Keylogger με μια έκπληξη: ανάλυση του keylogger και του deanon του προγραμματιστή του

Τα τελευταία χρόνια, τα κινητά Trojans αντικαθιστούν ενεργά τα Trojans για προσωπικούς υπολογιστές, επομένως η εμφάνιση νέου κακόβουλου λογισμικού για τα παλιά καλά «αυτοκίνητα» και η ενεργή χρήση τους από κυβερνοεγκληματίες, αν και δυσάρεστη, εξακολουθεί να είναι ένα γεγονός. Πρόσφατα, το κέντρο απόκρισης συμβάντων ασφάλειας πληροφοριών CERT Group-IB 24/7 εντόπισε ένα ασυνήθιστο email ηλεκτρονικού ψαρέματος που έκρυβε ένα νέο κακόβουλο λογισμικό υπολογιστή που συνδυάζει τις λειτουργίες του Keylogger και του PasswordStealer. Η προσοχή των αναλυτών τράβηξε τον τρόπο με τον οποίο το spyware μπήκε στο μηχάνημα του χρήστη - χρησιμοποιώντας έναν δημοφιλή φωνητικό αγγελιοφόρο. Ίλια Πομεράντσεφ, ειδικός στην ανάλυση κακόβουλου λογισμικού στο CERT Group-IB, εξήγησε πώς λειτουργεί το κακόβουλο λογισμικό, γιατί είναι επικίνδυνο και μάλιστα βρήκε τον δημιουργό του στο μακρινό Ιράκ.

Λοιπόν, πάμε με τη σειρά. Κάτω από το πρόσχημα ενός συνημμένου, μια τέτοια επιστολή περιείχε μια εικόνα, κάνοντας κλικ στην οποία ο χρήστης μεταφέρθηκε στον ιστότοπο cdn.discordapp.com, και από εκεί έγινε λήψη ενός κακόβουλου αρχείου.

Η χρήση του Discord, ενός δωρεάν φωνητικού και γραπτού μηνύματος, είναι αρκετά αντισυμβατική. Συνήθως, για αυτούς τους σκοπούς χρησιμοποιούνται άλλοι άμεσοι αγγελιοφόροι ή κοινωνικά δίκτυα.

Κατά τη διάρκεια μιας πιο λεπτομερούς ανάλυσης, εντοπίστηκε μια οικογένεια κακόβουλου λογισμικού. Αποδείχθηκε ότι ήταν νέος στην αγορά κακόβουλου λογισμικού - 404 Keylogger.

Αναρτήθηκε η πρώτη αγγελία για την πώληση ενός keylogger hackforums από χρήστη με το ψευδώνυμο "404 Coder" στις 8 Αυγούστου.

Ο τομέας καταστήματος καταχωρήθηκε πρόσφατα - στις 7 Σεπτεμβρίου 2019.

Όπως λένε οι προγραμματιστές στον ιστότοπο 404 έργα[.]xyz, 404 είναι ένα εργαλείο που έχει σχεδιαστεί για να βοηθά τις εταιρείες να μαθαίνουν για τις δραστηριότητες των πελατών τους (με την άδειά τους) ή για όσους θέλουν να προστατεύσουν το δυαδικό τους από την αντίστροφη μηχανική. Κοιτώντας μπροστά, ας πούμε ότι με την τελευταία εργασία 404 σίγουρα δεν αντέχει.

Αποφασίσαμε να αντιστρέψουμε ένα από τα αρχεία και να ελέγξουμε τι είναι το "BEST SMART KEYLOGGER".

Οικοσύστημα κακόβουλου λογισμικού

Loader 1 (AtillaCrypter)

Το αρχείο προέλευσης προστατεύεται χρησιμοποιώντας EaxObfuscator και εκτελεί φόρτωση δύο βημάτων AtProtect από την ενότητα των πόρων. Κατά την ανάλυση άλλων δειγμάτων που βρέθηκαν στο VirusTotal, κατέστη σαφές ότι αυτό το στάδιο δεν παρασχέθηκε από τον ίδιο τον προγραμματιστή, αλλά προστέθηκε από τον πελάτη του. Αργότερα διαπιστώθηκε ότι αυτός ο bootloader ήταν ο AtillaCrypter.

Bootloader 2 (AtProtect)

Στην πραγματικότητα, αυτός ο φορτωτής είναι αναπόσπαστο μέρος του κακόβουλου λογισμικού και, σύμφωνα με την πρόθεση του προγραμματιστή, θα πρέπει να αναλάβει τη λειτουργικότητα της ανάλυσης αντιμετώπισης.

Ωστόσο, στην πράξη, οι μηχανισμοί προστασίας είναι εξαιρετικά πρωτόγονοι και τα συστήματά μας εντοπίζουν με επιτυχία αυτό το κακόβουλο λογισμικό.

