Keylogger kun surprizo: keylogger analizo kaj ĝia programisto deano

En la lastaj jaroj moveblaj trojanoj aktive anstataŭas trojanojn por personaj komputiloj, do la apero de novaj malware por la bonaj malnovaj "aŭtoj" kaj ilia aktiva uzo de ciberkrimuloj, kvankam malagrabla evento, ankoraŭ estas evento. Lastatempe, la CERT Group-IB XNUMX/XNUMX Information Security Incident Response Center detektis nekutiman phishing-retpoŝton, kiu kaŝis novan malware por komputiloj, kiu kombinas la funkciojn de Keylogger kaj PasswordStealer. La atento de analizistoj estis tirita al kiel la spionvaro venis sur la maŝinon de la uzanto - uzante popularan voĉmesaĝilon. Ilja Pomerantsev, fakulo pri la analizo de malica kodo CERT Group-IB, rakontis kiel la malware funkcias, kial ĝi estas danĝera, kaj eĉ trovis sian kreinton - en malproksima Irako.

Do, ni iru en ordo. Sub la aspekto de aldonaĵo, tia letero enhavis bildon, kiam oni klakis, sur kiu la uzanto alvenis al la retejo. cdn.discordapp.com, kaj malica dosiero estis elŝutita de tie.

Uzi Discord, senpagan voĉon kaj tekstmesaĝilon, estas sufiĉe eksterordinara. Kutime aliaj mesaĝistoj aŭ sociaj retoj estas uzataj por ĉi tiuj celoj.

Dum pli detala analizo, familio de malware estis identigita. Ĝi rezultis esti novulo al la malware-merkato - 404 Keylogger.

La unua anonco pri la vendo de keylogger estis afiŝita hakforumoj uzanto sub la kromnomo "404 Coder" la 8-an de aŭgusto.

La domajno de la vendejo estis registrita sufiĉe lastatempe - la 7-an de septembro 2019.

Kiel la programistoj diras en la retejo 404projektoj[.]xyz, 404 estas ilo kreita por helpi kompaniojn lerni pri la agoj de siaj klientoj (kun ilia permeso) aŭ por tiuj, kiuj volas protekti sian binaron kontraŭ inversa inĝenierado. Rigardante antaŭen, ni diru tion kun la lasta tasko 404 certe ne funkcias.

Ni decidis solvi unu el la dosieroj kaj kontroli kio estas "BEST SMART KEYLOGGER".

Malware-ekosistemo

Ŝargilo 1 (AtillaCrypter)

La originala dosiero estas protektita per EaxObfuscator kaj elfaras dufazan ŝarĝadon AtProtect el la sekcio de rimedoj. Dum la analizo de aliaj specimenoj trovitaj sur VirusTotal, evidentiĝis, ke ĉi tiu etapo ne estis antaŭvidita de la programisto mem, sed estis aldonita de lia kliento. Poste oni trovis, ke ĉi tiu ekŝargilo estas AtillaCrypter.

Ŝargilo 2 (AtProtect)

Fakte, ĉi tiu ŝargilo estas integra parto de la malware kaj, laŭ la programisto, devus preni la funkcion de kontraŭstari analizon.

Tamen, praktike, protektaj mekanismoj estas ekstreme primitivaj, kaj niaj sistemoj sukcese detektas ĉi tiun malbon-varon.

La ĉefa modulo estas ŝarĝita uzante Franchy ShellCode diversaj versioj. Tamen, ni ne ekskludas, ke aliaj opcioj povus esti uzataj, ekzemple, KuruPE.

Agorda dosiero

Fiksado en la sistemo

Ripari en la sistemo estas provizita de la ekŝargilo AtProtectse la responda flago estas starigita.

• La dosiero estas kopiita laŭ la vojo %AppData%GFqaakZpzwm.exe.
• La dosiero estas kreita %AppData%GFqaakWinDriv.url, lanĉo Zpzwm.exe.
• En branĉo HKCUSoftwareMicrosoftWindowsCurrentVersionRun startŝlosilo estas generita WinDrive.url.

