In den letzten Jahren haben mobile Trojaner aktiv Trojaner für PCs ersetzt, sodass das Aufkommen neuer Malware für die guten alten „Autos“ und deren aktive Nutzung durch Cyberkriminelle zwar unangenehm, aber immer noch ein Ereignis sind. Kürzlich entdeckte das rund um die Uhr besetzte Informationssicherheits-Reaktionszentrum der CERT Group-IB eine ungewöhnliche Phishing-E-Mail, in der sich eine neue PC-Malware verbarg, die die Funktionen von Keylogger und PasswordStealer kombiniert. Die Aufmerksamkeit der Analysten wurde darauf gelenkt, wie die Spyware über einen beliebten Voice-Messenger auf den Rechner des Nutzers gelangte. Ilja Pomeranzew, ein Spezialist für Malware-Analyse bei CERT Group-IB, erklärte, wie die Malware funktioniert, warum sie gefährlich ist und hat sogar ihren Urheber im fernen Irak gefunden.
Gehen wir also der Reihe nach vor. Unter dem Deckmantel eines Anhangs enthielt ein solcher Brief ein Bild, bei dessen Anklicken der Benutzer auf die Seite weitergeleitet wurde cdn.discordapp.com, und eine schädliche Datei wurde von dort heruntergeladen.
Die Verwendung von Discord, einem kostenlosen Sprach- und Text-Messenger, ist ziemlich unkonventionell. Typischerweise werden für diese Zwecke auch andere Instant Messenger oder soziale Netzwerke genutzt.
Bei einer genaueren Analyse wurde eine Malware-Familie identifiziert. Es stellte sich heraus, dass es sich um einen Neuling auf dem Malware-Markt handelte – 404 Keylogger.
Die erste Anzeige für den Verkauf eines Keyloggers wurde auf veröffentlicht Hackforen vom Benutzer unter dem Spitznamen „404 Coder“ am 8. August.
Die Store-Domain wurde erst vor kurzem registriert – am 7. September 2019.
Wie die Entwickler auf der Website sagen 404Projekte[.]xyz, 404 ist ein Tool, das Unternehmen dabei helfen soll, mehr über die Aktivitäten ihrer Kunden zu erfahren (mit deren Erlaubnis) oder für diejenigen, die ihre Binärdateien vor Reverse Engineering schützen möchten. Mit Blick auf die Zukunft sagen wir das mit der letzten Aufgabe 404 kommt definitiv nicht zurecht.
Wir haben uns entschieden, eine der Dateien umzukehren und zu prüfen, was „BEST SMART KEYLOGGER“ ist.
Malware-Ökosystem
Loader 1 (AtillaCrypter)
Die Quelldatei ist durch geschützt EaxObfuscator und führt einen zweistufigen Ladevorgang durch AtProtect aus dem Ressourcenbereich. Bei der Analyse weiterer auf VirusTotal gefundener Samples stellte sich heraus, dass diese Stufe nicht vom Entwickler selbst bereitgestellt, sondern von seinem Kunden hinzugefügt wurde. Später wurde festgestellt, dass es sich bei diesem Bootloader um AtillaCrypter handelte.
Bootloader 2 (AtProtect)
Tatsächlich ist dieser Loader integraler Bestandteil der Schadsoftware und soll nach Intention des Entwicklers die Funktionalität der Gegenanalyse übernehmen.
In der Praxis sind die Schutzmechanismen jedoch äußerst primitiv und unsere Systeme erkennen diese Schadsoftware erfolgreich.
Das Hauptmodul wird mit geladen Franchy ShellCode verschiedene Versionen. Wir schließen jedoch nicht aus, dass andere Optionen hätten genutzt werden können, z. B. RunPE.
Konfigurationsdatei
Konsolidierung im System
Für die Konsolidierung im System sorgt der Bootloader AtProtect, wenn das entsprechende Flag gesetzt ist.
- Die Datei wird entlang des Pfads kopiert %AppData%GFqaakZpzwm.exe.
- Die Datei wird erstellt %AppData%GFqaakWinDriv.url, starten Zpzwm.exe.
- Im Thread HKCUSoftwareMicrosoftWindowsCurrentVersionRun Es wird ein Startschlüssel erstellt WinDriv.url.
Interaktion mit C&C
Loader AtProtect
Wenn das entsprechende Flag vorhanden ist, kann die Malware einen versteckten Prozess starten iexplorer und folgen Sie dem angegebenen Link, um den Server über die erfolgreiche Infektion zu benachrichtigen.