Η κύρια μονάδα φορτώνεται χρησιμοποιώντας Francchy ShellCode διαφορετικές εκδόσεις. Ωστόσο, δεν αποκλείουμε ότι θα μπορούσαν να είχαν χρησιμοποιηθεί άλλες επιλογές, για παράδειγμα, RunPE.

Αρχείο διαμόρφωσης

Διόρθωση στο σύστημα

Η ενοποίηση στο σύστημα εξασφαλίζεται από το bootloader AtProtect, εάν έχει οριστεί η αντίστοιχη σημαία.

• Το αρχείο αντιγράφεται κατά μήκος της διαδρομής %AppData%GFqaakZpzwm.exe.
• Το αρχείο δημιουργείται %AppData%GFqaakWinDriv.url, εκτόξευση Zpzwm.exe.
• Σε υποκατάστημα Λογισμικό HKCUMicrosoftWindowsΤρέχουσαΈκδοσηΕκτέλεση δημιουργείται ένα κλειδί εκκίνησης WinDriv.url.

Αλληλεπίδραση με C&C

Loader AtProtect

Εάν υπάρχει η κατάλληλη σημαία, το κακόβουλο λογισμικό μπορεί να ξεκινήσει μια κρυφή διαδικασία iexplorer και ακολουθήστε τον σύνδεσμο που παρέχεται για να ειδοποιηθείτε διακομιστή σχετικά με την επιτυχή μόλυνση.

DataStealer

Ανεξάρτητα από τη μέθοδο που χρησιμοποιείται, η επικοινωνία δικτύου ξεκινά με τη λήψη της εξωτερικής IP του θύματος χρησιμοποιώντας τον πόρο [http]://checkip[.]dyndns[.]org/.

Παράγοντας χρήστη: Mozilla/4.0 (συμβατό· MSIE 6.0· Windows NT 5.2; .NET CLR1.0.3705;)

Η γενική δομή του μηνύματος είναι η ίδια. Παρούσα κεφαλίδα
|——- 404 Keylogger — {Type} ——-|Όπου {τύπος} αντιστοιχεί στο είδος της πληροφορίας που μεταδίδεται.
Ακολουθούν πληροφορίες για το σύστημα:

_______ + ΠΛΗΡΟΦΟΡΙΕΣ ΘΥΜΑΤΟΣ + _______

IP: {External IP}
Όνομα κατόχου: {Όνομα υπολογιστή}
Όνομα λειτουργικού συστήματος: {OS Name}
Έκδοση λειτουργικού συστήματος: {OS Version}
Πλατφόρμα λειτουργικού συστήματος: {Platform}
Μέγεθος RAM: {μέγεθος RAM}
______________________________

Και τέλος, τα μεταδιδόμενα δεδομένα.

SMTP

Το θέμα της επιστολής έχει ως εξής: 404 K | {Τύπος μηνύματος} | Όνομα πελάτη: {Όνομα χρήστη}.

Είναι ενδιαφέρον, να παραδίδετε επιστολές στον πελάτη 404 Keylogger Χρησιμοποιείται ο διακομιστής SMTP των προγραμματιστών.

Αυτό κατέστησε δυνατό τον εντοπισμό ορισμένων πελατών, καθώς και του email ενός από τους προγραμματιστές.

fTP

Όταν χρησιμοποιείτε αυτήν τη μέθοδο, οι πληροφορίες που συλλέγονται αποθηκεύονται σε ένα αρχείο και διαβάζονται αμέσως από εκεί.

Η λογική πίσω από αυτήν την ενέργεια δεν είναι απολύτως σαφής, αλλά δημιουργεί ένα πρόσθετο τεχνούργημα για τη σύνταξη κανόνων συμπεριφοράς.

%HOMEDRIVE%%HOMEPATH%DocumentsA{Αυθαίρετος αριθμός}.txt

Pastebin

Κατά τη στιγμή της ανάλυσης, αυτή η μέθοδος χρησιμοποιείται μόνο για τη μεταφορά κλεμμένων κωδικών πρόσβασης. Επιπλέον, χρησιμοποιείται όχι ως εναλλακτική λύση στα δύο πρώτα, αλλά παράλληλα. Η συνθήκη είναι η τιμή της σταθεράς ίση με "Vavaa". Μάλλον αυτό είναι το όνομα του πελάτη.

Η αλληλεπίδραση πραγματοποιείται μέσω του πρωτοκόλλου https μέσω του API pastebin. Εννοια api_paste_private ισούται με PASTE_UNLISTED, το οποίο απαγορεύει την αναζήτηση τέτοιων σελίδων στο pastebin.

