Yn ystod y blynyddoedd diwethaf, mae Trojans symudol wedi bod yn disodli Trojans ar gyfer cyfrifiaduron personol yn weithredol, felly mae ymddangosiad malware newydd ar gyfer yr hen "geir" da a'u defnydd gweithredol gan seiberdroseddwyr, er ei fod yn ddigwyddiad annymunol, yn dal i fod yn ddigwyddiad. Yn ddiweddar, canfu Canolfan Ymateb i Ddigwyddiad Diogelwch Gwybodaeth CERT Group-IB XNUMX/XNUMX e-bost gwe-rwydo anarferol a oedd yn cuddio drwgwedd newydd ar gyfer cyfrifiaduron personol sy'n cyfuno swyddogaethau Keylogger a PasswordStealer. Tynnwyd sylw'r dadansoddwyr at sut yr aeth yr ysbïwedd ar beiriant y defnyddiwr - gan ddefnyddio negesydd llais poblogaidd. Ilya Pomerantsev, arbenigwr yn y dadansoddiad o god maleisus CERT Group-IB, wrth sut mae'r malware yn gweithio, pam ei fod yn beryglus, a hyd yn oed dod o hyd i'w greawdwr - yn Irac pell.
Felly, gadewch i ni fynd mewn trefn. O dan gochl atodiad, roedd llythyr o'r fath yn cynnwys llun, pan gafodd ei glicio y cyrhaeddodd y defnyddiwr y wefan arno cdn.discordapp.com, a lawrlwythwyd ffeil maleisus oddi yno.
Mae defnyddio Discord, negesydd llais a thestun am ddim, yn eithaf allan o'r bocs. Fel arfer defnyddir negeswyr neu rwydweithiau cymdeithasol eraill at y dibenion hyn.
Yn ystod dadansoddiad manylach, nodwyd teulu o malware. Trodd allan i fod yn newydd-ddyfodiad i'r farchnad malware - 404 Keylogger.
Mae'r cyhoeddiad cyntaf am werthu keylogger ei bostio ar hacfforymau defnyddiwr o dan y llysenw "404 Coder" ar Awst 8.
Cofrestrwyd parth y siop yn eithaf diweddar - Medi 7, 2019.
Yn ôl y datblygwyr ar y safle 404 o brosiectau[.]xyz, 404 yn declyn a grëwyd i helpu cwmnïau i ddysgu am weithredoedd eu cwsmeriaid (gyda'u caniatâd) neu ar gyfer y rhai sydd am amddiffyn eu deuaidd rhag peirianneg gwrthdro. Wrth edrych ymlaen, gadewch i ni ddweud hynny gyda'r dasg olaf 404 yn bendant ddim yn gweithio.
Penderfynasom ddatrys un o'r ffeiliau a gwirio beth yw "BEST SMART KEYLOGGER".
ecosystem HPE
Llwythwr 1 (AtillaCrypter)
Mae'r ffeil wreiddiol wedi'i diogelu gyda EaxObfuscator ac yn perfformio llwytho dau gam AtProtect o'r adran adnoddau. Yn ystod y dadansoddiad o samplau eraill a ddarganfuwyd ar VirusTotal, daeth yn amlwg na ragwelwyd y cam hwn gan y datblygwr ei hun, ond fe'i ychwanegwyd gan ei gleient. Yn ddiweddarach canfuwyd mai AtillaCrypter yw'r cychwynnwr hwn.
Llwythwr 2 (AtProtect)
Mewn gwirionedd, mae'r llwythwr hwn yn rhan annatod o'r meddalwedd maleisus ac, yn ôl y datblygwr, dylai ymgymryd â swyddogaeth dadansoddi gwrthweithio.
Fodd bynnag, yn ymarferol, mae mecanweithiau amddiffyn yn hynod gyntefig, ac mae ein systemau yn canfod y malware hwn yn llwyddiannus.
