Τα τελευταία χρόνια, τα κινητά Trojans αντικαθιστούν ενεργά τα Trojans για προσωπικούς υπολογιστές, επομένως η εμφάνιση νέου κακόβουλου λογισμικού για τα παλιά καλά «αυτοκίνητα» και η ενεργή χρήση τους από κυβερνοεγκληματίες, αν και δυσάρεστο γεγονός, εξακολουθεί να είναι γεγονός. Πρόσφατα, το CERT Group-IB XNUMX/XNUMX Information Security Incident Response Center εντόπισε ένα ασυνήθιστο ηλεκτρονικό μήνυμα ηλεκτρονικού ψαρέματος που έκρυβε ένα νέο κακόβουλο λογισμικό για υπολογιστές που συνδυάζει τις λειτουργίες του Keylogger και του PasswordStealer. Η προσοχή των αναλυτών τράβηξε τον τρόπο με τον οποίο το λογισμικό υποκλοπής spyware μπήκε στο μηχάνημα του χρήστη - χρησιμοποιώντας έναν δημοφιλή φωνητικό αγγελιοφόρο. Ίλια Πομεράντσεφ, ένας ειδικός στην ανάλυση του κακόβουλου κώδικα CERT Group-IB, είπε πώς λειτουργεί το κακόβουλο λογισμικό, γιατί είναι επικίνδυνο, και μάλιστα βρήκε τον δημιουργό του - στο μακρινό Ιράκ.
Λοιπόν, πάμε με τη σειρά. Κάτω από το πρόσχημα ενός συνημμένου, μια τέτοια επιστολή περιείχε μια εικόνα, όταν έκανε κλικ στην οποία ο χρήστης έφτασε στον ιστότοπο cdn.discordapp.com, και από εκεί έγινε λήψη ενός κακόβουλου αρχείου.
Η χρήση του Discord, ενός δωρεάν φωνητικού και γραπτού μηνύματος, είναι αρκετά έξω από το κουτί. Συνήθως άλλοι αγγελιοφόροι ή κοινωνικά δίκτυα χρησιμοποιούνται για αυτούς τους σκοπούς.
Κατά τη διάρκεια μιας πιο λεπτομερούς ανάλυσης, εντοπίστηκε μια οικογένεια κακόβουλου λογισμικού. Αποδείχθηκε ότι ήταν νέος στην αγορά κακόβουλου λογισμικού - 404 Keylogger.
Αναρτήθηκε η πρώτη ανακοίνωση για την πώληση ενός keylogger hackforums χρήστης με το ψευδώνυμο "404 Coder" στις 8 Αυγούστου.
Το domain του καταστήματος κατοχυρώθηκε πρόσφατα - 7 Σεπτεμβρίου 2019.
Σύμφωνα με τους προγραμματιστές στον ιστότοπο 404 έργα[.]xyz, 404 είναι ένα εργαλείο που δημιουργήθηκε για να βοηθήσει τις εταιρείες να μάθουν για τις ενέργειες των πελατών τους (με την άδειά τους) ή για όσους θέλουν να προστατεύσουν το δυαδικό τους από την αντίστροφη μηχανική. Κοιτώντας μπροστά, ας πούμε ότι με την τελευταία εργασία 404 σίγουρα δεν λειτουργεί.
Αποφασίσαμε να επιλύσουμε ένα από τα αρχεία και να ελέγξουμε τι είναι το "BEST SMART KEYLOGGER".
Οικοσύστημα HPE
Loader 1 (AtillaCrypter)
Το αρχικό αρχείο προστατεύεται με EaxObfuscator και εκτελεί φόρτωση δύο σταδίων AtProtect από την ενότητα των πόρων. Κατά την ανάλυση άλλων δειγμάτων που βρέθηκαν στο VirusTotal, κατέστη σαφές ότι αυτό το στάδιο δεν είχε προβλεφθεί από τον ίδιο τον προγραμματιστή, αλλά προστέθηκε από τον πελάτη του. Αργότερα διαπιστώθηκε ότι αυτός ο bootloader είναι ο AtillaCrypter.
Loader 2 (AtProtect)
Στην πραγματικότητα, αυτός ο φορτωτής είναι αναπόσπαστο μέρος του κακόβουλου λογισμικού και, σύμφωνα με τον προγραμματιστή, θα πρέπει να αναλάβει τη λειτουργικότητα της ανάλυσης αντιμετώπισης.
Ωστόσο, στην πράξη, οι μηχανισμοί προστασίας είναι εξαιρετικά πρωτόγονοι και τα συστήματά μας εντοπίζουν με επιτυχία αυτό το κακόβουλο λογισμικό.