Αλγόριθμοι κρυπτογράφησης

Ανάκτηση αρχείου από πόρους

Το ωφέλιμο φορτίο αποθηκεύεται σε πόρους του bootloader AtProtect με τη μορφή εικόνων Bitmap. Η εκχύλιση πραγματοποιείται σε διάφορα στάδια:

• Ένας πίνακας byte εξάγεται από την εικόνα. Κάθε εικονοστοιχείο αντιμετωπίζεται ως μια ακολουθία 3 byte με σειρά BGR. Μετά την εξαγωγή, τα πρώτα 4 byte του πίνακα αποθηκεύουν το μήκος του μηνύματος, τα επόμενα αποθηκεύουν το ίδιο το μήνυμα.

  

• Το κλειδί υπολογίζεται. Για να γίνει αυτό, το MD5 υπολογίζεται από την τιμή "ZpzwmjMJyfTNiRalKVrcSkxCN" που προσδιορίζεται ως κωδικός πρόσβασης. Ο κατακερματισμός που προκύπτει γράφεται δύο φορές.

  

• Η αποκρυπτογράφηση πραγματοποιείται χρησιμοποιώντας τον αλγόριθμο AES στη λειτουργία ECB.

Κακόβουλη λειτουργικότητα

Downloader

Υλοποιήθηκε στον bootloader AtProtect.

• Επικοινωνώντας [activelink-repalce] Ζητείται η κατάσταση του διακομιστή για να επιβεβαιωθεί ότι είναι έτοιμος να εμφανίσει το αρχείο. Ο διακομιστής πρέπει να επιστρέψει "ΕΠΙ".
• Με παραπομπή [σύνδεσμος λήψης-αντικατάσταση] Γίνεται λήψη του ωφέλιμου φορτίου.
• Με FranchyShellcode το ωφέλιμο φορτίο εγχέεται στη διαδικασία [inj-replace].

Κατά την ανάλυση τομέα 404 έργα[.]xyz εντοπίστηκαν επιπλέον περιπτώσεις στο VirusTotal 404 Keylogger, καθώς και διάφορους τύπους φορτωτών.

Συμβατικά, χωρίζονται σε δύο τύπους:

1. Η λήψη πραγματοποιείται από τον πόρο 404 έργα[.]xyz.

   
   Τα δεδομένα είναι κωδικοποιημένα με βάση το Base64 και κρυπτογραφημένα AES.

2. Αυτή η επιλογή αποτελείται από πολλά στάδια και πιθανότατα χρησιμοποιείται σε συνδυασμό με ένα bootloader AtProtect.

• Στο πρώτο στάδιο, τα δεδομένα φορτώνονται από pastebin και αποκωδικοποιήθηκε χρησιμοποιώντας τη συνάρτηση HexToByte.

  

• Στο δεύτερο στάδιο, η πηγή φόρτωσης είναι η 404 έργα[.]xyz. Ωστόσο, οι λειτουργίες αποσυμπίεσης και αποκωδικοποίησης είναι παρόμοιες με αυτές που βρίσκονται στο DataStealer. Πιθανώς αρχικά σχεδιάστηκε να εφαρμοστεί η λειτουργία του bootloader στην κύρια μονάδα.

  

• Σε αυτό το στάδιο, το ωφέλιμο φορτίο βρίσκεται ήδη στη δήλωση πόρων σε συμπιεσμένη μορφή. Παρόμοιες λειτουργίες εξαγωγής βρέθηκαν επίσης στην κύρια ενότητα.

Ανάμεσα στα αρχεία που αναλύθηκαν βρέθηκαν προγράμματα λήψης njRat, SpyGate και άλλους αρουραίους.

keylogger

Περίοδος αποστολής αρχείων καταγραφής: 30 λεπτά.

Όλοι οι χαρακτήρες υποστηρίζονται. Οι ειδικοί χαρακτήρες ξεφεύγουν. Υπάρχει επεξεργασία για τα κλειδιά BackSpace και Delete. Διάκριση πεζών-κεφαλαίων.

clipboardlogger

Περίοδος αποστολής αρχείων καταγραφής: 30 λεπτά.

Περίοδος ψηφοφορίας buffer: 0,1 δευτερόλεπτα.

Εφαρμόστηκε διαφυγή συνδέσμου.

ScreenLogger

Περίοδος αποστολής αρχείων καταγραφής: 60 λεπτά.

Τα στιγμιότυπα οθόνης αποθηκεύονται %HOMEDRIVE%%HOMEPATH%Documents404k404pic.png.

Μετά την αποστολή του φακέλου 404k διαγράφεται.