Mae'r prif fodiwl yn cael ei lwytho gan ddefnyddio Cod Franchy Shell fersiynau amrywiol. Fodd bynnag, nid ydym yn diystyru y gallai opsiynau eraill gael eu defnyddio, er enghraifft, RunPE.
Ffeil ffurfweddu
Trwsio yn y system
Mae gosod yn y system yn cael ei ddarparu gan y cychwynnydd AtProtectos gosodir y faner gyfatebol.
- Mae'r ffeil yn cael ei chopïo ar hyd y llwybr %AppData%GFqaakZpzwm.exe.
- Ffeil yn cael ei chreu %AppData%GFqaakWinDriv.url, lansio Zpzwm.exe.
- Mewn cangen HKCUSoftwareMicrosoftWindowsCurrentVersionRun cychwyn allweddol yn cael ei gynhyrchu WinDrive.url.
Rhyngweithio â C&C
AtProtect Loader
Os yw'r faner cyfatebol yn bresennol, gall malware lansio proses gudd ichwiliwr a dilynwch y ddolen a ddarperir i hysbysu'r gweinydd am haint llwyddiannus.
datastealer
Waeth beth fo'r dull a ddefnyddir, mae cyfathrebu rhwydwaith yn dechrau gyda chael IP allanol y dioddefwr gan ddefnyddio'r adnodd [http]://checkip[.]dyndns[.]org/.
Asiant Defnyddiwr: Mozilla/4.0 (cyd-fynd; MSIE 6.0; Windows NT 5.2; .NET CLR1.0.3705;)
Mae strwythur cyffredinol y neges yr un peth. Teitl yn bresennol
|——- 404 Keylogger —{Math} ——-|lle {type} yn cyfateb i'r math o wybodaeth sy'n cael ei throsglwyddo.
Dyma wybodaeth am y system:
_______ + GWYBODAETH I DDIODDEFWYR + _______
IP: {IP allanol}
Enw Perchennog: {Enw cyfrifiadur}
Enw OS: {enw OS}
Fersiwn OS: {Fersiwn OS}
Llwyfan OS: {Platform}
Maint RAM: {maint RAM}
______________________________
Ac yn olaf, y data a drosglwyddir.
SMTP
Mae testun yr e-bost yn edrych fel hyn: 404K | {math o neges} | Enw Cleient: {enw defnyddiwr}.
Yn ddiddorol, i ddosbarthu llythyrau i'r cleient 404 Keylogger defnyddir gweinydd SMTP y datblygwr.
Roedd hyn yn ei gwneud hi'n bosibl adnabod rhai cleientiaid, yn ogystal â phost un o'r datblygwyr.
FTP
Wrth ddefnyddio'r dull hwn, mae'r wybodaeth a gasglwyd yn cael ei chadw mewn ffeil a'i darllen ar unwaith oddi yno.
Nid yw rhesymeg y weithred hon yn gwbl glir, ond mae'n creu arteffact ychwanegol ar gyfer ysgrifennu rheolau ymddygiad.
%HOMEDRIVE%%HOMEPATH%DocumentsA{Custom number}.txt
Pastebin
Ar adeg y dadansoddiad, dim ond ar gyfer trosglwyddo cyfrineiriau wedi'u dwyn y defnyddir y dull hwn. Ar ben hynny, fe'i defnyddir nid fel dewis arall i'r ddau gyntaf, ond yn gyfochrog. Y cyflwr yw gwerth y cysonyn hafal i "Vavaa". Mae'n debyg mai dyma enw'r cwsmer.
Mae'r rhyngweithio yn digwydd dros y protocol https trwy'r API pastebin. Ystyr geiriau: api_paste_preifat hafal PASTE_UNLISTED, sy'n atal tudalennau o'r fath rhag cael eu chwilio i mewn pastebin.
