I de senere år har mobile trojanske heste aktivt erstattet trojanske heste for personlige computere, så fremkomsten af ny malware til de gode gamle "biler" og deres aktive brug af cyberkriminelle, selvom det er en ubehagelig begivenhed, er stadig en begivenhed. For nylig opdagede CERT Group-IB XNUMX/XNUMX Information Security Incident Response Center en usædvanlig phishing-e-mail, der skjulte en ny malware til pc'er, der kombinerer funktionerne i Keylogger og PasswordStealer. Analytikernes opmærksomhed blev henledt på, hvordan spyware kom ind på brugerens maskine - ved hjælp af en populær voice messenger. Ilya Pomerantsev, en ekspert i analyse af ondsindet kode CERT Group-IB, fortalte, hvordan malwaren virker, hvorfor den er farlig, og fandt endda dens skaber - i det fjerne Irak.
Så lad os gå i rækkefølge. Under dække af en vedhæftet fil indeholdt et sådant brev et billede, når der blev klikket på, hvilket brugeren kom til webstedet cdn.discordapp.com, og en ondsindet fil blev downloadet derfra.
At bruge Discord, en gratis stemme- og tekstbeskeder, er ret ud over det sædvanlige. Normalt bruges andre budbringere eller sociale netværk til disse formål.
Under en mere detaljeret analyse blev en familie af malware identificeret. Det viste sig at være en nykommer på malwaremarkedet - 404 Keylogger.
Den første meddelelse om salget af en keylogger blev offentliggjort hackfora bruger under kaldenavnet "404 Coder" den 8. august.
Butikkens domæne blev registreret for ganske nylig - 7. september 2019.
Ifølge udviklerne på webstedet 404projekter[.]xyz, 404 er et værktøj skabt til at hjælpe virksomheder med at lære om deres kunders handlinger (med deres tilladelse) eller for dem, der ønsker at beskytte deres binære filer mod reverse engineering. Ser vi fremad, lad os sige det med den sidste opgave 404 virker bestemt ikke.
Vi besluttede at løse en af filerne og kontrollere, hvad "BEDSTE SMART KEYLOGGER" er.
HPE økosystem
Loader 1 (AtillaCrypter)
Den originale fil er beskyttet med EaxObfuscator og udfører to-trins læsning AtProtect fra ressourceafsnittet. Under analysen af andre prøver fundet på VirusTotal blev det klart, at denne fase ikke var forudset af udvikleren selv, men blev tilføjet af hans klient. Senere blev det konstateret, at denne bootloader er AtillaCrypter.
Loader 2 (AtProtect)
Faktisk er denne indlæser en integreret del af malwaren og burde ifølge udvikleren påtage sig funktionaliteten med at modvirke analyse.
Men i praksis er beskyttelsesmekanismer ekstremt primitive, og vores systemer har succes med at opdage denne malware.
Hovedmodulet indlæses vha Franchy ShellCode forskellige versioner. Vi udelukker dog ikke, at andre muligheder kan bruges, f.eks. RunPE.
Konfigurationsfil
Rettelse i systemet
Rettelse i systemet leveres af bootloaderen AtProtecthvis det tilsvarende flag er sat.
- Filen kopieres langs stien %AppData%GFqaakZpzwm.exe.
- Filen oprettes %AppData%GFqaakWinDriv.url, lancering Zpzwm.exe.
- I filial HKCUSoftwareMicrosoftWindowsCurrentVersionRun startnøgle genereres WinDrive.url.
Interaktion med C&C
AtProtect Loader
Hvis det tilsvarende flag er til stede, kan malware starte en skjult proces iexplorer og følg linket for at underrette serveren om en vellykket infektion.
datatyver
Uanset hvilken metode der anvendes, begynder netværkskommunikation med at få offerets eksterne IP ved hjælp af ressourcen [http]://checkip[.]dyndns[.]org/.
User-Agent: Mozilla/4.0 (kompatibel; MSIE 6.0; Windows NT 5.2; .NET CLR1.0.3705;)
Budskabets generelle struktur er den samme. Titel til stede
|——- 404 Keylogger — {Type} ——-|Hvor {type} svarer til den type information, der transmitteres.
Følgende er information om systemet:
_______ + OFFERINFO + _______
IP: {Ekstern IP}
Ejernavn: {Computernavn}
OS navn: {OS navn}
OS-version: {OS-version}
OS-platform: {Platform}
RAM-størrelse: {RAM-størrelse}
______________________________
Og endelig de overførte data.
SMTP
Emnet for e-mailen ser således ud: 404K | {meddelelsestype} | Klientnavn: {brugernavn}.
Interessant nok at levere breve til kunden 404 Keylogger udviklerens SMTP-server bruges.
Dette gjorde det muligt at identificere nogle klienter, såvel som mailen fra en af udviklerne.
FTP
Ved brug af denne metode gemmes den indsamlede information i en fil og læses straks derfra.
Logikken i denne handling er ikke helt klar, men den skaber en ekstra artefakt til at skrive adfærdsregler.
