Keylogger med en overraskelse: keylogger-analyse og dens udviklerdekanon

I de senere år har mobile trojanske heste aktivt erstattet trojanske heste for personlige computere, så fremkomsten af ​​ny malware til de gode gamle "biler" og deres aktive brug af cyberkriminelle, selvom det er en ubehagelig begivenhed, er stadig en begivenhed. For nylig opdagede CERT Group-IB XNUMX/XNUMX Information Security Incident Response Center en usædvanlig phishing-e-mail, der skjulte en ny malware til pc'er, der kombinerer funktionerne i Keylogger og PasswordStealer. Analytikernes opmærksomhed blev henledt på, hvordan spyware kom ind på brugerens maskine - ved hjælp af en populær voice messenger. Ilya Pomerantsev, en ekspert i analyse af ondsindet kode CERT Group-IB, fortalte, hvordan malwaren virker, hvorfor den er farlig, og fandt endda dens skaber - i det fjerne Irak.

Så lad os gå i rækkefølge. Under dække af en vedhæftet fil indeholdt et sådant brev et billede, når der blev klikket på, hvilket brugeren kom til webstedet cdn.discordapp.com, og en ondsindet fil blev downloadet derfra.

At bruge Discord, en gratis stemme- og tekstbeskeder, er ret ud over det sædvanlige. Normalt bruges andre budbringere eller sociale netværk til disse formål.

Under en mere detaljeret analyse blev en familie af malware identificeret. Det viste sig at være en nykommer på malwaremarkedet - 404 Keylogger.

Den første meddelelse om salget af en keylogger blev offentliggjort hackfora bruger under kaldenavnet "404 Coder" den 8. august.

Butikkens domæne blev registreret for ganske nylig - 7. september 2019.

Ifølge udviklerne på webstedet 404projekter[.]xyz, 404 er et værktøj skabt til at hjælpe virksomheder med at lære om deres kunders handlinger (med deres tilladelse) eller for dem, der ønsker at beskytte deres binære filer mod reverse engineering. Ser vi fremad, lad os sige det med den sidste opgave 404 virker bestemt ikke.

Vi besluttede at løse en af ​​filerne og kontrollere, hvad "BEDSTE SMART KEYLOGGER" er.

HPE økosystem

Loader 1 (AtillaCrypter)

Den originale fil er beskyttet med EaxObfuscator og udfører to-trins læsning AtProtect fra ressourceafsnittet. Under analysen af ​​andre prøver fundet på VirusTotal blev det klart, at denne fase ikke var forudset af udvikleren selv, men blev tilføjet af hans klient. Senere blev det konstateret, at denne bootloader er AtillaCrypter.

Loader 2 (AtProtect)

Faktisk er denne indlæser en integreret del af malwaren og burde ifølge udvikleren påtage sig funktionaliteten med at modvirke analyse.

Men i praksis er beskyttelsesmekanismer ekstremt primitive, og vores systemer har succes med at opdage denne malware.

Hovedmodulet indlæses vha Franchy ShellCode forskellige versioner. Vi udelukker dog ikke, at andre muligheder kan bruges, f.eks. RunPE.

Konfigurationsfil

Rettelse i systemet

Rettelse i systemet leveres af bootloaderen AtProtecthvis det tilsvarende flag er sat.

• Filen kopieres langs stien %AppData%GFqaakZpzwm.exe.
• Filen oprettes %AppData%GFqaakWinDriv.url, lancering Zpzwm.exe.
• I filial HKCUSoftwareMicrosoftWindowsCurrentVersionRun startnøgle genereres WinDrive.url.

Interaktion med C&C

AtProtect Loader

Hvis det tilsvarende flag er til stede, kan malware starte en skjult proces iexplorer og følg linket for at underrette serveren om en vellykket infektion.

datatyver

Uanset hvilken metode der anvendes, begynder netværkskommunikation med at få offerets eksterne IP ved hjælp af ressourcen [http]://checkip[.]dyndns[.]org/.

User-Agent: Mozilla/4.0 (kompatibel; MSIE 6.0; Windows NT 5.2; .NET CLR1.0.3705;)

Budskabets generelle struktur er den samme. Titel til stede
|——- 404 Keylogger — {Type} ——-|Hvor {type} svarer til den type information, der transmitteres.
Følgende er information om systemet:

_______ + OFFERINFO + _______

IP: {Ekstern IP}
Ejernavn: {Computernavn}
OS navn: {OS navn}
OS-version: {OS-version}
OS-platform: {Platform}
RAM-størrelse: {RAM-størrelse}
______________________________

Og endelig de overførte data.

SMTP

Emnet for e-mailen ser således ud: 404K | {meddelelsestype} | Klientnavn: {brugernavn}.

Interessant nok at levere breve til kunden 404 Keylogger udviklerens SMTP-server bruges.

Dette gjorde det muligt at identificere nogle klienter, såvel som mailen fra en af ​​udviklerne.

FTP

Ved brug af denne metode gemmes den indsamlede information i en fil og læses straks derfra.

