Posljednjih godina mobilni trojanci aktivno zamjenjuju trojance za osobna računala, tako da je pojava novih malvera za stare dobre "automobile" i njihovo aktivno korištenje od strane sajber kriminalaca, iako neugodan događaj, i dalje događaj. Nedavno je CERT Group-IB XNUMX/XNUMX centar za odgovor na incidente sigurnosti informacija otkrio neobičnu phishing e-poštu koja je skrivala novi zlonamjerni softver za PC koji kombinira funkcije Keylogger-a i PasswordStealer-a. Pažnju analitičara privukao je način na koji je špijunski softver ušao na mašinu korisnika - koristeći popularni glasovni glasnik. Ilya Pomerantsev, stručnjak za analizu zlonamjernog koda CERT Group-IB, ispričao je kako zlonamjerni softver funkcionira, zašto je opasan, pa čak i pronašao svog tvorca - u dalekom Iraku.
Dakle, idemo redom. Pod krinkom priloga, takvo pismo je sadržavalo sliku, kada je korisnik kliknuo na koju je došao na stranicu cdn.discordapp.com, a odatle je preuzeta zlonamjerna datoteka.
Korištenje Discorda, besplatnog glasovnog i tekstualnog glasnika, prilično je neobično. Obično se u te svrhe koriste drugi messengeri ili društvene mreže.
Tokom detaljnije analize, identifikovana je porodica malvera. Ispostavilo se da je to novajlija na tržištu zlonamjernog softvera - 404 Keylogger.
Objavljen je prvi oglas za prodaju keyloggera hackforums korisnik pod nadimkom "404 Coder" 8. avgusta.
Domena prodavnice registrovana je sasvim nedavno - 7.
Prema programerima na stranici 404projects[.]xyz, 404 je alat kreiran da pomogne kompanijama da nauče o akcijama svojih kupaca (uz njihovu dozvolu) ili za one koji žele zaštititi svoju binarnost od obrnutog inženjeringa. Gledajući unaprijed, recimo to sa posljednjim zadatkom 404 definitivno ne radi.
Odlučili smo da obrnemo jedan od fajlova i provjerimo šta je "BEST SMART KEYLOGGER".
HPE ekosistem
Loader 1 (AtillaCrypter)
Originalni fajl je zaštićen sa EaxObfuscator i vrši dvostepeno punjenje AtProtect iz odjeljka resursa. Tokom analize drugih uzoraka pronađenih na VirusTotalu, postalo je jasno da ovu fazu nije predvidio sam programer, već je dodao njegov klijent. Kasnije je otkriveno da je ovaj bootloader AtillaCrypter.
Loader 2 (AtProtect)
Zapravo, ovaj učitavač je sastavni dio zlonamjernog softvera i, prema riječima programera, trebao bi preuzeti funkcionalnost analize suprotstavljanja.
Međutim, u praksi su mehanizmi zaštite izuzetno primitivni i naši sistemi uspješno otkrivaju ovaj zlonamjerni softver.
Glavni modul se učitava pomoću Franchy ShellCode razne verzije. Međutim, ne isključujemo da se mogu koristiti i druge opcije, npr. RunPE.
Konfiguracioni fajl
Učvršćivanje u sistemu
Fiksiranje u sistemu obezbeđuje bootloader AtProtectako je postavljena odgovarajuća zastavica.
- Datoteka se kopira duž putanje %AppData%GFqaakZpzwm.exe.
- Fajl se kreira %AppData%GFqaakWinDriv.url, lansiranje Zpzwm.exe.
- U branši HKCUSoftwareMicrosoftWindowsCurrentVersionRun startni ključ se generiše WinDrive.url.
Interakcija sa C&C
AtProtect Loader
Ako je odgovarajuća zastavica prisutna, zlonamjerni softver može pokrenuti skriveni proces iexplorer i slijedite navedeni link da obavijestite server o uspješnoj infekciji.
datastealer
Bez obzira na metodu koja se koristi, mrežna komunikacija počinje dobijanjem eksterne IP adrese žrtve pomoću resursa [http]://checkip[.]dyndns[.]org/.
