzija OS-a: {Verzija OS}
OS platforma: {Platform}
Veličina RAM-a: {RAM size}
______________________________

I konačno, preneseni podaci.

SMTP

Predmet emaila izgleda ovako: 404K | {vrsta poruke} | Ime klijenta: {username}.

Zanimljivo, dostavljati pisma klijentu 404 Keylogger koristi se SMTP server programera.

To je omogućilo identifikaciju nekih klijenata, kao i poštu jednog od programera.

FTP

Kada koristite ovu metodu, prikupljene informacije se pohranjuju u datoteku i odmah čitaju odatle.

Logika ove akcije nije sasvim jasna, ali stvara dodatni artefakt za pisanje pravila ponašanja.

%HOMEDRIVE%%HOMEPATH%DocumentsA{Prilagođeni broj}.txt

pastebin

U vrijeme analize, ova metoda se koristi samo za prijenos ukradenih lozinki. Štoviše, ne koristi se kao alternativa prva dva, već paralelno. Uslov je vrijednost konstante jednaka "Vavaa". Vjerovatno je ovo ime kupca.

Interakcija se odvija preko https protokola preko API-ja pastebin... Značenje api_paste_private jednako PASTE_UNLISTED, što onemogućava pretraživanje takvih stranica pastebin.

Algoritmi šifriranja

Preuzimanje fajla iz resursa

Korisno opterećenje je pohranjeno u resursima učitavača AtProtect u obliku bitmapa. Ekstrakcija se izvodi u nekoliko faza:

• Niz bajtova se izdvaja iz slike. Svaki piksel se tretira kao niz od 3 bajta u BGR redoslijedu. Nakon ekstrakcije, prva 4 bajta niza pohranjuju dužinu poruke, sljedeći - samu poruku.

  

• Ključ je izračunat. Da biste to učinili, MD5 se izračunava iz vrijednosti "ZpzwmjMJyfTNiRalKVrcSkxCN" navedene kao lozinka. Dobiveni hash se upisuje dva puta.

  

• Dešifrovanje se vrši AES algoritmom u ECB modu.

Zlonamjerna funkcionalnost

downloader

Implementirano u bootloaderu AtProtect.

• Apel by [activelink-repalce] traži se status servera o spremnosti da da fajl. Server bi se trebao vratiti "ON".
• Veza [downloadlink-replace] korisni teret je preuzet.
• Uz pomoć FranchyShellcode nosivost se ubrizgava u proces [inj-replace].

Tokom analize domena 404projects[.]xyz dodatne instance su identifikovane na VirusTotalu 404 Keylogger, kao i nekoliko vrsta utovarivača.

Konvencionalno se dijele na dvije vrste:

1. Učitavanje se vrši iz resursa 404projects[.]xyz.

   
   Podaci su kodirani Base64 i AES šifrirani.

2. Ova opcija se sastoji od nekoliko faza i najvjerovatnije se koristi u sprezi sa bootloaderom AtProtect.

• U prvoj fazi, podaci se učitavaju iz pastebin i dekodira pomoću funkcije HexToByte.

  

• U drugoj fazi, izvor preuzimanja je sam 404projects[.]xyz. Istovremeno, funkcije dekompresije i dekodiranja slične su onima koje se nalaze u DataStealer-u. Vjerovatno je prvobitno bilo planirano implementirati funkcionalnost učitača u glavni modul.

  

• U ovom trenutku, korisni teret je već u manifestu resursa u komprimiranom obliku. Slične funkcije ekstrakcije su također pronađene u glavnom modulu.

Među analiziranim datotekama pronađeni su učitavači njRat, SpyGate i drugi RAT-ovi.

Keylogger

Vrijeme slanja dnevnika: 30 minuta.

Svi znakovi su podržani. Posebni znakovi se izbjegavaju. Postoji obrada tastera BackSpace i Delete. Registar se uzima u obzir.

clipboardlogger

Vrijeme slanja dnevnika: 30 minuta.

Period anketiranja bafera: 0,1 sekunda.

Implementirano izbjegavanje veze.

ScreenLogger

Vrijeme slanja dnevnika: 60 minuta.

Snimci ekrana su sačuvani %HOMEDRIVE%%HOMEPATH%Documents404k404pic.png.

Nakon slanja foldera 404k je uklonjena.

Password Stealer

Preglednici	Klijenti e-pošte	FTP klijenti
Chrome	izgledi	FileZilla
Firefox	velika ptica nalik orlu
SeaMonkey	fox mail
icedragon
PaleMoon
cyberfox
Chrome
BraveBrowser
QQBrowser
IridiumBrowser
XvastBrowser
Chedot
360Browser
ComodoDragon
360Chrome
SuperBird
CentBrowser
GhostBrowser
IronBrowser
hrom
Vivaldi
SlimjetBrowser
orbitum
CocCoc
baklja
UCBrowser
EpicBrowser
BliskBrowser
opera

Opozicija dinamičkoj analizi

• Provjera da li se proces analizira

  Izvodi se traženjem procesa taskmgr, ProcessHacker, procexp64, procexp, procmon. Ako se barem jedan pronađe, zlonamjerni softver izlazi.

• Provjeravam da li se nalazite u virtuelnom okruženju

  Izvodi se traženjem procesa vmtoolsd, VGAuthService, vmacthlp, VBoxService, VBoxTray. Ako se barem jedan pronađe, zlonamjerni softver izlazi.

