En la lastaj jaroj moveblaj trojanoj aktive anstataŭas trojanojn por personaj komputiloj, do la apero de novaj malware por la bonaj malnovaj "aŭtoj" kaj ilia aktiva uzo de ciberkrimuloj, kvankam malagrabla evento, ankoraŭ estas evento. Lastatempe, la CERT Group-IB XNUMX/XNUMX Information Security Incident Response Center detektis nekutiman phishing-retpoŝton, kiu kaŝis novan malware por komputiloj, kiu kombinas la funkciojn de Keylogger kaj PasswordStealer. La atento de analizistoj estis tirita al kiel la spionvaro venis sur la maŝinon de la uzanto - uzante popularan voĉmesaĝilon. Ilja Pomerantsev, fakulo pri la analizo de malica kodo CERT Group-IB, rakontis kiel la malware funkcias, kial ĝi estas danĝera, kaj eĉ trovis sian kreinton - en malproksima Irako.
Do, ni iru en ordo. Sub la aspekto de aldonaĵo, tia letero enhavis bildon, kiam oni klakis, sur kiu la uzanto alvenis al la retejo. cdn.discordapp.com, kaj malica dosiero estis elŝutita de tie.
Uzi Discord, senpagan voĉon kaj tekstmesaĝilon, estas sufiĉe eksterordinara. Kutime aliaj mesaĝistoj aŭ sociaj retoj estas uzataj por ĉi tiuj celoj.
Dum pli detala analizo, familio de malware estis identigita. Ĝi rezultis esti novulo al la malware-merkato - 404 Keylogger.
La unua anonco pri la vendo de keylogger estis afiŝita hakforumoj uzanto sub la kromnomo "404 Coder" la 8-an de aŭgusto.
La domajno de la vendejo estis registrita sufiĉe lastatempe - la 7-an de septembro 2019.
Kiel la programistoj diras en la retejo 404projektoj[.]xyz, 404 estas ilo kreita por helpi kompaniojn lerni pri la agoj de siaj klientoj (kun ilia permeso) aŭ por tiuj, kiuj volas protekti sian binaron kontraŭ inversa inĝenierado. Rigardante antaŭen, ni diru tion kun la lasta tasko 404 certe ne funkcias.
Ni decidis solvi unu el la dosieroj kaj kontroli kio estas "BEST SMART KEYLOGGER".
Malware-ekosistemo
Ŝargilo 1 (AtillaCrypter)
La originala dosiero estas protektita per EaxObfuscator kaj elfaras dufazan ŝarĝadon AtProtect el la sekcio de rimedoj. Dum la analizo de aliaj specimenoj trovitaj sur VirusTotal, evidentiĝis, ke ĉi tiu etapo ne estis antaŭvidita de la programisto mem, sed estis aldonita de lia kliento. Poste oni trovis, ke ĉi tiu ekŝargilo estas AtillaCrypter.
Ŝargilo 2 (AtProtect)
Fakte, ĉi tiu ŝargilo estas integra parto de la malware kaj, laŭ la programisto, devus preni la funkcion de kontraŭstari analizon.
Tamen, praktike, protektaj mekanismoj estas ekstreme primitivaj, kaj niaj sistemoj sukcese detektas ĉi tiun malbon-varon.
La ĉefa modulo estas ŝarĝita uzante Franchy ShellCode diversaj versioj. Tamen, ni ne ekskludas, ke aliaj opcioj povus esti uzataj, ekzemple, KuruPE.
Agorda dosiero
Fiksado en la sistemo
Ripari en la sistemo estas provizita de la ekŝargilo AtProtectse la responda flago estas starigita.
- La dosiero estas kopiita laŭ la vojo %AppData%GFqaakZpzwm.exe.
- La dosiero estas kreita %AppData%GFqaakWinDriv.url, lanĉo Zpzwm.exe.
- En branĉo HKCUSoftwareMicrosoftWindowsCurrentVersionRun startŝlosilo estas generita WinDrive.url.
Interago kun C&C
Ŝargilo AtProtect
Se la responda flago ĉeestas, malware povas lanĉi kaŝitan procezon iesploristo kaj sekvu la specifitan ligilon por sciigi la servilon pri sukcesa infekto.
datumŝtelisto
Sendepende de la metodo uzata, reto komunikado komenciĝas per akiro de la ekstera IP de la viktimo uzante la rimedon [http]://checkip[.]dyndns[.]org/.