Korisnički agent: Mozilla/4.0 (kompatibilan; MSIE 6.0; Windows NT 5.2; .NET CLR1.0.3705;)
Opšta struktura poruke je ista. Naslov je prisutan
|——- 404 Keylogger — {Tip} ——-|gde {type} odgovara vrsti prenesene informacije.
Slijede informacije o sistemu:
_______ + INFORMACIJE O ŽRTVI + _______
IP: {Vanjski IP}
Ime vlasnika: {Computer name}
Naziv OS-a: {OS name}
Verzija OS-a: {Verzija OS}
OS platforma: {Platform}
Veličina RAM-a: {RAM size}
______________________________
I konačno, preneseni podaci.
SMTP
Predmet emaila izgleda ovako: 404K | {vrsta poruke} | Ime klijenta: {username}.
Zanimljivo, dostavljati pisma klijentu 404 Keylogger koristi se SMTP server programera.
To je omogućilo identifikaciju nekih klijenata, kao i poštu jednog od programera.
FTP
Kada koristite ovu metodu, prikupljene informacije se pohranjuju u datoteku i odmah čitaju odatle.
Logika ove akcije nije sasvim jasna, ali stvara dodatni artefakt za pisanje pravila ponašanja.
%HOMEDRIVE%%HOMEPATH%DocumentsA{Prilagođeni broj}.txt
pastebin
U vrijeme analize, ova metoda se koristi samo za prijenos ukradenih lozinki. Štoviše, ne koristi se kao alternativa prva dva, već paralelno. Uslov je vrijednost konstante jednaka "Vavaa". Vjerovatno je ovo ime kupca.
Interakcija se odvija preko https protokola preko API-ja pastebin... Značenje api_paste_private jednako PASTE_UNLISTED, što onemogućava pretraživanje takvih stranica pastebin.
Algoritmi šifriranja
Preuzimanje fajla iz resursa
Korisno opterećenje je pohranjeno u resursima učitavača AtProtect u obliku bitmapa. Ekstrakcija se izvodi u nekoliko faza:
- Niz bajtova se izdvaja iz slike. Svaki piksel se tretira kao niz od 3 bajta u BGR redoslijedu. Nakon ekstrakcije, prva 4 bajta niza pohranjuju dužinu poruke, sljedeći - samu poruku.
- Ključ je izračunat. Da biste to učinili, MD5 se izračunava iz vrijednosti "ZpzwmjMJyfTNiRalKVrcSkxCN" navedene kao lozinka. Dobiveni hash se upisuje dva puta.
- Dešifrovanje se vrši AES algoritmom u ECB modu.
Zlonamjerna funkcionalnost
downloader
Implementirano u bootloaderu AtProtect.
- Apel by [activelink-repalce] traži se status servera o spremnosti da da fajl. Server bi se trebao vratiti "ON".
- Veza [downloadlink-replace] korisni teret je preuzet.
- Uz pomoć FranchyShellcode nosivost se ubrizgava u proces [inj-replace].
Tokom analize domena 404projects[.]xyz dodatne instance su identifikovane na VirusTotalu 404 Keylogger, kao i nekoliko vrsta utovarivača.
Konvencionalno se dijele na dvije vrste:
- Učitavanje se vrši iz resursa 404projects[.]xyz.
Podaci su kodirani Base64 i AES šifrirani. - Ova opcija se sastoji od nekoliko faza i najvjerovatnije se koristi u sprezi sa bootloaderom AtProtect.
- U prvoj fazi, podaci se učitavaju iz pastebin i dekodira pomoću funkcije HexToByte.
- U drugoj fazi, izvor preuzimanja je sam 404projects[.]xyz. Istovremeno, funkcije dekompresije i dekodiranja slične su onima koje se nalaze u DataStealer-u. Vjerovatno je prvobitno bilo planirano implementirati funkcionalnost učitača u glavni modul.