• Zaspite na 5 sekundi
• Demonstracija različitih tipova dijaloških okvira

  Može se koristiti za zaobilaženje nekih sandboxova.

• Zaobiđite UAC

  Izvodi se uređivanjem ključa registratora EnableLUA u postavkama grupne politike.

• Primijenite atribut Hidden na trenutnu datoteku.
• Mogućnost brisanja trenutnog fajla.

Neaktivne funkcije

Prilikom analize loadera i glavnog modula pronađene su funkcije koje su odgovorne za dodatnu funkcionalnost, ali se nigdje ne koriste. To je vjerovatno zbog činjenice da je zlonamjerni softver još uvijek u razvoju i da će funkcionalnost uskoro biti proširena.

AtProtect Loader

Pronađena je funkcija koja je odgovorna za učitavanje i ubacivanje u proces msiexec.exe proizvoljni modul.

datastealer

• Učvršćivanje u sistemu

  

• Funkcije dekompresije i dešifriranja

  
  
  Vjerovatno će uskoro biti implementirana enkripcija podataka tokom mrežne interakcije.

• Završetak antivirusnih procesa

zlclient	Dvp95_0	Pavsched	avgserv9
egui	Ecengine	pavw	avgserv9schedapp
bdagent	Esafe	PCCIOMON	avgemc
npfmsg	Espwatch	PCCMAIN	ashwebsv
olydbg	F-Agnt95	pccwin98	ashdisp
Anubis	Findvir	Pcfwallicon	ashmaisv
wireshark	fprot	Persfw	ashserv
Avastui	F-prot	POP3TRAP	aswUpdSv
_Avp32	F-Prot95	PVIEW95	symwsc
vsmon	Fp Win	rav7	norton
mbam	frw	Rav7win	Norton Auto-Protect
keyscrambler	F-Stopw	spasavanje	norton_av
_Avpcc	imapp	SafeWeb	nortonav
_Avpm	Iamserv	Scan32	ccsetmgr
Ackwin32	Ibmasn	Scan95	ccevtmgr
Outpost	Ibmavsp	Scanpm	avadmin
Anti Trojan	Icload95	Scrscan	avcenter
ANTIVIR	Icloadnt	Serv95	avgnt
Apvxdwin	icmon	smc	avguard
ATRACK	Icsupp95	SMCSERVICE	avnotify
autodown	Icsuppnt	Snort	avscan
Avconsol	lice	sfinga	guardgui
Ave32	Iomon98	Sweep95	nod32krn
Avgctrl	Jedi	SYMPROXYSVC	nod32kui
Avkserv	lockdown2000	Tbscan	clamscan
Avnt	Pazi	Tca	clamTray
Avp	Luall	Tds2-98	clamWin
Avp32	mcafee	Tds2-Nt	freshclam
Avpcc	Moolive	TermiNET	oladdin
Avpdos32	mpftray	Vet95	sig tool
Avpm	N32scanw	Vettaray	w9xpopen
Avptc32	NAVAPSVC	Vscan40	Zatvori
Avpupd	NAVAPW32	Vsecomr	cmgrdian
Avsched32	NAVLU32	Vshwin32	alogserv
AVSYNMGR	Navnt	Vsstat	mcshield
Avwin95	NAVRUNR	webscanx	vshwin32
Avwupd32	Navw32	WEBTRAP	avconsol
blackd	Navwnt	Wfindv32	vsstat
Crni led	neowatch	Zonealarm	avsynmgr
cfiadmin	NISSERV	LOCKDOWN2000	avcmd
Cfiaudit	Nisum	RESCUE32	avconfig
Cfinet	n main	LUCOMSERVER	licmgr
Cfinet32	normist	avgcc	sched
Claw95	NORTON	avgcc	preupd
Claw95cf	Nadogradnja	avgamsvr	MsMpEng
Čistač	Nvc95	avgupsvc	MSASCui
Cleaner3	Outpost	avgw	Avira.Systray
Defwatch	admin	avgcc32
Dvp95	pavcl	avgserv

• samouništenje
• Učitavanje podataka iz navedenog resursa manifesta

  

• Kopiranje datoteke duž putanje %Temp%tmpG[Trenutni datum i vrijeme u milisekundama].tmp

  
  Zanimljivo je da je identična funkcija prisutna u zlonamjernom softveru AgentTesla.

• Funkcionalnost crva

  Zlonamjerni softver prima listu prenosivih medija. Kopija zlonamjernog softvera se kreira u korijenu medijskog sistema datoteka s imenom Sys.exe. Automatsko pokretanje se implementira pomoću datoteke autorun.inf.

  

Profil napadača

Tokom analize komandnog centra, bilo je moguće utvrditi mail i nadimak programera - Razer, aka Brwa, Brwa65, HiDDen PerSOn, 404 Coder. Nadalje, na YouTube-u je pronađen zanimljiv video koji pokazuje rad sa graditeljem.

Ovo je omogućilo pronalaženje originalnog kanala programera.

Postalo je jasno da ima iskustva u pisanju kriptora. Tu su i linkovi na stranice na društvenim mrežama, kao i pravo ime autora. Ispostavilo se da je to stanovnik Iraka.

Ovako navodno izgleda 404 Keylogger programer. Fotografija sa njegovog ličnog Facebook profila.

CERT Group-IB je najavio novu prijetnju - 404 Keylogger - centar za praćenje i odgovor na Cyber ​​Threat XNUMX/XNUMX (SOC) u Bahreinu.

izvor: www.habr.com