Uzanto-Agente: Mozilla/4.0 (kongrua; MSIE 6.0; Windows NT 5.2; .NET CLR1.0.3705;)
La ĝenerala strukturo de la mesaĝo estas la sama. Titolo ĉeestanta
|——- 404 Keylogger — {Tipo} ——-|kie {tipo} respondas al la speco de informoj transdonitaj.
Jen informoj pri la sistemo:
_______ + INFORMO DE VIKTIMO + _______
IP: {Ekstera IP}
Posedanta Nomo: {Komputila nomo}
OS Nomo: {OS name}
OS Versio: {OS Version}
OS Platformo: {Platformo}
Grandeco de RAM: {grandeco de RAM}
______________________________
Kaj fine, la transdonitaj datumoj.
SMTP
La temo de la retpoŝto aspektas jene: 404K | {mesaĝa tipo} | Klientonomo: {uzantnomo}.
Interese, liveri leterojn al la kliento 404 Keylogger la SMTP-servilo de la programisto estas uzata.
Ĉi tio ebligis identigi iujn klientojn, same kiel la poŝton de unu el la programistoj.
FTP
Kiam oni uzas ĉi tiun metodon, la kolektitaj informoj estas konservitaj en dosieron kaj tuj legitaj de tie.
La logiko de ĉi tiu ago ne estas tute klara, sed ĝi kreas aldonan artefakton por skribi kondutajn regulojn.
%HOMEDRIVE%%HOMEPATH%DocumentsA{Persona numero}.txt
Pastebin
En la momento de analizo, ĉi tiu metodo estas uzata nur por transsendo de ŝtelitaj pasvortoj. Cetere, ĝi estas uzata ne kiel alternativo al la unuaj du, sed paralele. La kondiĉo estas la valoro de la konstanto egala al "Vavaa". Supozeble ĉi tio estas la nomo de la kliento.
La interago okazas per la https protokolo per la API pastebin. Signifo api_paste_private egalas GLUIS_NELISTITA, kiu malebligas serĉadon de tiaj paĝoj pastebin.
Ĉifradaj algoritmoj
Prenante dosieron el rimedoj
La utila ŝarĝo estas stokita en la ŝargilaj rimedoj AtProtect en la formo de Bitmapoj. Eltiro okazas en pluraj stadioj:
- Tablo de bajtoj estas ĉerpita el la bildo. Ĉiu pikselo estas traktita kiel sekvenco de 3 bajtoj en BGR-ordo. Post eltiro, la unuaj 4 bajtoj de la tabelo konservas la longon de la mesaĝo, la sekva - la mesaĝo mem.
- La ŝlosilo estas kalkulita. Por fari tion, MD5 estas kalkulita el la valoro "ZpzwmjMJyfTNiRalKVrcSkxCN" specifita kiel la pasvorto. La rezulta haŝo estas skribita dufoje.
- Malĉifrado estas farita per AES-algoritmo en ECB-reĝimo.
Malica funkcieco
Downloader
Implementita en la ekŝargilo AtProtect.
- Apelacio de [aktiva ligo-remplace] la stato de la servilo pri la preteco doni la dosieron estas petita. La servilo devus reveni "ON".
- Per ligo [elŝutu ligilo-anstataŭigi] la utila ŝarĝo estas elŝutita.
- Kun la helpo de FranchyShellcode utila ŝarĝo estas injektita en la procezon [inj-anstataŭigi].
Dum domajna analizo 404projektoj[.]xyz kromaj kazoj estis identigitaj sur VirusTotal 404 Keylogger, same kiel pluraj specoj de ŝargiloj.
Konvencie, ili estas dividitaj en du tipojn:
- Ŝargado estas farita de la rimedo 404projektoj[.]xyz.
La datumoj estas kodigitaj kun Base64 kaj ĉifrita kun AES. - Ĉi tiu opcio konsistas el pluraj etapoj kaj plej verŝajne estas uzata kune kun la ekŝargilo AtProtect.
- En la unua etapo, la datumoj estas ŝarĝitaj de pastebin kaj malkodita uzante la funkcion HexToByte.
