Mobilní trojské koně v posledních letech aktivně nahrazují trojské koně pro osobní počítače, takže vznik nového malwaru pro stará dobrá „auta“ a jejich aktivní používání kyberzločinci, byť nepříjemnou událostí, je stále událostí. Centrum CERT Group-IB XNUMX/XNUMX Information Security Incident Response Center nedávno zjistilo neobvyklý phishingový e-mail, který skrýval nový malware pro PC, který kombinuje funkce Keylogger a PasswordStealer. Pozornost analytiků upoutalo, jak se spyware dostal do počítače uživatele – pomocí populárního hlasového posla. Ilja Pomerantsev, expert na analýzu škodlivého kódu CERT Group-IB, prozradil, jak malware funguje, proč je nebezpečný, a dokonce našel svého tvůrce – ve vzdáleném Iráku.
Tak pojďme popořadě. Pod maskou přílohy obsahoval takový dopis obrázek, na který se uživatel po kliknutí dostal na stránky cdn.discordapp.coma odtud byl stažen škodlivý soubor.
Použití Discordu, bezplatného hlasového a textového messengeru, je docela nestandardní. Obvykle se pro tyto účely používají jiné posly nebo sociální sítě.
Během podrobnější analýzy byla identifikována rodina malwaru. Ukázalo se, že je to nováček na trhu s malwarem – 404 Keylogger.
První oznámení o prodeji keyloggeru bylo zveřejněno dne hackforums uživatele pod přezdívkou „404 Coder“ dne 8. srpna.
Doména obchodu byla zaregistrována poměrně nedávno – 7. září 2019.
Podle vývojářů na webu 404projektů[.]xyz, 404 je nástroj vytvořený s cílem pomoci společnostem dozvědět se o akcích jejich zákazníků (s jejich svolením) nebo pro ty, kteří chtějí chránit svůj binární kód před reverzním inženýrstvím. Při pohledu dopředu řekněme, že s posledním úkolem 404 rozhodně nefunguje.
Rozhodli jsme se vyřešit jeden ze souborů a zkontrolovat, co je "NEJLEPŠÍ SMART KEYLOGGER".
Ekosystém HPE
Loader 1 (AtillaCrypter)
Původní soubor je chráněn pomocí EaxObfuscator a provádí dvoufázové zatížení AtProtect ze sekce zdrojů. Při analýze dalších vzorků nalezených na VirusTotal vyšlo najevo, že tuto fázi nepočítal sám vývojář, ale přidal ji jeho klient. Později bylo zjištěno, že tento bootloader je AtillaCrypter.
Loader 2 (AtProtect)
Ve skutečnosti je tento zavaděč nedílnou součástí malwaru a podle vývojáře by měl převzít funkci analýzy bránění.
V praxi jsou však ochranné mechanismy extrémně primitivní a naše systémy tento malware úspěšně detekují.
Hlavní modul se načte pomocí Franchy ShellCode různé verze. Nevylučujeme však, že by bylo možné využít i jiné možnosti, např. RunPE.
Konfigurační soubor
Oprava v systému
Opravu v systému zajišťuje bootloader AtProtectpokud je nastaven odpovídající příznak.
- Soubor se zkopíruje podél cesty %AppData%GFqaakZpzwm.exe.
- Soubor se vytváří %AppData%GFqaakWinDriv.url, spouštění Zpzwm.exe.
- Ve větvi HKCoftwareMicrosoftWindowsCurrentVersionRun je vygenerován startovací klíč WinDrive.url.
Interakce s C&C
AtProtect Loader
Pokud je přítomen odpovídající příznak, malware může spustit skrytý proces iexplorer a pomocí uvedeného odkazu upozorněte server na úspěšnou infekci.
zloděj dat
Bez ohledu na použitou metodu začíná síťová komunikace získáním externí IP adresy oběti pomocí zdroje [http]://checkip[.]dyndns[.]org/.