Κλέφτης κωδικών πρόσβασης

Αντίθεση στη δυναμική ανάλυση

• Έλεγχος εάν μια διαδικασία βρίσκεται υπό ανάλυση

  Πραγματοποιήθηκε με χρήση διεργασίας αναζήτησης taskmgr, ProcessHacker, procexp64, procexp, procmon. Εάν βρεθεί τουλάχιστον ένα, το κακόβουλο λογισμικό εξέρχεται.

• Έλεγχος εάν βρίσκεστε σε εικονικό περιβάλλον

  Πραγματοποιήθηκε με χρήση διεργασίας αναζήτησης vmtoolsd, VGAuthService, vmacthlp, VBoxService, VBoxTray. Εάν βρεθεί τουλάχιστον ένα, το κακόβουλο λογισμικό εξέρχεται.

• Αποκοιμηθείτε για 5 δευτερόλεπτα
• Επίδειξη διαφορετικών τύπων πλαισίων διαλόγου

  Μπορεί να χρησιμοποιηθεί για να παρακάμψει ορισμένα sandboxes.

• Παράκαμψη UAC

  Εκτελείται με επεξεργασία του κλειδιού μητρώου EnableLUA στις ρυθμίσεις πολιτικής ομάδας.

• Εφαρμόζει το χαρακτηριστικό "Hidden" στο τρέχον αρχείο.
• Δυνατότητα διαγραφής του τρέχοντος αρχείου.

Ανενεργές λειτουργίες

Κατά την ανάλυση του bootloader και της κύριας μονάδας, βρέθηκαν λειτουργίες που ήταν υπεύθυνες για πρόσθετη λειτουργικότητα, αλλά δεν χρησιμοποιούνται πουθενά. Αυτό πιθανότατα οφείλεται στο γεγονός ότι το κακόβουλο λογισμικό βρίσκεται ακόμη σε εξέλιξη και η λειτουργικότητα θα επεκταθεί σύντομα.

Loader AtProtect

Βρέθηκε μια λειτουργία που είναι υπεύθυνη για τη φόρτωση και την έγχυση στη διαδικασία msiexec.exe αυθαίρετη ενότητα.

DataStealer

• Διόρθωση στο σύστημα

  

• Λειτουργίες αποσυμπίεσης και αποκρυπτογράφησης

  
  
  Είναι πιθανό ότι η κρυπτογράφηση δεδομένων κατά την επικοινωνία δικτύου θα εφαρμοστεί σύντομα.

• Τερματισμός διαδικασιών προστασίας από ιούς

• Αυτοκαταστροφή
• Φόρτωση δεδομένων από το καθορισμένο μανιφέστο πόρων

  

• Αντιγραφή αρχείου κατά μήκος μιας διαδρομής %Temp%tmpG[Τρέχουσα ημερομηνία και ώρα σε χιλιοστά του δευτερολέπτου].tmp

  
  Είναι ενδιαφέρον ότι μια πανομοιότυπη λειτουργία υπάρχει στο κακόβουλο λογισμικό AgentTesla.

• Λειτουργία σκουληκιών

  Το κακόβουλο λογισμικό λαμβάνει μια λίστα με αφαιρούμενα μέσα. Ένα αντίγραφο του κακόβουλου λογισμικού δημιουργείται στη ρίζα του συστήματος αρχείων πολυμέσων με το όνομα Sys.exe. Η αυτόματη εκτέλεση υλοποιείται χρησιμοποιώντας ένα αρχείο autorun.inf.

  

Προφίλ επιτιθέμενου

Κατά την ανάλυση του κέντρου εντολών, ήταν δυνατό να καθοριστεί το email και το ψευδώνυμο του προγραμματιστή - Razer, γνωστός και ως Brwa, Brwa65, HiDDen PerSOn, 404 Coder. Στη συνέχεια, βρήκαμε ένα ενδιαφέρον βίντεο στο YouTube που δείχνει τη συνεργασία με τον κατασκευαστή.

Αυτό κατέστησε δυνατή την εύρεση του αρχικού καναλιού προγραμματιστή.

Έγινε σαφές ότι είχε εμπειρία στη συγγραφή κρυπτογράφων. Υπάρχουν επίσης σύνδεσμοι σε σελίδες στα κοινωνικά δίκτυα, καθώς και το πραγματικό όνομα του συγγραφέα. Αποδείχθηκε ότι ήταν κάτοικος Ιράκ.

Αυτό είναι που υποτίθεται ότι μοιάζει με έναν προγραμματιστή 404 Keylogger. Φωτογραφία από το προσωπικό του προφίλ στο Facebook.

Το CERT Group-IB ανακοίνωσε μια νέα απειλή - το 404 Keylogger - ένα XNUMXωρο κέντρο παρακολούθησης και απάντησης για απειλές στον κυβερνοχώρο (SOC) στο Μπαχρέιν.

Πηγή: www.habr.com