DataStealer
Unabhängig von der verwendeten Methode beginnt die Netzwerkkommunikation mit dem Abrufen der externen IP-Adresse des Opfers, das die Ressource nutzt [http]://checkip[.]dyndns[.]org/.
Benutzeragent: Mozilla/4.0 (kompatibel; MSIE 6.0; Windows NT 5.2; .NET CLR1.0.3705;)
Der allgemeine Aufbau der Nachricht ist derselbe. Header vorhanden
|——- 404 Keylogger — {Typ} ——-|Wo {Typ} entspricht der Art der übertragenen Informationen.
Im Folgenden finden Sie Informationen zum System:
_______ + OPFERINFO + _______
IP: {Externe IP}
Besitzername: {Computername}
Betriebssystemname: {Betriebssystemname}
Betriebssystemversion: {OS-Version}
Betriebssystemplattform: {Platform}
RAM-Größe: {RAM-Größe}
______________________________
Und schließlich die übermittelten Daten.
SMTP
Der Betreff des Briefes lautet wie folgt: 404 K | {Nachrichtentyp} | Kundenname: {Benutzername}.
Interessanterweise, um Briefe an den Kunden zuzustellen 404 Keylogger Es wird der SMTP-Server der Entwickler verwendet.
Dies ermöglichte die Identifizierung einiger Kunden sowie der E-Mail-Adresse eines der Entwickler.
fTP
Bei dieser Methode werden die gesammelten Informationen in einer Datei gespeichert und von dort sofort ausgelesen.
Die Logik hinter dieser Aktion ist nicht ganz klar, aber sie schafft ein zusätzliches Artefakt zum Schreiben von Verhaltensregeln.
%HOMEDRIVE%%HOMEPATH%DocumentsA{Beliebige Zahl}.txt
Pastebin
Zum Zeitpunkt der Analyse wird diese Methode nur zur Übermittlung gestohlener Passwörter verwendet. Darüber hinaus wird es nicht als Alternative zu den ersten beiden, sondern parallel eingesetzt. Die Bedingung ist der Wert der Konstante gleich „Vavaa“. Vermutlich ist dies der Name des Kunden.
Die Interaktion erfolgt über das https-Protokoll über die API pastebin... Wert api_paste_private ist gleich PASTE_UNLISTED, was die Suche nach solchen Seiten in verbietet pastebin.
Verschlüsselungsalgorithmen
Abrufen einer Datei aus Ressourcen
Die Nutzlast wird in Bootloader-Ressourcen gespeichert AtProtect in Form von Bitmap-Bildern. Die Extraktion erfolgt in mehreren Schritten:
- Aus dem Bild wird ein Array von Bytes extrahiert. Jedes Pixel wird als Folge von 3 Bytes in BGR-Reihenfolge behandelt. Nach der Extraktion speichern die ersten 4 Bytes des Arrays die Länge der Nachricht, die folgenden speichern die Nachricht selbst.
- Der Schlüssel wird berechnet. Hierzu wird MD5 aus dem als Passwort angegebenen Wert „ZpzwmjMJyfTNiRalKVrcSkxCN“ berechnet. Der resultierende Hash wird zweimal geschrieben.
- Die Entschlüsselung erfolgt mit dem AES-Algorithmus im ECB-Modus.
Schädliche Funktionalität
Downloader
Im Bootloader implementiert AtProtect.
- Durch Kontaktaufnahme [activelink-repalce] Der Status des Servers wird abgefragt, um zu bestätigen, dass er zur Bereitstellung der Datei bereit ist. Der Server sollte zurückkehren "AUF".
- Der Link [Downloadlink-ersetzen] Die Nutzlast wird heruntergeladen.
- Mit FranchyShellcode Die Nutzlast wird in den Prozess injiziert [inj-ersetzen].
Während der Domänenanalyse 404Projekte[.]xyz Weitere Instanzen wurden auf VirusTotal identifiziert 404 Keyloggersowie verschiedene Arten von Ladern.
Herkömmlicherweise werden sie in zwei Typen unterteilt:
- Der Download erfolgt von der Ressource 404Projekte[.]xyz.
Die Daten sind Base64-kodiert und AES-verschlüsselt. - Diese Option besteht aus mehreren Stufen und wird höchstwahrscheinlich in Verbindung mit einem Bootloader verwendet AtProtect.
- In der ersten Phase werden Daten geladen pastebin und mit der Funktion dekodiert HexToByte.