User-Agent: Mozilla/4.0 (kompatibilní; MSIE 6.0; Windows NT 5.2; .NET CLR1.0.3705;)
Obecná struktura zprávy je stejná. Název přítomen
|——- 404 Keylogger — {Typ} ——-|Kde {typ} odpovídá typu přenášené informace.
Níže jsou uvedeny informace o systému:
_______ + INFORMACE O OBĚTI + _______
IP: {Externí IP}
Jméno vlastníka: {Název počítače}
Název operačního systému: {název operačního systému}
Verze operačního systému: {Verze operačního systému}
Platforma OS: {Platform}
Velikost RAM: {Velikost RAM}
______________________________
A nakonec přenášená data.
SMTP
Předmět e-mailu vypadá takto: 404K | {typ zprávy} | Jméno klienta: {username}.
Zajímavé je doručovat dopisy klientovi 404 Keylogger je použit SMTP server vývojáře.
To umožnilo identifikovat některé klienty a také poštu jednoho z vývojářů.
FTP
Při použití této metody se shromážděné informace ukládají do souboru a odtud se okamžitě čtou.
Logika této akce není zcela jasná, ale vytváří další artefakt pro psaní pravidel chování.
%HOMEDRIVE%%HOMEPATH%DocumentsA{Vlastní číslo}.txt
Pastebin
V době analýzy je tato metoda používána pouze pro přenos odcizených hesel. Navíc se nepoužívá jako alternativa k prvním dvěma, ale paralelně. Podmínkou je hodnota konstanty rovna "Vavaa". Pravděpodobně je to jméno zákazníka.
Interakce probíhá přes protokol https přes API pastebin. Význam api_paste_private rovná se PASTE_UNLISTED, který zabraňuje prohledávání takových stránek pastebin.
Šifrovací algoritmy
Načítání souboru ze zdrojů
Užitná zátěž je uložena ve zdrojích zavaděče AtProtect ve formě bitmap. Extrakce se provádí v několika fázích:
- Z obrázku je extrahováno pole bajtů. Každý pixel je považován za sekvenci 3 bajtů v pořadí BGR. Po extrakci první 4 bajty pole ukládají délku zprávy, další - samotnou zprávu.
- Klíč je vypočítán. K tomu se MD5 vypočítá z hodnoty "ZpzwmjMJyfTNiRalKVrcSkxCN" zadané jako heslo. Výsledný hash se zapíše dvakrát.
- Dešifrování je prováděno algoritmem AES v režimu ECB.
Škodlivá funkce
Downloader
Implementováno v bootloaderu AtProtect.
- Odvolání do [activelink-repalce] je požadován stav serveru o připravenosti dát soubor. Server by se měl vrátit "NA".
- odkaz [stáhnout odkaz-nahradit] užitečné zatížení se stáhne.
- S Kód FranchyShell užitečné zatížení je vstřikováno do procesu [inj-nahradit].
Během analýzy domény 404projektů[.]xyz další instance byly identifikovány na VirusTotal 404 Keylogger, stejně jako několik typů nakladačů.
Obvykle se dělí na dva typy:
- Načítání se provádí ze zdroje 404projektů[.]xyz.
Data jsou kódována Base64 a šifrována AES. - Tato možnost se skládá z několika fází a s největší pravděpodobností se používá ve spojení s bootloaderem AtProtect.
- V první fázi se data načtou z pastebin a dekódovat pomocí funkce HexToByte.
- Ve druhé fázi je zdrojem stahování on sám 404projektů[.]xyz. Zároveň jsou funkce dekomprese a dekódování podobné těm, které najdete v DataStealer. Pravděpodobně bylo původně plánováno implementovat funkci loaderu do hlavního modulu.
- V tomto okamžiku je datová část již v manifestu prostředku v komprimované podobě. Podobné extrakční funkce byly také nalezeny v hlavním modulu.