Algorithmau amgryptio
Nôl ffeil o adnoddau
Mae'r llwyth tâl yn cael ei storio yn yr adnoddau llwythwr AtProtect ar ffurf Bitmaps. Mae echdynnu yn cael ei wneud mewn sawl cam:
- Mae amrywiaeth o beit yn cael ei dynnu o'r ddelwedd. Mae pob picsel yn cael ei drin fel dilyniant o 3 beit yn nhrefn BGR. Ar ôl echdynnu, mae 4 beit cyntaf yr arae yn storio hyd y neges, y nesaf - y neges ei hun.
- Mae'r allwedd yn cael ei gyfrifo. I wneud hyn, cyfrifir MD5 o'r gwerth "ZpzwmjMJyfTNiRalKVrcSkxCN" a nodir fel y cyfrinair. Mae'r hash canlyniadol yn cael ei ysgrifennu ddwywaith.
- Perfformir dadgryptio gan algorithm AES yn y modd ECB.
Ymarferoldeb maleisus
Downloader
Wedi'i weithredu yn y cychwynnydd AtProtect.
- Apêl gan [activelink-repalce] gofynnir am statws y gweinydd ynghylch parodrwydd i roi'r ffeil. Dylai'r gweinydd ddychwelyd "ON".
- Mae'r cyswllt [downloadlink-disodli] mae'r llwyth tâl yn cael ei lawrlwytho.
- Gyda FranchyShellcode mae llwyth tâl yn cael ei chwistrellu i'r broses [inj-disodli].
Yn ystod dadansoddiad parth 404 o brosiectau[.]xyz mae achosion ychwanegol wedi'u nodi ar VirusTotal 404 Keylogger, yn ogystal â sawl math o lwythwyr.
Yn gonfensiynol, maent wedi'u rhannu'n ddau fath:
- Mae llwytho yn cael ei wneud o'r adnodd 404 o brosiectau[.]xyz.
Mae'r data wedi'i amgodio Base64 ac wedi'i amgryptio AES. - Mae'r opsiwn hwn yn cynnwys sawl cam ac mae'n fwyaf tebygol o gael ei ddefnyddio ar y cyd â'r cychwynnydd AtProtect.
- Yn y cam cyntaf, mae'r data yn cael ei lwytho o pastebin a datgodio gan ddefnyddio'r ffwythiant HexToByte.
- Yn yr ail gam, mae'r ffynhonnell lawrlwytho ei hun 404 o brosiectau[.]xyz. Ar yr un pryd, mae'r swyddogaethau datgywasgu a datgodio yn debyg i'r rhai a geir yn DataStealer. Yn ôl pob tebyg, y bwriad yn wreiddiol oedd gweithredu ymarferoldeb y llwythwr yn y prif fodiwl.
- Ar y pwynt hwn, mae'r llwyth tâl eisoes yn yr amlygrwydd adnoddau ar ffurf gywasgedig. Canfuwyd swyddogaethau echdynnu tebyg hefyd yn y prif fodiwl.
Canfuwyd llwythwyr ymhlith y ffeiliau a ddadansoddwyd njRat, Giât Ysbïo a RATs eraill.
Keylogger
Cyfnod anfon y log: 30 munud.
Cefnogir pob nod. Cymeriadau arbennig yn cael eu dianc. Mae'r bysellau BackSpace a Dileu yn cael eu prosesu. Mae'r gofrestr yn cael ei hystyried.
logiwr clipfwrdd
Cyfnod anfon y log: 30 munud.
Cyfnod pleidleisio byffer: 0,1 eiliad.
Gweithredwyd cyswllt dianc.
ScreenLogger
Cyfnod anfon y log: 60 munud.
Mae sgrinluniau'n cael eu cadw yn %HOMEDRIVE%%HOMEPATH%Documents404k404pic.png.
Ar ôl anfon y ffolder 404k yn cael ei ddileu.