- In der zweiten Stufe ist die Ladequelle die 404Projekte[.]xyz. Die Dekomprimierungs- und Dekodierungsfunktionen ähneln jedoch denen von DataStealer. Ursprünglich war wohl geplant, die Bootloader-Funktionalität im Hauptmodul zu implementieren.
- Zu diesem Zeitpunkt befindet sich die Nutzlast bereits in komprimierter Form im Ressourcenmanifest. Ähnliche Extraktionsfunktionen wurden auch im Hauptmodul gefunden.
Unter den analysierten Dateien wurden Downloader gefunden njRat, SpyGate und andere RATs.
Keylogger
Protokollversandzeitraum: 30 Minuten.
Alle Zeichen werden unterstützt. Sonderzeichen werden maskiert. Es gibt eine Verarbeitung für die Tasten „BackSpace“ und „Entf“. Groß- und Kleinschreibung beachten.
ClipboardLogger
Protokollversandzeitraum: 30 Minuten.
Pufferabfragezeitraum: 0,1 Sekunden.
Link-Escape implementiert.
ScreenLogger
Protokollversandzeitraum: 60 Minuten.
Screenshots werden gespeichert %HOMEDRIVE%%HOMEPATH%Documents404k404pic.png.
Nach dem Absenden des Ordners 404K ist gelöscht.
PasswordStealer
Browser | Mail-Clients | FTP-Clients |
---|---|---|
Chrome | Outlook | FileZilla |
Firefox | Thunderbird | |
SeaMonkey | Foxmail | |
Eisdrache | ||
Blasser Mond | ||
Cyberfox | ||
Chrome | ||
BraveBrowser | ||
QQBrowser | ||
IridiumBrowser | ||
XvastBrowser | ||
Chedot | ||
360Browser | ||
ComodoDragon | ||
360Chrom | ||
SuperVogel | ||
CentBrowser | ||
GhostBrowser | ||
IronBrowser | ||
Chrom | ||
Vivaldi | ||
SlimjetBrowser | ||
Orbitum | ||
CocCoc | ||
Fackel | ||
UCBrowser | ||
EpicBrowser | ||
BliskBrowser | ||
Opera |
Gegenwirkung zur dynamischen Analyse
- Überprüfen, ob ein Prozess analysiert wird
Wird über die Prozesssuche durchgeführt taskmgr, ProcessHacker, procep64, procep, procmon. Wenn mindestens einer gefunden wird, wird die Malware beendet.
- Überprüfen Sie, ob Sie sich in einer virtuellen Umgebung befinden
Wird über die Prozesssuche durchgeführt vmtoolsd, VGAuthService, vmacthlp, VBoxService, VBoxTray. Wenn mindestens einer gefunden wird, wird die Malware beendet.
- 5 Sekunden lang einschlafen
- Demonstration verschiedener Arten von Dialogfeldern
Kann verwendet werden, um einige Sandboxes zu umgehen.
- UAC umgehen
Wird durch Bearbeiten des Registrierungsschlüssels durchgeführt AktivierenLUA in den Gruppenrichtlinieneinstellungen.
- Wendet das Attribut „Versteckt“ auf die aktuelle Datei an.
- Möglichkeit, die aktuelle Datei zu löschen.
Inaktive Funktionen
Bei der Analyse des Bootloaders und des Hauptmoduls wurden Funktionen gefunden, die für zusätzliche Funktionalität verantwortlich waren, diese aber nirgendwo verwendet werden. Dies liegt vermutlich daran, dass sich die Schadsoftware noch in der Entwicklung befindet und der Funktionsumfang bald erweitert wird.
Loader AtProtect
Es wurde eine Funktion gefunden, die für das Laden und Einfügen in den Prozess verantwortlich ist msiexec.exe beliebiges Modul.