Interago kun C&C

Ŝargilo AtProtect

Se la responda flago ĉeestas, malware povas lanĉi kaŝitan procezon iesploristo kaj sekvu la specifitan ligilon por sciigi la servilon pri sukcesa infekto.

datumŝtelisto

Sendepende de la metodo uzata, reto komunikado komenciĝas per akiro de la ekstera IP de la viktimo uzante la rimedon [http]://checkip[.]dyndns[.]org/.

Uzanto-Agente: Mozilla/4.0 (kongrua; MSIE 6.0; Windows NT 5.2; .NET CLR1.0.3705;)

La ĝenerala strukturo de la mesaĝo estas la sama. Titolo ĉeestanta
|——- 404 Keylogger — {Tipo} ——-|kie {tipo} respondas al la speco de informoj transdonitaj.
Jen informoj pri la sistemo:

_______ + INFORMO DE VIKTIMO + _______

IP: {Ekstera IP}
Posedanta Nomo: {Komputila nomo}
OS Nomo: {OS name}
OS Versio: {OS Version}
OS Platformo: {Platformo}
Grandeco de RAM: {grandeco de RAM}
______________________________

Kaj fine, la transdonitaj datumoj.

SMTP

La temo de la retpoŝto aspektas jene: 404K | {mesaĝa tipo} | Klientonomo: {uzantnomo}.

Interese, liveri leterojn al la kliento 404 Keylogger la SMTP-servilo de la programisto estas uzata.

Ĉi tio ebligis identigi iujn klientojn, same kiel la poŝton de unu el la programistoj.

FTP

Kiam oni uzas ĉi tiun metodon, la kolektitaj informoj estas konservitaj en dosieron kaj tuj legitaj de tie.

La logiko de ĉi tiu ago ne estas tute klara, sed ĝi kreas aldonan artefakton por skribi kondutajn regulojn.

%HOMEDRIVE%%HOMEPATH%DocumentsA{Persona numero}.txt

Pastebin

En la momento de analizo, ĉi tiu metodo estas uzata nur por transsendo de ŝtelitaj pasvortoj. Cetere, ĝi estas uzata ne kiel alternativo al la unuaj du, sed paralele. La kondiĉo estas la valoro de la konstanto egala al "Vavaa". Supozeble ĉi tio estas la nomo de la kliento.

La interago okazas per la https protokolo per la API pastebin. Signifo api_paste_private egalas GLUIS_NELISTITA, kiu malebligas serĉadon de tiaj paĝoj pastebin.

Ĉifradaj algoritmoj

Prenante dosieron el rimedoj

La utila ŝarĝo estas stokita en la ŝargilaj rimedoj AtProtect en la formo de Bitmapoj. Eltiro okazas en pluraj stadioj:

• Tablo de bajtoj estas ĉerpita el la bildo. Ĉiu pikselo estas traktita kiel sekvenco de 3 bajtoj en BGR-ordo. Post eltiro, la unuaj 4 bajtoj de la tabelo konservas la longon de la mesaĝo, la sekva - la mesaĝo mem.

  

• La ŝlosilo estas kalkulita. Por fari tion, MD5 estas kalkulita el la valoro "ZpzwmjMJyfTNiRalKVrcSkxCN" specifita kiel la pasvorto. La rezulta haŝo estas skribita dufoje.

  

• Malĉifrado estas farita per AES-algoritmo en ECB-reĝimo.

Malica funkcieco

Downloader

Implementita en la ekŝargilo AtProtect.

• Apelacio de [aktiva ligo-remplace] la stato de la servilo pri la preteco doni la dosieron estas petita. La servilo devus reveni "ON".
• Per ligo [elŝutu ligilo-anstataŭigi] la utila ŝarĝo estas elŝutita.
• Kun la helpo de FranchyShellcode utila ŝarĝo estas injektita en la procezon [inj-anstataŭigi].

Dum domajna analizo 404projektoj[.]xyz kromaj kazoj estis identigitaj sur VirusTotal 404 Keylogger, same kiel pluraj specoj de ŝargiloj.

Konvencie, ili estas dividitaj en du tipojn:

1. Ŝargado estas farita de la rimedo 404projektoj[.]xyz.

   
   La datumoj estas kodigitaj kun Base64 kaj ĉifrita kun AES.

2. Ĉi tiu opcio konsistas el pluraj etapoj kaj plej verŝajne estas uzata kune kun la ekŝargilo AtProtect.