Stealer Cyfrinair
| Porwyr | E-bost cleientiaid | Cleientiaid FTP |
|---|---|---|
| Chrome | Outlook | FileZilla |
| Firefox | Thunderbird | |
| SeaMonkey | post llwynog | |
| Draig Iâ | ||
| Lleuad Pale | ||
| seibrllys | ||
| Chrome | ||
| BraveBrowser | ||
| QQBrowser | ||
| IridiumBrowser | ||
| XvastBrowser | ||
| Chedot | ||
| 360 Porwr | ||
| ComodoDragon | ||
| 360Chrome | ||
| SuperBird | ||
| CentBrowser | ||
| GhostBrowser | ||
| Porwr Haearn | ||
| Cromiwm | ||
| Vivaldi | ||
| SlimjetBrowser | ||
| Orbitwm | ||
| CocCoc | ||
| Torch | ||
| UCBrowser | ||
| EpicBrowser | ||
| BliskBrowser | ||
| Opera |
Gwrthwynebiad i ddadansoddiad deinamig
- Gwirio a yw proses yn cael ei dadansoddi
Wedi'i wneud trwy chwilio am brosesau tasgmgr, ProcessHacker, procexp64, procexp, procmon. Os canfyddir o leiaf un, mae'r malware yn gadael.
- Gwirio a ydych mewn amgylchedd rhithwir
Wedi'i wneud trwy chwilio am brosesau vmtoolsd, VGAuthGwasanaeth, vmacthlp, VBoxService, VBoxTray. Os canfyddir o leiaf un, mae'r malware yn gadael.
- Cwympo i gysgu am 5 eiliad
- Arddangosiad o wahanol fathau o flychau deialog
Gellir ei ddefnyddio i osgoi rhai blychau tywod.
- Ffordd osgoi UAC
Wedi'i berfformio trwy olygu allwedd cofrestrfa EnableLUA mewn gosodiadau polisi grŵp.
- Cymhwyswch y priodoledd Cudd i'r ffeil gyfredol.
- Y gallu i ddileu'r ffeil gyfredol.
Nodweddion Anweithredol
Yn ystod y dadansoddiad o'r llwythwr a'r prif fodiwl, canfuwyd swyddogaethau sy'n gyfrifol am ymarferoldeb ychwanegol, ond ni chânt eu defnyddio yn unrhyw le. Mae'n debyg bod hyn oherwydd y ffaith bod y malware yn dal i gael ei ddatblygu a bydd y swyddogaeth yn cael ei ehangu yn fuan.
AtProtect Loader
Canfuwyd swyddogaeth sy'n gyfrifol am lwytho a chwistrellu i'r broses msiexec.exe modiwl mympwyol.
datastealer
- Trwsio yn y system
- Swyddogaethau datgywasgu a dadgryptio
Mae'n debygol y bydd amgryptio data yn ystod rhyngweithio rhwydwaith yn cael ei weithredu'n fuan. - Dod â Phrosesau Gwrthfeirws i Ben
| zlclient | Dvp95_0 | Pavsched | cyf9 |
| egui | Eengine | pavw | avgserv9schedapp |
| bdagent | Esafe | PCCIOMON | avgemc |
| npfmsg | Espwat | PCCMAIN | gweoedd lludw |
| olydbg | F-Agnt95 | pccwin98 | lludw |
| anubis | Findvir | Pcfwallicon | ashmaisv |
| wireshark | fprot | Persfw | lludw |
| Avastui | F-Prot | POP3TRAP | aswUpdSv |
| _Cyf32 | F-Prot95 | PVIEW95 | symwsc |
| vsmon | Fp Win | Rav7 | norton |
| mbam | ffrw | Rav7win | Norton Auto-Amddiffyn |
| Crambler allweddi | F-Stopw | Achub | norton_av |
| _Avpcc | imapp | SafeWeb | nortonav |
| _Avpm | iamserv | Sgan32 | ccsetmgr |
| Accwin32 | Ibmasn | Sgan95 | ccevtmgr |
| Outpost | Ibmavsp | Scanpm | vaadmin |