Η κύρια μονάδα φορτώνεται χρησιμοποιώντας Francchy ShellCode διάφορες εκδόσεις. Ωστόσο, δεν αποκλείουμε ότι θα μπορούσαν να χρησιμοποιηθούν και άλλες επιλογές, για παράδειγμα, RunPE.
Αρχείο διαμόρφωσης
Διόρθωση στο σύστημα
Η επιδιόρθωση στο σύστημα παρέχεται από το bootloader AtProtectεάν έχει οριστεί η αντίστοιχη σημαία.
- Το αρχείο αντιγράφεται κατά μήκος της διαδρομής %AppData%GFqaakZpzwm.exe.
- Το αρχείο δημιουργείται %AppData%GFqaakWinDriv.url, εκτόξευση Zpzwm.exe.
- Σε υποκατάστημα HKCUSoftwareMicrosoftWindowsCurrentVersionRun δημιουργείται το κλειδί έναρξης WinDrive.url.
Αλληλεπίδραση με C&C
AtProtect Loader
Εάν υπάρχει η αντίστοιχη σημαία, το κακόβουλο λογισμικό μπορεί να ξεκινήσει μια κρυφή διαδικασία iexplorer και ακολουθήστε τον σύνδεσμο που παρέχεται για να ειδοποιήσετε τον διακομιστή για επιτυχή μόλυνση.
datastealer
Ανεξάρτητα από τη μέθοδο που χρησιμοποιείται, η επικοινωνία δικτύου ξεκινά με τη λήψη της εξωτερικής IP του θύματος χρησιμοποιώντας τον πόρο [http]://checkip[.]dyndns[.]org/.
User-Agent: Mozilla/4.0 (συμβατό; MSIE 6.0; Windows NT 5.2; .NET CLR1.0.3705;)
Η γενική δομή του μηνύματος είναι η ίδια. Ο παρών τίτλος
|——- 404 Keylogger — {Type} ——-|Όπου {τύπος} αντιστοιχεί στο είδος της πληροφορίας που μεταδίδεται.
Ακολουθούν πληροφορίες για το σύστημα:
_______ + ΠΛΗΡΟΦΟΡΙΕΣ ΘΥΜΑΤΟΣ + _______
IP: {External IP}
Όνομα κατόχου: {Όνομα υπολογιστή}
Όνομα λειτουργικού συστήματος: {όνομα λειτουργικού συστήματος}
Έκδοση λειτουργικού συστήματος: {OS Version}
Πλατφόρμα λειτουργικού συστήματος: {Platform}
Μέγεθος RAM: {μέγεθος RAM}
______________________________
Και τέλος, τα μεταδιδόμενα δεδομένα.
SMTP
Το θέμα του email μοιάζει με αυτό: 404K | {τύπος μηνύματος} | Όνομα πελάτη: {username}.
Είναι ενδιαφέρον, να παραδίδετε επιστολές στον πελάτη 404 Keylogger χρησιμοποιείται ο διακομιστής SMTP του προγραμματιστή.
Αυτό κατέστησε δυνατή την αναγνώριση ορισμένων πελατών, καθώς και την αλληλογραφία ενός από τους προγραμματιστές.
fTP
Όταν χρησιμοποιείτε αυτήν τη μέθοδο, οι πληροφορίες που συλλέγονται αποθηκεύονται σε ένα αρχείο και διαβάζονται αμέσως από εκεί.
Η λογική αυτής της ενέργειας δεν είναι απολύτως σαφής, αλλά δημιουργεί ένα πρόσθετο τεχνούργημα για τη σύνταξη κανόνων συμπεριφοράς.
%HOMEDRIVE%%HOMEPATH%DocumentsA{Προσαρμοσμένος αριθμός}.txt
Pastebin
Κατά τη στιγμή της ανάλυσης, αυτή η μέθοδος χρησιμοποιείται μόνο για τη μετάδοση κλεμμένων κωδικών πρόσβασης. Επιπλέον, χρησιμοποιείται όχι ως εναλλακτική λύση στα δύο πρώτα, αλλά παράλληλα. Η συνθήκη είναι η τιμή της σταθεράς ίση με "Vavaa". Προφανώς αυτό είναι το όνομα του πελάτη.
Η αλληλεπίδραση πραγματοποιείται μέσω του πρωτοκόλλου https μέσω του API pastebin. Εννοια api_paste_private ισούται με PASTE_UNLISTED, που εμποδίζει την αναζήτηση τέτοιων σελίδων pastebin.