Logikken i denne handling er ikke helt klar, men den skaber en ekstra artefakt til at skrive adfærdsregler.

%HOMEDRIVE%%HOMEPATH%DocumentsA{Custom number}.txt

Pastebin

På analysetidspunktet bruges denne metode kun til transmission af stjålne adgangskoder. Desuden bruges det ikke som et alternativ til de to første, men parallelt. Betingelsen er værdien af ​​konstanten lig med "Vavaa". Formentlig er dette kundens navn.

Interaktionen foregår over https-protokollen via API'et pastebin. Betyder api_paste_private er PASTE_UNLISTED, hvilket forhindrer, at der søges på sådanne sider pastebin.

Krypteringsalgoritmer

Henter en fil fra ressourcer

Nyttelasten lagres i loader-ressourcerne AtProtect i form af bitmaps. Ekstraktion udføres i flere faser:

• Et array af bytes udtrækkes fra billedet. Hver pixel behandles som en sekvens på 3 bytes i BGR-rækkefølge. Efter ekstraktion gemmer de første 4 bytes af arrayet længden af ​​meddelelsen, den næste - selve meddelelsen.

  

• Nøglen er beregnet. For at gøre dette beregnes MD5 ud fra værdien "ZpzwmjMJyfTNiRalKVrcSkxCN" angivet som adgangskoden. Den resulterende hash skrives to gange.

  

• Dekryptering udføres af AES-algoritmen i ECB-tilstand.

Ondsindet funktionalitet

Downloader

Implementeret i bootloaderen AtProtect.

• Appel af [activelink-repalce] der anmodes om serverens status om parathed til at give filen. Serveren skulle vende tilbage "PÅ".
• Ved reference [downloadlink-erstat] nyttelasten downloades.
• Med FranchyShell-kode nyttelast sprøjtes ind i processen [inj-erstat].

Under domæneanalyse 404projekter[.]xyz yderligere tilfælde er blevet identificeret på VirusTotal 404 Keylogger, samt flere typer læssere.

Konventionelt er de opdelt i to typer:

1. Indlæsning udføres fra ressourcen 404projekter[.]xyz.

   
   Dataene er Base64-kodet og AES-krypteret.

2. Denne mulighed består af flere trin og bruges højst sandsynligt i forbindelse med bootloaderen AtProtect.

• På det første trin indlæses dataene fra pastebin og afkodes ved hjælp af funktionen HexToByte.

  

• I anden fase er downloadkilden sig selv 404projekter[.]xyz. Samtidig ligner dekompressions- og afkodningsfunktionerne dem, der findes i DataStealer. Sandsynligvis var det oprindeligt planlagt at implementere loader-funktionaliteten i hovedmodulet.

  

• På dette tidspunkt er nyttelasten allerede i ressourcemanifestet i komprimeret form. Lignende ekstraktionsfunktioner blev også fundet i hovedmodulet.

Loaders blev fundet blandt de analyserede filer njRat, SpyGate og andre RAT'er.

Keylogger

Log afsendelsesperiode: 30 minutter.

Alle karakterer er understøttet. Specialtegn undslippes. Der er en behandling af BackSpace- og Delete-tasterne. Register er taget i betragtning.

clipboardlogger

Log afsendelsesperiode: 30 minutter.

Buffer polling periode: 0,1 sekunder.

Implementeret link escape.

ScreenLogger

Log afsendelsesperiode: 60 minutter.

Skærmbilleder gemmes i %HOMEDRIVE%%HOMEPATH%Documents404k404pic.png.

Efter afsendelse af mappen 404k er fjernet.

Adgangskode stjæler

Браузеры	E-mail-klienter	FTP-klienter
Chrome	Outlook	FileZilla
Firefox	Thunderbird
SeaMonkey	rævepost
Icedragon
PaleMoon
Cyberfox
Chrome
BraveBrowser
QQBrowser
IridiumBrowser
XvastBrowser
Chedot
360 browser
ComodoDragon
360 krom
SuperBird
CentBrowser
GhostBrowser
IronBrowser
Chromium
Vivaldi
SlimjetBrowser
orbitum
CocCoc
Torch
UCB-browser
EpicBrowser
BliskBrowser
Opera

Modstand mod dynamisk analyse

• Tjek om en proces er under analyse

  Udføres ved at søge processer taskmgr, ProcessHacker, procexp64, procexp, procmon. Hvis der findes mindst én, afsluttes malwaren.

• Tjek om du er i et virtuelt miljø

  Udføres ved at søge processer vmtoolsd, VGAuthService, vmacthlp, VBoxService, VBoxTray. Hvis der findes mindst én, afsluttes malwaren.

• Fald i søvn i 5 sekunder
• Demonstration af forskellige typer dialogbokse

  Kan bruges til at omgå nogle sandkasser.

• Omgå UAC

  Udføres ved at redigere en registreringsnøgle Muliggøre i gruppepolitikindstillinger.

• Anvend den skjulte attribut på den aktuelle fil.
• Mulighed for at slette den aktuelle fil.