| Gwrth-Trojan | Iclwyth95 | Scrscan | acenter |
| ANTIVIR | Icloadnt | Serv95 | avgnt |
| Apvxdwin | eicon | SMC | avguard |
| TRACK | Icsupp95 | GWASANAETH SMC | hysbyswedd |
| autodown | Icsuppnt | Snort | avscan |
| Avconsol | wyneb | sffincs | gwarchodgui |
| Cyf 32 | Imon98 | Ysgub95 | nod32krn |
| Avgctrl | Jedi | SYMPROXYSVC | nod32kui |
| Avkserv | cloi2000 | Tbscan | clamscan |
| Avnt | Edrych allan | Tca | Hambwrdd clam |
| Avp | Luall | Tds2-98 | clamWin |
| Cyf32 | mcafee | Tds2-Nt | ffres |
| Avpcc | Moolive | TermiNET | oladdin |
| Avddos32 | mpftray | milfeddyg95 | offeryn sig |
| Avpm | N32sgan | Vettaray | w9xpop |
| Avptc32 | NAVAPSVC | Vscan40 | Cau |
| Avpupd | NAVAPW32 | Vsecomr | cmgrdian |
| Avsched32 | NAVLU32 | Vshwin32 | alogserv |
| AVSYNMGR | Navnt | Vsstat | mcshield |
| Avwin95 | NAVRUNR | gwescanx | vshwin32 |
| Avwupd32 | Navw32 | GWEBTRAP | avconsol |
| blackd | Navwnt | Wfindv32 | vsstat |
| Blackice | neowat | parthalarm | avsynmgr |
| cfiadmin | NISSERV | LLOEGR2000 | avcmd |
| Cffiaudit | Nisum | ACHUB32 | avconfig |
| Cfinet | n prif | LUCOMSERVER | licmgr |
| Cfinet32 | normydd | avgcc | atod |
| Crafanc95 | NORTON | avgcc | preupd |
| Claw95cf | Anuwch | avgamsvr | MsMpEng |
| Glanhawr | Nvc95 | avgupsvc | MSASCui |
| Glanhawr3 | Outpost | avgw | Avira.Systray |
| Defwatch | gweinyddwr | avgcc32 | |
| Dvp95 | pavcl | avgserv |
- hunan-ddinistrio
- Llwytho data o'r adnodd maniffest penodedig
- Copïo ffeil ar hyd y llwybr % Temp% tmpG[Dyddiad ac amser presennol mewn milieiliadau].tmp
Yn ddiddorol, mae swyddogaeth union yr un fath yn bresennol yn y malware AgentTesla. - Ymarferoldeb llyngyr
Mae'r malware yn derbyn rhestr o gyfryngau symudadwy. Crëir copi o'r malware yng ngwraidd y system ffeiliau cyfryngau gyda'r enw Sys.exe. Mae Autostart yn cael ei weithredu gan ddefnyddio'r ffeil autorun.inf.
Proffil Ymosodwr
Yn ystod y dadansoddiad o'r ganolfan orchymyn, roedd yn bosibl sefydlu post a llysenw'r datblygwr - Razer, aka Brwa, Brwa65, HiDDen PerSOn, 404 Coder. Ymhellach, darganfuwyd fideo diddorol ar YouTube, sy'n dangos y gwaith gyda'r adeiladwr.
Roedd hyn yn ei gwneud hi'n bosibl dod o hyd i'r sianel datblygwr gwreiddiol.
Daeth yn amlwg fod ganddo brofiad o ysgrifennu cryptors. Mae yna hefyd ddolenni i dudalennau ar rwydweithiau cymdeithasol, yn ogystal ag enw iawn yr awdur. Trodd allan i fod yn byw yn Irac.
Dyma beth mae datblygwr 404 Keylogger i fod yn edrych fel. Llun o'i broffil Facebook personol.
Mae CERT Group-IB wedi cyhoeddi bygythiad newydd - 404 Keylogger - Canolfan Monitro ac Ymateb Cyber Bygythiad (SOC) XNUMX/XNUMX yn Bahrain.
Ffynhonnell: hab.com