En els darrers anys, els troians mòbils han estat substituint activament els troians per als ordinadors personals, de manera que l'aparició de nou programari maliciós per als bons "cotxes" vells i el seu ús actiu per part dels ciberdelinqüents, tot i que és un esdeveniment desagradable, no deixa de ser un esdeveniment. Recentment, el Centre de resposta a incidents de seguretat de la informació XNUMX/XNUMX CERT Group-IB va detectar un correu electrònic de pesca inusual que amagava un nou programari maliciós per a ordinadors que combina les funcions de Keylogger i PasswordStealer. L'atenció dels analistes es va cridar sobre com el programari espia va arribar a la màquina de l'usuari, utilitzant un missatger de veu popular. Ilya Pomerantsev, un expert en l'anàlisi del codi maliciós CERT Group-IB, va explicar com funciona el programari maliciós, per què és perillós i fins i tot va trobar el seu creador, al llunyà Iraq.
Així doncs, anem en ordre. Sota l'aparença d'un fitxer adjunt, aquesta carta contenia una imatge, fent clic a la qual l'usuari va arribar al lloc cdn.discordapp.com, i des d'allà s'ha baixat un fitxer maliciós.
L'ús de Discord, un missatger de veu i text gratuït, és bastant fora de la caixa. Normalment s'utilitzen altres missatgers o xarxes socials per a aquestes finalitats.
Durant una anàlisi més detallada, es va identificar una família de programari maliciós. Va resultar ser un nouvingut al mercat del programari maliciós: 404 Keylogger.
Es va publicar el primer anunci sobre la venda d'un keylogger Hackforums usuari amb el sobrenom "404 Coder" el 8 d'agost.
El domini de la botiga es va registrar recentment: el 7 de setembre de 2019.
Segons els desenvolupadors del lloc 404projectes[.]xyz, 404 és una eina creada per ajudar les empreses a conèixer les accions dels seus clients (amb el seu permís) o per a aquells que volen protegir el seu binari de l'enginyeria inversa. Mirant endavant, diguem-ho amb l'última tasca 404 definitivament no funciona.
Vam decidir invertir un dels fitxers i comprovar què és "BEST SMART KEYLOGGER".
Ecosistema HPE
Carregador 1 (AtillaCrypter)
El fitxer original està protegit amb EaxObfuscator i realitza una càrrega en dues etapes AtProtect de la secció de recursos. Durant l'anàlisi d'altres mostres trobades a VirusTotal, va quedar clar que aquesta etapa no la va plantejar el propi desenvolupador, sinó que l'ha afegit el seu client. Més tard es va trobar que aquest carregador d'arrencada és AtillaCrypter.
Carregador 2 (AtProtect)
De fet, aquest carregador és una part integral del programari maliciós i, segons el desenvolupador, hauria d'assumir la funcionalitat de contrarestar l'anàlisi.
Tanmateix, a la pràctica, els mecanismes de protecció són extremadament primitius i els nostres sistemes detecten amb èxit aquest programari maliciós.
El mòdul principal es carrega amb Franchy ShellCode diverses versions. Tanmateix, no descartem que es puguin utilitzar altres opcions, per exemple, RunPE.
Fitxer de configuració
Fixació en el sistema
La correcció al sistema la proporciona el carregador d'arrencada AtProtectsi s'estableix la bandera corresponent.
- El fitxer es copia al llarg del camí %AppData%GFqaakZpzwm.exe.
- S'està creant el fitxer %AppData%GFqaakWinDriv.url, llançament Zpzwm.exe.
- En branca HKCUSoftwareMicrosoftWindowsCurrentVersionRun es genera la clau d'inici WinDrive.url.
Interacció amb C&C
AtProtect Loader
Si el senyalador corresponent està present, el programari maliciós pot iniciar un procés ocult iexplorador i seguiu l'enllaç proporcionat per notificar al servidor d'una infecció correcta.
robador de dades
Independentment del mètode utilitzat, la comunicació de xarxa comença amb l'obtenció de la IP externa de la víctima que utilitza el recurs [http]://checkip[.]dyndns[.]org/.