• En la unua etapo, la datumoj estas ŝarĝitaj de pastebin kaj malkodita uzante la funkcion HexToByte.

  

• En la dua etapo, la elŝuta fonto estas mem 404projektoj[.]xyz. Tamen, la malkunpremaj kaj malkodaj funkcioj estas similaj al tiuj trovitaj en DataStealer. Estis verŝajne origine planite efektivigi la ekŝargilan funkcion en la ĉefa modulo.

  

• Je ĉi tiu punkto, la utila ŝarĝo jam estas en la rimeda manifesto en kunpremita formo. Similaj eltiraj funkcioj ankaŭ estis trovitaj en la ĉefmodulo.

Ŝargiloj estis trovitaj inter la analizitaj dosieroj njRat, SpyGate kaj aliaj RAToj.

Keylogger

Protokolo senda periodo: 30 minutoj.

Ĉiuj signoj estas subtenataj. Specialaj signoj estas eskapitaj. Estas traktado de la klavoj BackSpace kaj Delete. Registaro estas konsiderata.

tondujo

Protokolo senda periodo: 30 minutoj.

Bufera balotperiodo: 0,1 sekundoj.

Efektivigita ligo eskapo.

ScreenLogger

Protokolo senda periodo: 60 minutoj.

Ekrankopioj estas konservitaj en %HOMEDRIVE%%HOMEPATH%Documents404k404pic.png.

Post sendi la dosierujon 404k estas forigita.

Ŝtelisto de Pasvorto

Foliumiloj	Retpoŝtaj klientoj	FTP-klientoj
Kromio	perspektivo	FileZilla
firefox	Thunderbird
Seamonkey	vulpo poŝto
glacidrako
PaleLuno
Cibervulpo
Kromio
BraveBrowser
QQBrowser
IridiumBrowser
XvastBrowser
Ĉedot
360 Retumilo
ComodoDragon
360Kromo
SuperBird
CentBrowser
GhostBrowser
IronBrowser
kromio
Vivaldi
SlimjetBrowser
Orbito
CocCoc
Torĉo
UCBbrowser
EpicBrowser
BliskBrowser
opero

Opozicio al dinamika analizo

• Kontrolante ĉu procezo estas sub analizo

  Farita serĉante procezojn taskmgr, ProcessHacker, procexp64, procexp, procmon. Se almenaŭ unu estas trovita, la malware eliras.

• Kontrolante ĉu vi estas en virtuala medio

  Farita serĉante procezojn vmtoolsd, VGAuthService, vmacthlp, VBoxService, VBoxTray. Se almenaŭ unu estas trovita, la malware eliras.

• Endormu dum 5 sekundoj
• Demonstro de diversaj specoj de dialogujoj

  Povas esti uzata por preteriri iujn sablokestojn.

• Preterpasu UAC

  Farita per redaktado de registra ŝlosilo EnableLUA en agordoj de Grupo-Politiko.

• Aplikas la atributon "Kaŝita" al la nuna dosiero.
• Kapablo forigi la nunan dosieron.

Neaktivaj Trajtoj

Dum la analizo de la ŝargilo kaj la ĉefa modulo, funkcioj estis trovitaj, kiuj respondecas pri plia funkcieco, sed ili ne estas uzataj ie ajn. Ĉi tio verŝajne estas pro la fakto, ke la malware estas ankoraŭ evoluanta kaj la funkcieco baldaŭ plivastiĝos.

Ŝargilo AtProtect

Funkcio estis trovita, kiu respondecas pri ŝarĝo kaj injekto en la procezon msiexec.exe arbitra modulo.

datumŝtelisto

• Fiksado en la sistemo

  

• Funkcioj de malkunpremo kaj deĉifrado

  
  
  Verŝajne, ke datuma ĉifrado dum interagado de la reto estos efektivigita baldaŭ.