Inaktive funktioner

Under analysen af ​​læsseren og hovedmodulet blev der fundet funktioner, der er ansvarlige for yderligere funktionalitet, men de bruges ikke nogen steder. Dette skyldes sandsynligvis, at malwaren stadig er under udvikling, og funktionaliteten vil snart blive udvidet.

AtProtect Loader

Der blev fundet en funktion, der er ansvarlig for indlæsning og indsprøjtning i processen msiexec.exe vilkårligt modul.

datatyver

• Rettelse i systemet

  

• Dekompression og dekryptering funktioner

  
  
  Det er sandsynligt, at datakryptering under netværksinteraktion snart vil blive implementeret.

• Afslutning af antivirusprocesser

zlclient	Dvp95_0	Pavsched	gennemsnitsserv9
egui	Ecengine	pavw	avgserv9schedapp
bdagent	Esafe	PCCIOMON	avgemc
npfmsg	Espwatch	PCCMAIN	ashwebsv
olydbg	F-Agnt95	pccwin98	askedisp
anubis	Findvir	Pcfwallicon	ashmaisv
Wireshark	fprot	Persfw	askeserv
Avastui	F-Prot	POP3TRAP	aswUpdSv
_Avp32	F-Prot95	PVIEW95	symwsc
vsmon	Fp vinde	rav7	norton
mbam	frw	Rav7win	Norton Auto-Protect
keyscrambler	F-Stopw	Rescue	norton_av
_Avpcc	iapp	SafeWeb	nortonav
_Avpm	Iamserv	Scan32	ccsetmgr
Ackwin32	Ibmasn	Scan95	ccevtmgr
Outpost	Ibmavsp	Scanpm	avadmin
Anti-Trojan	Icload95	Scrscan	avcenter
ANTIVIR	Icloadnt	Serv95	gns
Apvxdwin	icmon	smc	avguard
ET SPOR	Icsupp95	SMCSERVICE	avnotify
autodown	Icsuppnt	Snøfte	avscan
Avconsol	ansigt	Sphinx	guardgui
Ave 32	Iomon98	Fej 95	nikke 32kr
Avgctrl	Jedi	SYMPROXYSVC	nod32kui
Avkserv	Lockdown 2000	Tbscan	clamscan
Avnt	Lookout	Tca	clamTray
AVP	Luall	Tds2-98	clamWin
Avp32	mcafee	Tds2-Nt	freshclam
Avpcc	Moolive	TermiNET	oladdin
Avpdos32	mpftray	Dyrlæge95	sig værktøj
Avpm	N32scanw	Vettaray	w9xpop
Avptc32	NAVAPSVC	Vscan40	Luk
Avpupd	NAVAPW32	Vsecomr	cmgrdian
Avsched32	NAVLU32	Vshwin32	alogserv
AVSYNMGR	Navnt	Vsstat	mcshield
Avwin95	NAVRUNR	webscanx	vshwin32
Avwupd32	Navw32	WEBTRAP	avconsol
sortd	Navwnt	Wfindv32	vsstat
Sort is	neowatch	zone alarm	avsynmgr
cfiadmin	NISSERV	LOCKDOWN2000	avcmd
Cfiaudit	Nisum	REDNING32	avconfig
Cfinet	n hoved	LUCOMSERVER	licmgr
Cfinet32	normist	avgcc	tidsplan
Klø95	NORTON	avgcc	preupd
Klo95cf	Opgrader	avgamsvr	MsMpEng
Cleaner	Nvc95	avgupsvc	MSASCui
Renere 3	Outpost	gennemsnitlig	Avira.Systray
Defwatch	admin	avgcc32
Dvp95	pavcl	avgserv

• Selv destruktion
• Indlæser data fra den angivne manifestressource

  

• Kopiering af en fil langs stien %Temp%tmpG[Aktuel dato og tid i millisekunder].tmp

  
  Interessant nok er der en identisk funktion til stede i AgentTesla-malwaren.

• Orm funktionalitet

  Malwaren modtager en liste over flytbare medier. En kopi af malwaren oprettes i roden af ​​mediefilsystemet med navnet Sys.exe. Autostart implementeres ved hjælp af filen autorun.inf.

  

Angriberprofil

Under analysen af ​​kommandocentret var det muligt at etablere e-mail og kaldenavn på udvikleren - Razer, aka Brwa, Brwa65, HiDDen PerSOn, 404 Coder. Yderligere blev der fundet en interessant video på YouTube, som demonstrerer arbejdet med bygherren.

Dette gjorde det muligt at finde den originale udviklerkanal.

Det blev tydeligt, at han havde erfaring med at skrive kryptor. Der er også links til sider på sociale netværk, såvel som forfatterens rigtige navn. Det viste sig at være bosiddende i Irak.

Sådan ser en 404 Keylogger-udvikler angiveligt ud. Foto fra hans personlige Facebook-profil.

CERT Group-IB har annonceret en ny trussel - 404 Keylogger - et XNUMX/XNUMX Cyber ​​​​Threat Monitoring and Response Center (SOC) i Bahrain.

Kilde: www.habr.com