Agent d'usuari: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; .NET CLR1.0.3705;)
L'estructura general del missatge és la mateixa. Títol present
|——- 404 Keylogger — {Tipus} ——-|On {tipus} correspon al tipus d'informació que es transmet.
La següent és informació sobre el sistema:
_______ + INFORMACIÓ DE LA VÍCTIMA + _______
IP: {IP externa}
Nom del propietari: {Nom de l'ordinador}
Nom del sistema operatiu: {nom del sistema operatiu}
Versió del SO: {Versió del SO}
Plataforma SO: {Platform}
Mida de la memòria RAM: {mida de la memòria RAM}
______________________________
I finalment, les dades transmeses.
SMTP
L'assumpte del correu electrònic és així: 404K | {tipus de missatge} | Nom del client: {username}.
Curiosament, lliurar cartes al client 404 Keylogger s'utilitza el servidor SMTP del desenvolupador.
Això va permetre identificar alguns clients, així com el correu d'un dels desenvolupadors.
FTP
Quan s'utilitza aquest mètode, la informació recollida es desa en un fitxer i es llegeix immediatament des d'allà.
La lògica d'aquesta acció no és del tot clara, però crea un artefacte addicional per escriure regles de comportament.
%HOMEDRIVE%%HOMEPATH%DocumentsA{Número personalitzat}.txt
Pastebin
En el moment de l'anàlisi, aquest mètode només s'utilitza per a la transferència de contrasenyes robades. A més, s'utilitza no com a alternativa als dos primers, sinó en paral·lel. La condició és el valor de la constant igual a "Vavaa". Probablement aquest és el nom del client.
La interacció es realitza mitjançant el protocol https mitjançant l'API pastebin. Significat api_paste_private és igual PASTE_NO LISTED, que impedeix que es cerquin aquestes pàgines pastebin.
Algoritmes de xifratge
Recuperació d'un fitxer dels recursos
La càrrega útil s'emmagatzema als recursos del carregador AtProtect en forma de mapes de bits. L'extracció es realitza en diverses etapes:
- S'extreu una matriu de bytes de la imatge. Cada píxel es tracta com una seqüència de 3 bytes en ordre BGR. Després de l'extracció, els primers 4 bytes de la matriu emmagatzemen la longitud del missatge, el següent: el missatge en si.
- La clau està calculada. Per fer-ho, MD5 es calcula a partir del valor "ZpzwmjMJyfTNiRalKVrcSkxCN" especificat com a contrasenya. El hash resultant s'escriu dues vegades.
- El desxifrat es realitza mitjançant un algorisme AES en mode ECB.
Funcionalitat maliciosa
descarregador
Implementat al carregador d'arrencada AtProtect.
- Apel·lació per [activelink-repalce] es demana l'estat del servidor sobre la disposició per donar el fitxer. El servidor hauria de tornar "ACTIVAT".
- Per enllaç [downloadlink-replace] es descarrega la càrrega útil.
- Amb FranchyShellcode La càrrega útil s'injecta al procés [inj-substituir].
Durant l'anàlisi del domini 404projectes[.]xyz s'han identificat instàncies addicionals a VirusTotal 404 Keylogger, així com diversos tipus de carregadores.
Convencionalment, es divideixen en dos tipus:
- La càrrega es realitza des del recurs 404projectes[.]xyz.
Les dades estan codificades en Base64 i encriptades AES. - Aquesta opció consta de diverses etapes i el més probable és que s'utilitzi conjuntament amb el carregador d'arrencada AtProtect.
- En la primera etapa, es carreguen les dades pastebin i descodificat mitjançant la funció HexToByte.
- En la segona etapa, la font de descàrrega és ella mateixa 404projectes[.]xyz. Al mateix temps, les funcions de descompressió i descodificació són similars a les que es troben a DataStealer. Probablement, originalment es va planificar implementar la funcionalitat del carregador al mòdul principal.