• Finante Antivirusajn Procezojn

zlkliento	Dvp95_0	Pavsched	avgserv9
egui	Ecengine	pavw	avgserv9schedapp
bdagent	Esafe	PCCIOMON	avgemc
npfmsg	Espwatch	PCCMAIN	ashwebsv
olydbg	F-Agnt95	pccwin98	ashdisp
anubo	Trovu viruson	Pcfwallicon	ashmaisv
wireshark	fprot	Persfw	ashserv
Avastui	F-Prot	POP3TRAP	aswUpdSv
_Avp32	F-Prot95	PVIEW95	symwsc
vsmon	Fp Venko	Rav7	norton
mbam	frw	Rav7win	Norton Aŭtomata Protekto
klavrompilo	F-Stopw	rekupero	norton_av
_Avpcc	imapp	SafeWeb	nortonav
_Avpm	Iamserv	Skanado 32	ccsetmgr
Ackwin32	Ibmasn	Skanado 95	ccevtmgr
Antaŭita	Ibmavsp	Scanpm	avadmin
Kontraŭtroja	Icload95	Scrscan	avcenter
ANTIVIRO	Icloadnt	Serv95	avgnt
Apvxdwin	icmon	SMC	avgard
ATRACK	Icsupp95	SMCSERVICE	avnotigi
aŭtomalsupren	Icsuppnt	snufante	avscan
Avconsol	vizaĝo	Sfinkso	guardgui
Birdo32	Iomon98	Svingo95	nod32krn
Avgctrl	Jedi	SYMPROXYSVC	nod32kui
Avkserv	ŝloso2000	Tbscan	clamscan
Avnt	Atentu	Tca	clamPleto
Avp	Luall	Tds2-98	clamWin
Avp32	mcafee	Tds2-Nt	freŝa konko
Avpcc	Moolive	TerminNET	oladdin
Avpdos32	mpftray	Vet95	sigilo
Avpm	N32scanw	Vettaray	w9xpopen
Avptc32	NAVAPSVC	Vscan40	Wclose
Avpupd	NAVAPW32	Vsecomr	cmgrdian
Avsched32	NAVLU32	Vshwin32	alogserv
AVSYNMGR	Navnt	Vsstat	mcshield
Avwin95	NAVRUNR	webscanx	vshwin32
Avwupd32	Navw32	WEBTRAP	avconsol
Blackd	Navwnt	Wfindv32	vsstat
Nigra glacio	NeoWatch	zonaalarm	avsynmgr
cfiadmin	NISSERV	Ŝlosita 2000	avcmd
Cfiaudito	Nisum	SAVO32	avconfig
Cfinet	Nĉefo	LUCOMSERVER	licmgr
Cfinet32	normisto	avgcc	skedita
Ungego95	NORTONO	avgcc	preupd
Ungego95cf	Nupgrade	avgamsvr	MsMpEng
Pli pura	Nvc95	avgupsvc	MSASCui
Purigisto3	Antaŭita	avgw	Avira.Systray
Defwatch	admin	avgcc32
Dvp95	Pavcl	avgserv

• memdetruo
• Ŝargante datumojn de la specifita manifesta rimedo

  

• Kopiante dosieron laŭ la vojo %Temp%tmpG[Nuna dato kaj horo en milisekundoj].tmp

  
  Kurioze, identa funkcio ĉeestas en la malware AgentTesla.

• Vermo-funkcieco

  La malware ricevas liston de forpreneblaj rimedoj. Kopio de la malware estas kreita en la radiko de la amaskomunikila dosiersistemo kun la nomo Sys.exe. Aŭtomata lanĉo estas efektivigita uzante la dosieron autorun.inf.

  

Profilo de atakanto

Dum la analizo de la komanda centro, eblis establi la retpoŝton kaj kromnomon de la programisto - Razer, alinome Brwa, Brwa65, HiDDen PerSOn, 404 Coder. Poste, ni trovis interesan filmeton en Jutubo, kiu pruvas labori kun la konstruanto.

Ĉi tio ebligis trovi la originan programistan kanalon.

Evidentiĝis, ke li havis sperton pri verkado de kriptoj. Estas ankaŭ ligiloj al paĝoj en sociaj retoj, kaj ankaŭ la vera nomo de la aŭtoro. Ĝi montriĝis esti loĝanto de Irako.

Jen kiel supozeble aspektas 404 Keylogger-programisto. Foto el lia persona Facebook-profilo.

CERT Group-IB anoncis novan minacon - 404 Keylogger - XNUMX/XNUMX Cyber ​​​​Threat Monitoring and Response Center (SOC) en Barejno.

fonto: www.habr.com