%HOMEDRIVE%%HOMEPATH%DocumentsA{Custom number}.txt
Pastebin
På analysetidspunktet bruges denne metode kun til transmission af stjålne adgangskoder. Desuden bruges det ikke som et alternativ til de to første, men parallelt. Betingelsen er værdien af konstanten lig med "Vavaa". Formentlig er dette kundens navn.
Interaktionen foregår over https-protokollen via API'et pastebin. Betyder api_paste_private er PASTE_UNLISTED, hvilket forhindrer, at der søges på sådanne sider pastebin.
Krypteringsalgoritmer
Henter en fil fra ressourcer
Nyttelasten lagres i loader-ressourcerne AtProtect i form af bitmaps. Ekstraktion udføres i flere faser:
- Et array af bytes udtrækkes fra billedet. Hver pixel behandles som en sekvens på 3 bytes i BGR-rækkefølge. Efter ekstraktion gemmer de første 4 bytes af arrayet længden af meddelelsen, den næste - selve meddelelsen.
- Nøglen er beregnet. For at gøre dette beregnes MD5 ud fra værdien "ZpzwmjMJyfTNiRalKVrcSkxCN" angivet som adgangskoden. Den resulterende hash skrives to gange.
- Dekryptering udføres af AES-algoritmen i ECB-tilstand.
Ondsindet funktionalitet
Downloader
Implementeret i bootloaderen AtProtect.
- Appel af [activelink-repalce] der anmodes om serverens status om parathed til at give filen. Serveren skulle vende tilbage "PÅ".
- Ved reference [downloadlink-erstat] nyttelasten downloades.
- Med FranchyShell-kode nyttelast sprøjtes ind i processen [inj-erstat].
Under domæneanalyse 404projekter[.]xyz yderligere tilfælde er blevet identificeret på VirusTotal 404 Keylogger, samt flere typer læssere.
Konventionelt er de opdelt i to typer:
- Indlæsning udføres fra ressourcen 404projekter[.]xyz.
Dataene er Base64-kodet og AES-krypteret. - Denne mulighed består af flere trin og bruges højst sandsynligt i forbindelse med bootloaderen AtProtect.
- På det første trin indlæses dataene fra pastebin og afkodes ved hjælp af funktionen HexToByte.
- I anden fase er downloadkilden sig selv 404projekter[.]xyz. Samtidig ligner dekompressions- og afkodningsfunktionerne dem, der findes i DataStealer. Sandsynligvis var det oprindeligt planlagt at implementere loader-funktionaliteten i hovedmodulet.
- På dette tidspunkt er nyttelasten allerede i ressourcemanifestet i komprimeret form. Lignende ekstraktionsfunktioner blev også fundet i hovedmodulet.
Loaders blev fundet blandt de analyserede filer njRat, SpyGate og andre RAT'er.
Keylogger
Log afsendelsesperiode: 30 minutter.
Alle karakterer er understøttet. Specialtegn undslippes. Der er en behandling af BackSpace- og Delete-tasterne. Register er taget i betragtning.
clipboardlogger
Log afsendelsesperiode: 30 minutter.
Buffer polling periode: 0,1 sekunder.
Implementeret link escape.
ScreenLogger
Log afsendelsesperiode: 60 minutter.
Skærmbilleder gemmes i %HOMEDRIVE%%HOMEPATH%Documents404k404pic.png.
Efter afsendelse af mappen 404k er fjernet.
Adgangskode stjæler
Браузеры | E-mail-klienter | FTP-klienter |
---|---|---|
Chrome | Outlook | FileZilla |
Firefox | Thunderbird | |
SeaMonkey | rævepost | |
Icedragon | ||
PaleMoon | ||
Cyberfox | ||
Chrome | ||
BraveBrowser | ||
QQBrowser | ||
IridiumBrowser | ||
XvastBrowser | ||
Chedot | ||
360 browser | ||
ComodoDragon | ||
360 krom | ||
SuperBird | ||
CentBrowser | ||
GhostBrowser | ||
IronBrowser | ||
Chromium | ||
Vivaldi | ||
SlimjetBrowser | ||
orbitum | ||
CocCoc | ||
Torch | ||
UCB-browser | ||
EpicBrowser | ||
BliskBrowser | ||
Opera |
Modstand mod dynamisk analyse
- Tjek om en proces er under analyse
Udføres ved at søge processer taskmgr, ProcessHacker, procexp64, procexp, procmon. Hvis der findes mindst én, afsluttes malwaren.
- Tjek om du er i et virtuelt miljø
Udføres ved at søge processer vmtoolsd, VGAuthService, vmacthlp, VBoxService, VBoxTray. Hvis der findes mindst én, afsluttes malwaren.
- Fald i søvn i 5 sekunder
- Demonstration af forskellige typer dialogbokse
Kan bruges til at omgå nogle sandkasser.
- Omgå UAC
Udføres ved at redigere en registreringsnøgle Muliggøre i gruppepolitikindstillinger.
- Anvend den skjulte attribut på den aktuelle fil.
- Mulighed for at slette den aktuelle fil.