Αλγόριθμοι κρυπτογράφησης
Ανάκτηση αρχείου από πόρους
Το ωφέλιμο φορτίο αποθηκεύεται στους πόρους του φορτωτή AtProtect με τη μορφή Bitmaps. Η εκχύλιση πραγματοποιείται σε διάφορα στάδια:
- Ένας πίνακας byte εξάγεται από την εικόνα. Κάθε εικονοστοιχείο αντιμετωπίζεται ως ακολουθία 3 byte με σειρά BGR. Μετά την εξαγωγή, τα πρώτα 4 byte του πίνακα αποθηκεύουν το μήκος του μηνύματος, το επόμενο - το ίδιο το μήνυμα.
- Το κλειδί υπολογίζεται. Για να γίνει αυτό, το MD5 υπολογίζεται από την τιμή "ZpzwmjMJyfTNiRalKVrcSkxCN" που καθορίζεται ως κωδικός πρόσβασης. Ο κατακερματισμός που προκύπτει γράφεται δύο φορές.
- Η αποκρυπτογράφηση εκτελείται από τον αλγόριθμο AES σε λειτουργία ECB.
Κακόβουλη λειτουργικότητα
Downloader
Υλοποιήθηκε στον bootloader AtProtect.
- Έφεση από [activelink-repalce] ζητείται η κατάσταση του διακομιστή σχετικά με την ετοιμότητα να δώσει το αρχείο. Ο διακομιστής πρέπει να επιστρέψει "ΕΠΙ".
- Με παραπομπή [σύνδεσμος λήψης-αντικατάσταση] γίνεται λήψη του ωφέλιμου φορτίου.
- Με FranchyShellcode ωφέλιμο φορτίο εγχέεται στη διαδικασία [inj-replace].
Κατά την ανάλυση τομέα 404 έργα[.]xyz έχουν εντοπιστεί επιπλέον περιπτώσεις στο VirusTotal 404 Keylogger, καθώς και διάφορους τύπους φορτωτών.
Συμβατικά, χωρίζονται σε δύο τύπους:
- Η φόρτωση πραγματοποιείται από τον πόρο 404 έργα[.]xyz.
Τα δεδομένα είναι κωδικοποιημένα Base64 και κρυπτογραφημένα AES. - Αυτή η επιλογή αποτελείται από πολλά στάδια και πιθανότατα χρησιμοποιείται σε συνδυασμό με το bootloader AtProtect.
- Στο πρώτο στάδιο, τα δεδομένα φορτώνονται από pastebin και αποκωδικοποιήθηκε χρησιμοποιώντας τη συνάρτηση HexToByte.
- Στο δεύτερο στάδιο, η πηγή λήψης είναι η ίδια 404 έργα[.]xyz. Ταυτόχρονα, οι λειτουργίες αποσυμπίεσης και αποκωδικοποίησης είναι παρόμοιες με αυτές που βρίσκονται στο DataStealer. Πιθανώς, αρχικά σχεδιάστηκε να εφαρμοστεί η λειτουργικότητα του φορτωτή στην κύρια μονάδα.
- Σε αυτό το σημείο, το ωφέλιμο φορτίο βρίσκεται ήδη στη δήλωση πόρων σε συμπιεσμένη μορφή. Παρόμοιες λειτουργίες εξαγωγής βρέθηκαν επίσης στην κύρια ενότητα.
Ανάμεσα στα αρχεία που αναλύθηκαν βρέθηκαν φορτωτές njRat, SpyGate και άλλους αρουραίους.
keylogger
Περίοδος αποστολής αρχείων καταγραφής: 30 λεπτά.
Όλοι οι χαρακτήρες υποστηρίζονται. Οι ειδικοί χαρακτήρες ξεφεύγουν. Υπάρχει επεξεργασία των κλειδιών BackSpace και Delete. Η εγγραφή λαμβάνεται υπόψη.
clipboardlogger
Περίοδος αποστολής αρχείων καταγραφής: 30 λεπτά.
Περίοδος ψηφοφορίας buffer: 0,1 δευτερόλεπτα.
Εφαρμόστηκε διαφυγή συνδέσμου.
ScreenLogger
Περίοδος αποστολής αρχείων καταγραφής: 60 λεπτά.
Τα στιγμιότυπα οθόνης αποθηκεύονται %HOMEDRIVE%%HOMEPATH%Documents404k404pic.png.
Μετά την αποστολή του φακέλου 404k αφαιρείται.