- En la dua etapo, la elŝuta fonto estas mem 404projektoj[.]xyz. Tamen, la malkunpremaj kaj malkodaj funkcioj estas similaj al tiuj trovitaj en DataStealer. Estis verŝajne origine planite efektivigi la ekŝargilan funkcion en la ĉefa modulo.
- Je ĉi tiu punkto, la utila ŝarĝo jam estas en la rimeda manifesto en kunpremita formo. Similaj eltiraj funkcioj ankaŭ estis trovitaj en la ĉefmodulo.
Ŝargiloj estis trovitaj inter la analizitaj dosieroj njRat, SpyGate kaj aliaj RAToj.
Keylogger
Protokolo senda periodo: 30 minutoj.
Ĉiuj signoj estas subtenataj. Specialaj signoj estas eskapitaj. Estas traktado de la klavoj BackSpace kaj Delete. Registaro estas konsiderata.
tondujo
Protokolo senda periodo: 30 minutoj.
Bufera balotperiodo: 0,1 sekundoj.
Efektivigita ligo eskapo.
ScreenLogger
Protokolo senda periodo: 60 minutoj.
Ekrankopioj estas konservitaj en %HOMEDRIVE%%HOMEPATH%Documents404k404pic.png.
Post sendi la dosierujon 404k estas forigita.
Ŝtelisto de Pasvorto
Foliumiloj | Retpoŝtaj klientoj | FTP-klientoj |
---|---|---|
Kromio | perspektivo | FileZilla |
firefox | Thunderbird | |
Seamonkey | vulpo poŝto | |
glacidrako | ||
PaleLuno | ||
Cibervulpo | ||
Kromio | ||
BraveBrowser | ||
QQBrowser | ||
IridiumBrowser | ||
XvastBrowser | ||
Ĉedot | ||
360 Retumilo | ||
ComodoDragon | ||
360Kromo | ||
SuperBird | ||
CentBrowser | ||
GhostBrowser | ||
IronBrowser | ||
kromio | ||
Vivaldi | ||
SlimjetBrowser | ||
Orbito | ||
CocCoc | ||
Torĉo | ||
UCBbrowser | ||
EpicBrowser | ||
BliskBrowser | ||
opero |
Opozicio al dinamika analizo
- Kontrolante ĉu procezo estas sub analizo
Farita serĉante procezojn taskmgr, ProcessHacker, procexp64, procexp, procmon. Se almenaŭ unu estas trovita, la malware eliras.
- Kontrolante ĉu vi estas en virtuala medio
Farita serĉante procezojn vmtoolsd, VGAuthService, vmacthlp, VBoxService, VBoxTray. Se almenaŭ unu estas trovita, la malware eliras.
- Endormu dum 5 sekundoj
- Demonstro de diversaj specoj de dialogujoj
Povas esti uzata por preteriri iujn sablokestojn.
- Preterpasu UAC
Farita per redaktado de registra ŝlosilo EnableLUA en agordoj de Grupo-Politiko.
- Aplikas la atributon "Kaŝita" al la nuna dosiero.
- Kapablo forigi la nunan dosieron.
Neaktivaj Trajtoj
Dum la analizo de la ŝargilo kaj la ĉefa modulo, funkcioj estis trovitaj, kiuj respondecas pri plia funkcieco, sed ili ne estas uzataj ie ajn. Ĉi tio verŝajne estas pro la fakto, ke la malware estas ankoraŭ evoluanta kaj la funkcieco baldaŭ plivastiĝos.
Ŝargilo AtProtect
Funkcio estis trovita, kiu respondecas pri ŝarĝo kaj injekto en la procezon msiexec.exe arbitra modulo.