- En aquest punt, la càrrega útil ja es troba al manifest del recurs en forma comprimida. També es van trobar funcions d'extracció similars al mòdul principal.
Es van trobar carregadors entre els fitxers analitzats njRat, SpyGate i altres RAT.
Keylogger
Període d'enviament del registre: 30 minuts.
Tots els caràcters són compatibles. Els caràcters especials s'escapen. Hi ha un processament de les tecles BackSpace i Delete. Es té en compte el registre.
portapapers
Període d'enviament del registre: 30 minuts.
Període de sondeig de memòria intermèdia: 0,1 segons.
Escape d'enllaç implementat.
ScreenLogger
Període d'enviament del registre: 60 minuts.
Les captures de pantalla es guarden a %HOMEDRIVE%%HOMEPATH%Documents404k404pic.png.
Després d'enviar la carpeta 404k s'elimina.
Robador de contrasenyes
| Navegadors | Clients de correu electrònic | Clients FTP |
|---|---|---|
| Chrome | Outlook | FileZilla |
| Firefox | Thunderbird | |
| SeaMonkey | foxmail | |
| Icedragon | ||
| Lluna pàl·lida | ||
| ciberfox | ||
| Chrome | ||
| BraveBrowser | ||
| QQBrowser | ||
| IridiumBrowser | ||
| XvastBrowser | ||
| Chedot | ||
| Navegador 360 | ||
| ComodoDragon | ||
| 360 Crom | ||
| SuperBird | ||
| CentBrowser | ||
| GhostBrowser | ||
| IronBrowser | ||
| Crom | ||
| Vivaldi | ||
| SlimjetBrowser | ||
| Bitrbita | ||
| CocCoc | ||
| Torxa | ||
| UCBbrowser | ||
| EpicBrowser | ||
| BliskBrowser | ||
| Òpera |
Oposició a l'anàlisi dinàmica
- Comprovar si un procés està en anàlisi
Es realitza mitjançant la recerca de processos administrador de tasques, ProcessHacker, procexp64, procexp, procmon. Si se'n troba almenys un, el programari maliciós surt.
- Comprovant si esteu en un entorn virtual
Es realitza mitjançant la recerca de processos vmtoolsd, Servei VGAuth, vmachlp, Servei VBox, VBoxTray. Si se'n troba almenys un, el programari maliciós surt.
- Adormir-se durant 5 segons
- Demostració de diferents tipus de quadres de diàleg
Es pot utilitzar per evitar algunes caixes de sorra.
- Evita la UAC
Es realitza mitjançant l'edició d'una clau de registre EnableLUA a la configuració de la política de grup.
- Apliqueu l'atribut Ocult al fitxer actual.
- Possibilitat d'esborrar el fitxer actual.
Funcions inactives
Durant l'anàlisi del carregador i del mòdul principal, s'han trobat funcions que són responsables de la funcionalitat addicional, però que no s'utilitzen enlloc. Això probablement es deu al fet que el programari maliciós encara està en desenvolupament i la funcionalitat s'ampliarà aviat.
AtProtect Loader
S'ha trobat una funció que s'encarrega de carregar i injectar en el procés msiexec.exe mòdul arbitrari.