Κλέφτης κωδικών πρόσβασης
| Φυλλομετρητές | Πελάτες ηλεκτρονικού ταχυδρομείου | Πελάτες FTP |
|---|---|---|
| Chrome | θέα | FileZilla |
| Firefox | Thunderbird | |
| SeaMonkey | foxmail | |
| Icedragon | ||
| PaleMoon | ||
| cyberfox | ||
| Chrome | ||
| BraveBrowser | ||
| QQBrowser | ||
| Iridium Browser | ||
| XvastBrowser | ||
| Chedot | ||
| Πρόγραμμα περιήγησης 360 | ||
| ComodoDragon | ||
| 360 Chrome | ||
| SuperBird | ||
| CentBrowser | ||
| GhostBrowser | ||
| IronBrowser | ||
| Χρώμιο | ||
| Vivaldi | ||
| Slimjet Browser | ||
| Τροχιά | ||
| CocCoc | ||
| Δάδα | ||
| UCBrowser | ||
| EpicBrowser | ||
| BliskBrowser | ||
| Opera |
Αντίθεση στη δυναμική ανάλυση
- Έλεγχος εάν μια διαδικασία βρίσκεται υπό ανάλυση
Πραγματοποιείται με αναζήτηση διεργασιών taskmgr, ProcessHacker, procexp64, procexp, procmon. Εάν βρεθεί τουλάχιστον ένα, το κακόβουλο λογισμικό εξέρχεται.
- Έλεγχος εάν βρίσκεστε σε εικονικό περιβάλλον
Πραγματοποιείται με αναζήτηση διεργασιών vmtoolsd, VGAuthService, vmacthlp, VBoxService, VBoxTray. Εάν βρεθεί τουλάχιστον ένα, το κακόβουλο λογισμικό εξέρχεται.
- Αποκοιμηθείτε για 5 δευτερόλεπτα
- Επίδειξη διαφόρων τύπων πλαισίων διαλόγου
Μπορεί να χρησιμοποιηθεί για να παρακάμψει ορισμένα sandboxes.
- Παράκαμψη UAC
Εκτελείται με επεξεργασία ενός κλειδιού μητρώου EnableLUA στις ρυθμίσεις πολιτικής ομάδας.
- Εφαρμόστε το χαρακτηριστικό Hidden στο τρέχον αρχείο.
- Δυνατότητα διαγραφής του τρέχοντος αρχείου.
Ανενεργές λειτουργίες
Κατά την ανάλυση του φορτωτή και της κύριας μονάδας, βρέθηκαν λειτουργίες που είναι υπεύθυνες για πρόσθετη λειτουργικότητα, αλλά δεν χρησιμοποιούνται πουθενά. Αυτό πιθανότατα οφείλεται στο γεγονός ότι το κακόβουλο λογισμικό είναι ακόμα υπό ανάπτυξη και η λειτουργικότητα θα επεκταθεί σύντομα.
AtProtect Loader
Βρέθηκε μια λειτουργία που είναι υπεύθυνη για τη φόρτωση και την έγχυση στη διαδικασία msiexec.exe αυθαίρετη ενότητα.
datastealer
- Διόρθωση στο σύστημα
- Λειτουργίες αποσυμπίεσης και αποκρυπτογράφησης
Είναι πιθανό ότι η κρυπτογράφηση δεδομένων κατά τη διάρκεια της αλληλεπίδρασης δικτύου θα εφαρμοστεί σύντομα. - Τερματισμός διαδικασιών προστασίας από ιούς
| zlclient | Dvp95_0 | Pavsched | avgserv9 |
| egui | Ηλεκτροκινητήρας | pavw | avgserv9schedapp |
| bdagent | Esafe | PCIOMON | μέσος |
| npfmsg | Espwatch | PCCMAIN | ashwebsv |
| olydbg | F-Agnt95 | pccwin98 | ashdisp |
| anubis | Findvir | Pcfwallicon | ashmaisv |
| wireshark | fprot | Persfw | ashserv |
| Avastui | ΣΤ-Πρωτ | POP3TRAP | aswUpdSv |
| _Avp32 | F-Prot95 | PVIEW95 | symwsc |
| vsmon | Fp Win | rav7 | norton |
| μπαμ | frw | Rav7win | Norton Auto-Protect |
| keyscrambler | F-Stopw | Διάσωση | norton_av |
| _Avpcc | impapp | SafeWeb | nortonav |
| _Avpm | Iamserv | Scan32 | ccsetmgr |
| Ackwin32 | Ibmasn | Scan95 | ccevtmgr |
| Προφυλακή | Ibmavsp | Scanpm | avadmin |