DataStealer
- Konsolidierung im System
- Dekomprimierungs- und Entschlüsselungsfunktionen
Es ist wahrscheinlich, dass die Datenverschlüsselung während der Netzwerkkommunikation bald implementiert wird. - Beenden von Antivirenprozessen
zlclient | Dvp95_0 | Pavsched | avgserv9 |
egui | Ecengine | Paww | avgserv9schedapp |
bdagent | Sicher | PCCIOMON | avgemc |
npfmsg | Espwatch | PCCMAIN | ashwebsv |
olydbg | F-Agent95 | Pccwin98 | Aschendisp |
Anubis | Findvir | PCfwallicon | ashmaiv |
wireshark | Fprot | Persfw | ashserv |
Avastui | F-Prot | POP3TRAP | aswUpdSv |
_Avp32 | F-Prot95 | PVIEW95 | symwsc |
vsmon | Fp-Win | Rav7 | norton |
mbam | Frw | Rav7win | Norton Auto-Protect |
Schlüsselscrambler | F-Stopw | Rettung | norton_av |
_Avpcc | Iamapp | Safeweb | nortonav |
_Avpm | Iamserv | Scan32 | ccsetmgr |
Ackwin32 | Ibmasn | Scan95 | ccevtmgr |
Vorposten | Ibmavsp | Scanpm | avadmin |
Anti-Trojaner | Icload95 | Scrscan | avcenter |
ANTIVIR | Icloadnt | Serv95 | Durchschnitt |
Apvxdwin | Icmon | Smc | avguard |
ATRACK | Icsupp95 | SMCSERVICE | avnotify |
Autodown | Icsuppnt | Schnauben | avscan |
Avconsol | Gesicht | Sphinx | Guardgui |
Ave32 | Iomon98 | Sweep95 | nod32krn |
Avgctrl | Jedi-Ritter | SYMPROXYSVC | nod32kui |
Avkserv | Sperrung2000 | Tbscan | Muschelscan |
Avnt | Achtung | Tca | clamTray |
Durchschn | Luall | Tds2-98 | clamWin |
Avp32 | Mcfee | Tds2-Nt | freshclam |
Avpcc | Moolive | TermiNET | Oladdin |
Avpdos32 | MPftray | Tierarzt95 | Zeichenwerkzeug |
Avpm | N32scanw | Vettray | w9xpopen |
Avptc32 | NAVAPSVC | Vscan40 | Schließen |
Avpupd | NAVAPW32 | Vsecomr | cmgrdian |
Avsched32 | NAVLU32 | Vshwin32 | alogserv |
AVSYNMGR | Navnt | Vsstat | mcshield |
Avwin95 | NAVRUNR | Webscanx | vshwin32 |
Avwupd32 | Navw32 | WEBTRAP | avconsol |
Schwarzd | Navwnt | Wfindv32 | vsstat |
Schwarzeis | NeoWatch | Zonenalarm | avsynmgr |
Cfiadmin | NISSERV | LOCKDOWN2000 | avcmd |
Cfiaudit | Nisum | RETTUNG32 | avconfig |
Cfinet | Nmain | LUCOMSERVER | licmgr |
Cfinet32 | Normist | avgcc | einplanen |
Klaue95 | NORTON | avgcc | preupd |
Klaue95cf | Upgrade | avgamsvr | MsMpEng |
Reiniger | Nvc95 | avgupsvc | MSASCui |
Reiniger3 | Vorposten | Durchschn | Avira.Systray |
Defwatch | Padmin | avgcc32 | |
Dvp95 | Pavcl | avgserv |
- Selbstzerstörung
- Laden von Daten aus dem angegebenen Ressourcenmanifest
- Kopieren einer Datei entlang eines Pfads %Temp%tmpG[Aktuelles Datum und Uhrzeit in Millisekunden].tmp
Interessanterweise ist eine identische Funktion in der AgentTesla-Malware vorhanden. - Wurmfunktionalität
Die Schadsoftware erhält eine Liste der Wechselmedien. Im Stammverzeichnis des Mediendateisystems wird eine Kopie der Malware mit dem Namen erstellt Sys.exe. Autorun wird über eine Datei implementiert autorun.inf.
Angreiferprofil
Während der Analyse der Kommandozentrale konnten die E-Mail-Adresse und der Spitzname des Entwicklers ermittelt werden – Razer, auch bekannt als Brwa, Brwa65, HiDDen PerSOn, 404 Coder. Als nächstes haben wir auf YouTube ein interessantes Video gefunden, das die Arbeit mit dem Builder demonstriert.
Dadurch war es möglich, den ursprünglichen Entwicklerkanal zu finden.
Es wurde deutlich, dass er Erfahrung im Schreiben von Kryptographen hatte. Es gibt auch Links zu Seiten in sozialen Netzwerken sowie den echten Namen des Autors. Es stellte sich heraus, dass er im Irak lebte.
So sieht angeblich ein 404-Keylogger-Entwickler aus. Foto von seinem persönlichen Facebook-Profil.
CERT Group-IB hat eine neue Bedrohung angekündigt – 404 Keylogger – ein XNUMX-Stunden-Überwachungs- und Reaktionszentrum für Cyber-Bedrohungen (SOC) in Bahrain.
Source: habr.com