Inaktive funktioner
Under analysen af læsseren og hovedmodulet blev der fundet funktioner, der er ansvarlige for yderligere funktionalitet, men de bruges ikke nogen steder. Dette skyldes sandsynligvis, at malwaren stadig er under udvikling, og funktionaliteten vil snart blive udvidet.
AtProtect Loader
Der blev fundet en funktion, der er ansvarlig for indlæsning og indsprøjtning i processen msiexec.exe vilkårligt modul.
datatyver
- Rettelse i systemet
- Dekompression og dekryptering funktioner
Det er sandsynligt, at datakryptering under netværksinteraktion snart vil blive implementeret. - Afslutning af antivirusprocesser
zlclient | Dvp95_0 | Pavsched | gennemsnitsserv9 |
egui | Ecengine | pavw | avgserv9schedapp |
bdagent | Esafe | PCCIOMON | avgemc |
npfmsg | Espwatch | PCCMAIN | ashwebsv |
olydbg | F-Agnt95 | pccwin98 | askedisp |
anubis | Findvir | Pcfwallicon | ashmaisv |
Wireshark | fprot | Persfw | askeserv |
Avastui | F-Prot | POP3TRAP | aswUpdSv |
_Avp32 | F-Prot95 | PVIEW95 | symwsc |
vsmon | Fp vinde | rav7 | norton |
mbam | frw | Rav7win | Norton Auto-Protect |
keyscrambler | F-Stopw | Rescue | norton_av |
_Avpcc | iapp | SafeWeb | nortonav |
_Avpm | Iamserv | Scan32 | ccsetmgr |
Ackwin32 | Ibmasn | Scan95 | ccevtmgr |
Outpost | Ibmavsp | Scanpm | avadmin |
Anti-Trojan | Icload95 | Scrscan | avcenter |
ANTIVIR | Icloadnt | Serv95 | gns |
Apvxdwin | icmon | smc | avguard |
ET SPOR | Icsupp95 | SMCSERVICE | avnotify |
autodown | Icsuppnt | Snøfte | avscan |
Avconsol | ansigt | Sphinx | guardgui |
Ave 32 | Iomon98 | Fej 95 | nikke 32kr |
Avgctrl | Jedi | SYMPROXYSVC | nod32kui |
Avkserv | Lockdown 2000 | Tbscan | clamscan |
Avnt | Lookout | Tca | clamTray |
AVP | Luall | Tds2-98 | clamWin |
Avp32 | mcafee | Tds2-Nt | freshclam |
Avpcc | Moolive | TermiNET | oladdin |
Avpdos32 | mpftray | Dyrlæge95 | sig værktøj |
Avpm | N32scanw | Vettaray | w9xpop |
Avptc32 | NAVAPSVC | Vscan40 | Luk |
Avpupd | NAVAPW32 | Vsecomr | cmgrdian |
Avsched32 | NAVLU32 | Vshwin32 | alogserv |
AVSYNMGR | Navnt | Vsstat | mcshield |
Avwin95 | NAVRUNR | webscanx | vshwin32 |
Avwupd32 | Navw32 | WEBTRAP | avconsol |
sortd | Navwnt | Wfindv32 | vsstat |
Sort is | neowatch | zone alarm | avsynmgr |
cfiadmin | NISSERV | LOCKDOWN2000 | avcmd |
Cfiaudit | Nisum | REDNING32 | avconfig |
Cfinet | n hoved | LUCOMSERVER | licmgr |
Cfinet32 | normist | avgcc | tidsplan |
Klø95 | NORTON | avgcc | preupd |
Klo95cf | Opgrader | avgamsvr | MsMpEng |
Cleaner | Nvc95 | avgupsvc | MSASCui |
Renere 3 | Outpost | gennemsnitlig | Avira.Systray |
Defwatch | admin | avgcc32 | |
Dvp95 | pavcl | avgserv |
- Selv destruktion
- Indlæser data fra den angivne manifestressource
- Kopiering af en fil langs stien %Temp%tmpG[Aktuel dato og tid i millisekunder].tmp
Interessant nok er der en identisk funktion til stede i AgentTesla-malwaren. - Orm funktionalitet
Malwaren modtager en liste over flytbare medier. En kopi af malwaren oprettes i roden af mediefilsystemet med navnet Sys.exe. Autostart implementeres ved hjælp af filen autorun.inf.
Angriberprofil
Under analysen af kommandocentret var det muligt at etablere e-mail og kaldenavn på udvikleren - Razer, aka Brwa, Brwa65, HiDDen PerSOn, 404 Coder. Yderligere blev der fundet en interessant video på YouTube, som demonstrerer arbejdet med bygherren.
Dette gjorde det muligt at finde den originale udviklerkanal.
Det blev tydeligt, at han havde erfaring med at skrive kryptor. Der er også links til sider på sociale netværk, såvel som forfatterens rigtige navn. Det viste sig at være bosiddende i Irak.
Sådan ser en 404 Keylogger-udvikler angiveligt ud. Foto fra hans personlige Facebook-profil.
CERT Group-IB har annonceret en ny trussel - 404 Keylogger - et XNUMX/XNUMX Cyber Threat Monitoring and Response Center (SOC) i Bahrain.
Kilde: www.habr.com