datumŝtelisto
- Fiksado en la sistemo
- Funkcioj de malkunpremo kaj deĉifrado
Verŝajne, ke datuma ĉifrado dum interagado de la reto estos efektivigita baldaŭ. - Finante Antivirusajn Procezojn
zlkliento | Dvp95_0 | Pavsched | avgserv9 |
egui | Ecengine | pavw | avgserv9schedapp |
bdagent | Esafe | PCCIOMON | avgemc |
npfmsg | Espwatch | PCCMAIN | ashwebsv |
olydbg | F-Agnt95 | pccwin98 | ashdisp |
anubo | Trovu viruson | Pcfwallicon | ashmaisv |
wireshark | fprot | Persfw | ashserv |
Avastui | F-Prot | POP3TRAP | aswUpdSv |
_Avp32 | F-Prot95 | PVIEW95 | symwsc |
vsmon | Fp Venko | Rav7 | norton |
mbam | frw | Rav7win | Norton Aŭtomata Protekto |
klavrompilo | F-Stopw | rekupero | norton_av |
_Avpcc | imapp | SafeWeb | nortonav |
_Avpm | Iamserv | Skanado 32 | ccsetmgr |
Ackwin32 | Ibmasn | Skanado 95 | ccevtmgr |
Antaŭita | Ibmavsp | Scanpm | avadmin |
Kontraŭtroja | Icload95 | Scrscan | avcenter |
ANTIVIRO | Icloadnt | Serv95 | avgnt |
Apvxdwin | icmon | SMC | avgard |
ATRACK | Icsupp95 | SMCSERVICE | avnotigi |
aŭtomalsupren | Icsuppnt | snufante | avscan |
Avconsol | vizaĝo | Sfinkso | guardgui |
Birdo32 | Iomon98 | Svingo95 | nod32krn |
Avgctrl | Jedi | SYMPROXYSVC | nod32kui |
Avkserv | ŝloso2000 | Tbscan | clamscan |
Avnt | Atentu | Tca | clamPleto |
Avp | Luall | Tds2-98 | clamWin |
Avp32 | mcafee | Tds2-Nt | freŝa konko |
Avpcc | Moolive | TerminNET | oladdin |
Avpdos32 | mpftray | Vet95 | sigilo |
Avpm | N32scanw | Vettaray | w9xpopen |
Avptc32 | NAVAPSVC | Vscan40 | Wclose |
Avpupd | NAVAPW32 | Vsecomr | cmgrdian |
Avsched32 | NAVLU32 | Vshwin32 | alogserv |
AVSYNMGR | Navnt | Vsstat | mcshield |
Avwin95 | NAVRUNR | webscanx | vshwin32 |
Avwupd32 | Navw32 | WEBTRAP | avconsol |
Blackd | Navwnt | Wfindv32 | vsstat |
Nigra glacio | NeoWatch | zonaalarm | avsynmgr |
cfiadmin | NISSERV | Ŝlosita 2000 | avcmd |
Cfiaudito | Nisum | SAVO32 | avconfig |
Cfinet | Nĉefo | LUCOMSERVER | licmgr |
Cfinet32 | normisto | avgcc | skedita |
Ungego95 | NORTONO | avgcc | preupd |
Ungego95cf | Nupgrade | avgamsvr | MsMpEng |
Pli pura | Nvc95 | avgupsvc | MSASCui |
Purigisto3 | Antaŭita | avgw | Avira.Systray |
Defwatch | admin | avgcc32 | |
Dvp95 | Pavcl | avgserv |
- memdetruo
- Ŝargante datumojn de la specifita manifesta rimedo
- Kopiante dosieron laŭ la vojo %Temp%tmpG[Nuna dato kaj horo en milisekundoj].tmp
Kurioze, identa funkcio ĉeestas en la malware AgentTesla. - Vermo-funkcieco
La malware ricevas liston de forpreneblaj rimedoj. Kopio de la malware estas kreita en la radiko de la amaskomunikila dosiersistemo kun la nomo Sys.exe. Aŭtomata lanĉo estas efektivigita uzante la dosieron autorun.inf.
Profilo de atakanto
Dum la analizo de la komanda centro, eblis establi la retpoŝton kaj kromnomon de la programisto - Razer, alinome Brwa, Brwa65, HiDDen PerSOn, 404 Coder. Poste, ni trovis interesan filmeton en Jutubo, kiu pruvas labori kun la konstruanto.
Ĉi tio ebligis trovi la originan programistan kanalon.
Evidentiĝis, ke li havis sperton pri verkado de kriptoj. Estas ankaŭ ligiloj al paĝoj en sociaj retoj, kaj ankaŭ la vera nomo de la aŭtoro. Ĝi montriĝis esti loĝanto de Irako.
Jen kiel supozeble aspektas 404 Keylogger-programisto. Foto el lia persona Facebook-profilo.
CERT Group-IB anoncis novan minacon - 404 Keylogger - XNUMX/XNUMX Cyber Threat Monitoring and Response Center (SOC) en Barejno.
fonto: www.habr.com