- U ovom trenutku, korisni teret je već u manifestu resursa u komprimiranom obliku. Slične funkcije ekstrakcije su također pronađene u glavnom modulu.
Među analiziranim datotekama pronađeni su učitavači njRat, SpyGate i drugi RAT-ovi.
Keylogger
Vrijeme slanja dnevnika: 30 minuta.
Svi znakovi su podržani. Posebni znakovi se izbjegavaju. Postoji obrada tastera BackSpace i Delete. Registar se uzima u obzir.
clipboardlogger
Vrijeme slanja dnevnika: 30 minuta.
Period anketiranja bafera: 0,1 sekunda.
Implementirano izbjegavanje veze.
ScreenLogger
Vrijeme slanja dnevnika: 60 minuta.
Snimci ekrana su sačuvani %HOMEDRIVE%%HOMEPATH%Documents404k404pic.png.
Nakon slanja foldera 404k je uklonjena.
Password Stealer
Preglednici | Klijenti e-pošte | FTP klijenti |
---|---|---|
Chrome | izgledi | FileZilla |
Firefox | velika ptica nalik orlu | |
SeaMonkey | fox mail | |
icedragon | ||
PaleMoon | ||
cyberfox | ||
Chrome | ||
BraveBrowser | ||
QQBrowser | ||
IridiumBrowser | ||
XvastBrowser | ||
Chedot | ||
360Browser | ||
ComodoDragon | ||
360Chrome | ||
SuperBird | ||
CentBrowser | ||
GhostBrowser | ||
IronBrowser | ||
hrom | ||
Vivaldi | ||
SlimjetBrowser | ||
orbitum | ||
CocCoc | ||
baklja | ||
UCBrowser | ||
EpicBrowser | ||
BliskBrowser | ||
opera |
Opozicija dinamičkoj analizi
- Provjera da li se proces analizira
Izvodi se traženjem procesa taskmgr, ProcessHacker, procexp64, procexp, procmon. Ako se barem jedan pronađe, zlonamjerni softver izlazi.
- Provjeravam da li se nalazite u virtuelnom okruženju
Izvodi se traženjem procesa vmtoolsd, VGAuthService, vmacthlp, VBoxService, VBoxTray. Ako se barem jedan pronađe, zlonamjerni softver izlazi.
- Zaspite na 5 sekundi
- Demonstracija različitih tipova dijaloških okvira
Može se koristiti za zaobilaženje nekih sandboxova.
- Zaobiđite UAC
Izvodi se uređivanjem ključa registratora EnableLUA u postavkama grupne politike.
- Primijenite atribut Hidden na trenutnu datoteku.
- Mogućnost brisanja trenutnog fajla.
Neaktivne funkcije
Prilikom analize loadera i glavnog modula pronađene su funkcije koje su odgovorne za dodatnu funkcionalnost, ali se nigdje ne koriste. To je vjerovatno zbog činjenice da je zlonamjerni softver još uvijek u razvoju i da će funkcionalnost uskoro biti proširena.
AtProtect Loader
Pronađena je funkcija koja je odgovorna za učitavanje i ubacivanje u proces msiexec.exe proizvoljni modul.