robador de dades
- Fixació en el sistema
- Funcions de descompressió i desxifrat
És probable que aviat s'implementarà el xifratge de dades durant la interacció amb la xarxa. - Finalització de processos antivirus
| zlclient | Dvp95_0 | Pavsched | avgserv9 |
| egui | Ecengine | pavw | avgserv9schedapp |
| bdagent | Esafe | PCCIOMON | avgemc |
| npfmsg | Espwatch | PCCMAIN | ashwebsv |
| olydbg | F-Agnt95 | pccwin98 | cendra |
| anubis | Troba virus | Pcfwallicon | ashmaisv |
| wireshark | fprot | Persfw | ashserv |
| Avastui | F-Prot | POP3TRAP | aswUpdSv |
| _Avp32 | F-Prot95 | PVIEW95 | symwsc |
| vsmon | Fp Win | Rav7 | norton |
| mbam | frw | Rav7win | Norton Auto-Protect |
| codificador de tecles | F-Stopw | Rescatar | norton_av |
| _Avpcc | imapp | SafeWeb | nortonav |
| _Avpm | Iamserv | Escaneig 32 | ccsetmgr |
| Ackwin32 | Ibmasn | Escaneig 95 | ccevtmgr |
| Avançament | Ibmavsp | Scanpm | avadmin |
| Antitroià | Icload95 | Scrscan | avcenter |
| AntiVir | Icloadnt | Serv95 | mitjana |
| Apvxdwin | icmon | smc | avantguardista |
| ATRACK | Icsupp95 | SMCSERVICE | avisar |
| baixada automàtica | Icsuppnt | Snort | avscan |
| Avconsol | Afronto | Esfinx | guardgui |
| Ave32 | Iomon98 | Escombrar 95 | nod32krn |
| Avgctrl | Jedi | SYMPROXYSVC | nod32kui |
| Avkserv | confinament 2000 | Tbscan | clamscan |
| Avnt | Estar atent | Tca | clamTray |
| Avp | Luall | Tds2-98 | clamWin |
| Avp32 | MCAFEE | Tds2-Nt | freshclam |
| Avpcc | Moolive | TerminNET | oladdin |
| Avpdos32 | mpftray | Vet95 | eina sig |
| Avpm | N32scanw | Vettaray | w9xpopen |
| Avptc32 | NAVAPSVC | Vscan40 | Tancar |
| Avpupd | NAVAPW32 | Vsecomr | cmgrdian |
| Avsched32 | NAVLU32 | Vshwin32 | alogserv |
| AVSYNMGR | Navnt | Vsstat | mcshield |
| Avwin95 | NAVRUNR | webscanx | vshwin32 |
| Avwupd32 | Navw32 | TRAP WEB | avconsol |
| negre | Navwnt | Wfindv32 | vsstat |
| Gel negre | neowatch | ZoneAlarm | avsynmgr |
| cfiadmin | NISSERV | BLOCKING2000 | avcmd |
| Cfiaudit | Nisum | RESCATE 32 | avconfig |
| Cfinet | n principal | LUCOMSERVER | licmgr |
| Cfinet32 | normista | migcc | programat |
| Arpa95 | NORTON | migcc | preupd |
| Claw95cf | Actualització | avgamsvr | MsMpEng |
| Netejador | Nvc95 | avgupsvc | MSASCui |
| Netejador3 | Avançament | migw | Avira.Systray |
| Defwatch | admin | avgcc32 | |
| Dvp95 | Pavcl | avgserv |
- autodestrucció
- S'estan carregant dades del recurs de manifest especificat
- Còpia d'un fitxer al llarg del camí %Temp%tmpG[Data i hora actuals en mil·lisegons].tmp
Curiosament, hi ha una funció idèntica al programari maliciós AgentTesla. - Funcionalitat del cuc
El programari maliciós rep una llista de suports extraïbles. Es crea una còpia del programari maliciós a l'arrel del sistema de fitxers multimèdia amb el nom Sys.exe. L'inici automàtic s'implementa mitjançant el fitxer autorun.inf.
Perfil de l'atacant
Durant l'anàlisi del centre de comandaments, va ser possible establir el correu i el sobrenom del desenvolupador: Razer, també conegut com Brwa, Brwa65, HiDDen PerSOn, 404 Coder. A més, es va trobar un vídeo interessant a YouTube, que demostra el treball amb el constructor.
Això va permetre trobar el canal de desenvolupador original.
Va quedar clar que tenia experiència en escriure criptors. També hi ha enllaços a pàgines de les xarxes socials, així com el nom real de l'autor. Va resultar ser un resident de l'Iraq.
Aquest és el que suposadament sembla un desenvolupador de 404 Keylogger. Foto del seu perfil personal de Facebook.
CERT Group-IB ha anunciat una nova amenaça - 404 Keylogger - un Centre de seguiment i resposta a amenaces cibernètiques (SOC) les XNUMX hores del dia a Bahrain.
Font: www.habr.com