Mezi analyzovanými soubory byly nalezeny zavaděče njRat, SpyGate a další RATs.
keylogger
Doba odesílání protokolu: 30 minut.
Všechny postavy jsou podporovány. Speciální postavy jsou uniknuté. Dochází ke zpracování kláves BackSpace a Delete. Registr je brán v úvahu.
clipboardlogger
Doba odesílání protokolu: 30 minut.
Perioda dotazování vyrovnávací paměti: 0,1 sekundy.
Implementováno escapování odkazu.
ScreenLogger
Doba odesílání protokolu: 60 minut.
Snímky obrazovky jsou uloženy v %HOMEDRIVE%%HOMEPATH%Documents404k404pic.png.
Po odeslání složky 404 je odebrán.
Zloděj hesel
| Prohlížeče | E-mailové klienty | FTP klienti |
|---|---|---|
| chróm | výhled | FileZilla |
| Firefox | buřňák | |
| SeaMonkey | Foxmail | |
| Icedragon | ||
| Bledý měsíc | ||
| Cyberfox | ||
| chróm | ||
| BraveBrowser | ||
| QQBrowser | ||
| IridiumBrowser | ||
| XvastBrowser | ||
| Chedot | ||
| Prohlížeč 360 | ||
| ComodoDragon | ||
| 360 Chrome | ||
| SuperBird | ||
| CentBrowser | ||
| GhostBrowser | ||
| IronBrowser | ||
| Chróm | ||
| Vivaldi | ||
| SlimjetBrowser | ||
| Orbitum | ||
| CocCoc | ||
| Pochodeň | ||
| UCBrowser | ||
| EpicBrowser | ||
| BliskBrowser | ||
| Opera |
Opozice vůči dynamické analýze
- Kontrola, zda probíhá analýza procesu
Provádí se hledáním procesů taskmgr, ProcessHacker, postup64, procexp, procmon. Pokud je nalezen alespoň jeden, malware se ukončí.
- Kontrola, zda jste ve virtuálním prostředí
Provádí se hledáním procesů vmtoolsd, VGAuthService, vmacthlp, VBoxService, VBoxTray. Pokud je nalezen alespoň jeden, malware se ukončí.
- Usnout na 5 sekund
- Ukázka různých typů dialogových oken
Lze použít k obejití některých sandboxů.
- Obejít UAC
Provádí se úpravou klíče registru EnableLUA v nastavení zásad skupiny.
- Použijte atribut Skrytý na aktuální soubor.
- Možnost smazat aktuální soubor.
Neaktivní funkce
Při analýze zavaděče a hlavního modulu byly nalezeny funkce, které jsou zodpovědné za další funkce, ale nejsou nikde použity. Pravděpodobně je to způsobeno tím, že malware je stále ve vývoji a funkčnost bude brzy rozšířena.
AtProtect Loader
Byla nalezena funkce, která je zodpovědná za načítání a vstřikování do procesu Msiexec.exe libovolný modul.