datastealer
- Učvršćivanje u sistemu
- Funkcije dekompresije i dešifriranja
Vjerovatno će uskoro biti implementirana enkripcija podataka tokom mrežne interakcije. - Završetak antivirusnih procesa
zlclient | Dvp95_0 | Pavsched | avgserv9 |
egui | Ecengine | pavw | avgserv9schedapp |
bdagent | Esafe | PCCIOMON | avgemc |
npfmsg | Espwatch | PCCMAIN | ashwebsv |
olydbg | F-Agnt95 | pccwin98 | ashdisp |
Anubis | Findvir | Pcfwallicon | ashmaisv |
wireshark | fprot | Persfw | ashserv |
Avastui | F-prot | POP3TRAP | aswUpdSv |
_Avp32 | F-Prot95 | PVIEW95 | symwsc |
vsmon | Fp Win | rav7 | norton |
mbam | frw | Rav7win | Norton Auto-Protect |
keyscrambler | F-Stopw | spasavanje | norton_av |
_Avpcc | imapp | SafeWeb | nortonav |
_Avpm | Iamserv | Scan32 | ccsetmgr |
Ackwin32 | Ibmasn | Scan95 | ccevtmgr |
Outpost | Ibmavsp | Scanpm | avadmin |
Anti Trojan | Icload95 | Scrscan | avcenter |
ANTIVIR | Icloadnt | Serv95 | avgnt |
Apvxdwin | icmon | smc | avguard |
ATRACK | Icsupp95 | SMCSERVICE | avnotify |
autodown | Icsuppnt | Snort | avscan |
Avconsol | lice | sfinga | guardgui |
Ave32 | Iomon98 | Sweep95 | nod32krn |
Avgctrl | Jedi | SYMPROXYSVC | nod32kui |
Avkserv | lockdown2000 | Tbscan | clamscan |
Avnt | Pazi | Tca | clamTray |
Avp | Luall | Tds2-98 | clamWin |
Avp32 | mcafee | Tds2-Nt | freshclam |
Avpcc | Moolive | TermiNET | oladdin |
Avpdos32 | mpftray | Vet95 | sig tool |
Avpm | N32scanw | Vettaray | w9xpopen |
Avptc32 | NAVAPSVC | Vscan40 | Zatvori |
Avpupd | NAVAPW32 | Vsecomr | cmgrdian |
Avsched32 | NAVLU32 | Vshwin32 | alogserv |
AVSYNMGR | Navnt | Vsstat | mcshield |
Avwin95 | NAVRUNR | webscanx | vshwin32 |
Avwupd32 | Navw32 | WEBTRAP | avconsol |
blackd | Navwnt | Wfindv32 | vsstat |
Crni led | neowatch | Zonealarm | avsynmgr |
cfiadmin | NISSERV | LOCKDOWN2000 | avcmd |
Cfiaudit | Nisum | RESCUE32 | avconfig |
Cfinet | n main | LUCOMSERVER | licmgr |
Cfinet32 | normist | avgcc | sched |
Claw95 | NORTON | avgcc | preupd |
Claw95cf | Nadogradnja | avgamsvr | MsMpEng |
Čistač | Nvc95 | avgupsvc | MSASCui |
Cleaner3 | Outpost | avgw | Avira.Systray |
Defwatch | admin | avgcc32 | |
Dvp95 | pavcl | avgserv |
- samouništenje
- Učitavanje podataka iz navedenog resursa manifesta
- Kopiranje datoteke duž putanje %Temp%tmpG[Trenutni datum i vrijeme u milisekundama].tmp
Zanimljivo je da je identična funkcija prisutna u zlonamjernom softveru AgentTesla. - Funkcionalnost crva
Zlonamjerni softver prima listu prenosivih medija. Kopija zlonamjernog softvera se kreira u korijenu medijskog sistema datoteka s imenom Sys.exe. Automatsko pokretanje se implementira pomoću datoteke autorun.inf.
Profil napadača
Tokom analize komandnog centra, bilo je moguće utvrditi mail i nadimak programera - Razer, aka Brwa, Brwa65, HiDDen PerSOn, 404 Coder. Nadalje, na YouTube-u je pronađen zanimljiv video koji pokazuje rad sa graditeljem.
Ovo je omogućilo pronalaženje originalnog kanala programera.
Postalo je jasno da ima iskustva u pisanju kriptora. Tu su i linkovi na stranice na društvenim mrežama, kao i pravo ime autora. Ispostavilo se da je to stanovnik Iraka.
Ovako navodno izgleda 404 Keylogger programer. Fotografija sa njegovog ličnog Facebook profila.
CERT Group-IB je najavio novu prijetnju - 404 Keylogger - centar za praćenje i odgovor na Cyber Threat XNUMX/XNUMX (SOC) u Bahreinu.
izvor: www.habr.com