| Αντιτροϊκός | Icload95 | Σάρωση | avcenter |
| ΑΝΤΙΒΙΡ | Icloadnt | Serv95 | μέγ |
| Apvxdwin | εικονίδιο | Smc | avguard |
| ΕΝΑ ΚΟΜΜΑΤΙ | Icsupp95 | SMCSERVICE | avnotify |
| autodown | Icsuppnt | Φύσημα | avscan |
| Avconsol | πρόσωπο | Σφίγγα | guardgui |
| Ave32 | Ιώμων98 | Σκούπισμα95 | nod32krn |
| Μέσος όρος | Jedi | SYMPROXYSVC | nod32kui |
| Avkserv | lockdown2000 | Tbscan | clamscan |
| Avnt | επιφυλακή | Tca | δίσκος αχιβάδας |
| Avp | Luall | Tds2-98 | clamWin |
| Avp32 | mcafee | Tds2-Nt | freshclam |
| Avpcc | Moolive | TermiNET | ο ολαντίν |
| Αβδός32 | mpftray | Vet95 | sig εργαλείο |
| Avpm | N32scanw | Vettaray | w9xpopen |
| Avptc32 | NAVAPSVC | Vscan40 | Κοντά |
| Avpupd | NAVAPW32 | Vsecomr | cmgrdian |
| Avsched32 | NAVLU32 | Vshwin32 | alogserv |
| AVSYNMGR | Navnt | Vsstat | mcshield |
| Avwin95 | NAVRUNR | webscanx | vshwin32 |
| Avwupd32 | Navw32 | WEBTRAP | avconsol |
| μαυρισμένος | Navwnt | Wfindv32 | vsstat |
| Blackice | neowatch | ZoneAlarm | avsynmgr |
| cfiadmin | NISSERV | LOCKDOWN2000 | avcmd |
| Cfiaudit | Nisum | ΔΙΑΣΩΣΗ32 | avconfig |
| Cfinet | n κύρια | LUCOMSERVER | licmgr |
| Cfinet32 | νορμιστής | μ.σ | sched |
| Claw95 | NORTON | μ.σ | preupd |
| Claw95βλ | Αναβάθμιση | avgamsvr | MsMpEng |
| καθαριστής | Nvc95 | avgupsvc | MSASCui |
| Καθαριστικό 3 | Προφυλακή | μέσος όρος | Avira.Systray |
| Defwatch | διαχειριστής | avgcc32 | |
| Dvp95 | Pavcl | avgserv |
- αυτοκαταστροφή
- Φόρτωση δεδομένων από τον καθορισμένο πόρο δήλωσης
- Αντιγραφή αρχείου κατά μήκος της διαδρομής %Temp%tmpG[Τρέχουσα ημερομηνία και ώρα σε χιλιοστά του δευτερολέπτου].tmp
Είναι ενδιαφέρον ότι μια πανομοιότυπη λειτουργία υπάρχει στο κακόβουλο λογισμικό AgentTesla. - Λειτουργικότητα σκουληκιών
Το κακόβουλο λογισμικό λαμβάνει μια λίστα με αφαιρούμενα μέσα. Ένα αντίγραφο του κακόβουλου λογισμικού δημιουργείται στη ρίζα του συστήματος αρχείων πολυμέσων με το όνομα Sys.exe. Η αυτόματη εκκίνηση υλοποιείται χρησιμοποιώντας το αρχείο autorun.inf.
Προφίλ επιτιθέμενου
Κατά την ανάλυση του κέντρου εντολών, ήταν δυνατό να καθοριστεί η αλληλογραφία και το ψευδώνυμο του προγραμματιστή - Razer, γνωστός και ως Brwa, Brwa65, HiDDen PerSOn, 404 Coder. Περαιτέρω, βρέθηκε ένα ενδιαφέρον βίντεο στο YouTube, το οποίο δείχνει τη δουλειά με τον κατασκευαστή.
Αυτό κατέστησε δυνατή την εύρεση του αρχικού καναλιού προγραμματιστή.
Έγινε σαφές ότι είχε εμπειρία στη συγγραφή κρυπτογράφων. Υπάρχουν επίσης σύνδεσμοι σε σελίδες στα κοινωνικά δίκτυα, καθώς και το πραγματικό όνομα του συγγραφέα. Αποδείχθηκε ότι ήταν κάτοικος Ιράκ.
Αυτό είναι που υποτίθεται ότι μοιάζει με έναν προγραμματιστή 404 Keylogger. Φωτογραφία από το προσωπικό του προφίλ στο Facebook.
Το CERT Group-IB ανακοίνωσε μια νέα απειλή - 404 Keylogger - ένα Κέντρο Παρακολούθησης και Απόκρισης Κυβερνοαπειλών XNUMX/XNUMX στο Μπαχρέιν.
Πηγή: www.habr.com