zloděj dat
- Oprava v systému
- Dekompresní a dešifrovací funkce
Je pravděpodobné, že brzy bude implementováno šifrování dat během síťové interakce. - Ukončení antivirových procesů
| zlclient | Dvp95_0 | Pavsched | avgserv9 |
| egui | Ecengine | pavw | avgserv9schedapp |
| bdagent | Esafe | PCCIOMON | avgemc |
| npfmsg | Espwatch | PCCMAIN | ashwebsv |
| olydbg | F-Agnt95 | pccwin98 | ashdisp |
| anubis | Findvir | Pcfwallicon | ashmaisv |
| Wireshark | fprot | Persfw | ashserv |
| Avastui | F-Prot | POP3TRAP | aswUpdSv |
| _Avp32 | F-Prot95 | PVIEW95 | symwsc |
| vsmon | Fp Win | Rav7 | norton |
| Mbam | frw | Rav7win | Norton Auto-Protect |
| keycrambler | F-Stopw | Zachránit | norton_av |
| _Avpcc | imapp | SafeWeb | nortonav |
| _Avpm | Iamserv | Scan32 | ccsetmgr |
| Ackwin32 | Ibmasn | Scan95 | ccevtmgr |
| Výspa | Ibmavsp | Scanpm | avadmin |
| Anti Trojan | Icload95 | Scrscan | avcenter |
| ANTIVIR | Icloadnt | Serv95 | průměr |
| Apvxdwin | icmon | smc | avguard |
| ATRACK | Icsupp95 | SMCSERVICE | avnotify |
| autodown | Icsuppnt | Šňupat | avscan |
| Avconsol | Čelím | Sfinga | guardgui |
| Pták32 | Iomon98 | Sweep95 | nod32krn |
| Avgctrl | Jedi | SYMPROXYSVC | nod32kui |
| Avkserv | Uzamčení 2000 | Tbscan | clamscan |
| Avnt | Pozor | Tca | clamTray |
| Prům | Luall | Tds2-98 | clamWin |
| Avp32 | mcafee | Tds2-Nt | čerstvý |
| Avpcc | Moolive | TermiNET | oladdin |
| Avpdos32 | mpftray | Vet95 | nástroj sig |
| Avpm | N32scanw | Vettaray | w9xpopen |
| Avptc32 | NAVAPSVC | Vscan40 | Zavřít |
| Avpupd | NAVAPW32 | Všecomr | cmgrdian |
| Avsched32 | NAVLU32 | Vshwin32 | alogserv |
| AVSYNMGR | Navnt | Vsstat | mcshield |
| Avwin95 | NAVRUNR | webscanx | vshwin32 |
| Avwupd32 | Navw32 | WEBTRAP | avconsol |
| zčernalý | Navwnt | Wfindv32 | vsstat |
| Černý led | neowatch | ZoneAlarm | avsynmgr |
| cfiadmin | NISSERV | UZAMKNUTÍ 2000 | avcmd |
| Cfiaudit | Nisum | ZÁCHRANA32 | avconfig |
| Cfinet | n hlavní | LUCOMSERVER | licmgr |
| Cfinet32 | normista | avgcc | rozvrh |
| Dráp95 | NORTON | avgcc | preupd |
| Claw95cf | Nupgrade | avgamsvr | MsMpEng |
| Čistič | Nvc95 | avgupsvc | MSASCui |
| Čistič 3 | Výspa | prům | Avira.Systray |
| Defwatch | admin | avgcc32 | |
| Dvp95 | Pavlem | avgserv |
- sebedestrukce
- Načítání dat ze zadaného zdroje manifestu
- Kopírování souboru podél cesty %Temp%tmpG[Aktuální datum a čas v milisekundách].tmp
Zajímavé je, že identická funkce je přítomna v malwaru AgentTesla. - Funkce červa
Malware obdrží seznam vyměnitelných médií. Kopie malwaru se vytvoří v kořenovém adresáři systému souborů médií s názvem sys.exe. Autostart je implementován pomocí souboru autorun.inf.
Profil útočníka
Během analýzy velitelského centra bylo možné zjistit poštu a přezdívku vývojáře - Razer, aka Brwa, Brwa65, HiDDen PerSOn, 404 Coder. Dále bylo na YouTube nalezeno zajímavé video, které demonstruje práci se stavitelem.
To umožnilo najít původní kanál pro vývojáře.
Ukázalo se, že má zkušenosti s psaním kryptorů. Nechybí ani odkazy na stránky na sociálních sítích a také skutečné jméno autora. Ukázalo se, že jde o obyvatele Iráku.
Takhle prý vypadá vývojář 404 Keylogger. Fotografie z jeho osobního facebookového profilu.
CERT Group-IB oznámila novou hrozbu – 404 Keylogger – XNUMX/XNUMX Cyber Threat Monitoring and Response Center (SOC) v Bahrajnu.
Zdroj: www.habr.com