Viimastel aastatel on mobiilsed troojalased personaalarvutites aktiivselt troojalasi asendanud, seega on uue pahavara ilmumine vanade heade “autode” jaoks ja selle aktiivne kasutamine küberkurjategijate poolt, kuigi ebameeldiv, siiski sündmus. Hiljuti tuvastas CERT Group-IB ööpäevaringne infoturbeintsidentidele reageerimise keskus ebahariliku andmepüügimeili, mis peidab uut arvuti pahavara, mis ühendab Keyloggeri ja PasswordStealeri funktsioonid. Analüütikute tähelepanu juhiti sellele, kuidas nuhkvara jõudis kasutaja masinasse – kasutades selleks populaarset häälsõnumit. Ilja Pomerantsev, CERT Group-IB pahavaraanalüüsi spetsialist, selgitas, kuidas pahavara töötab, miks see ohtlik on ja leidis isegi selle looja kaugest Iraagist.
Niisiis, lähme järjekorras. Manuse varjus sisaldas selline kiri pilti, millel klõpsamisel viidi kasutaja saidile cdn.discordapp.com, ja sealt laaditi alla pahatahtlik fail.
Tasuta hääl- ja tekstisõnumiprogrammi Discord kasutamine on üsna ebatavaline. Tavaliselt kasutatakse nendel eesmärkidel muid kiirsõnumite saatjaid või sotsiaalvõrgustikke.
Täpsema analüüsi käigus tuvastati pahavara perekond. See osutus pahavara turul uustulnukaks - 404 Keylogger.
Esimene klahvilogija müügikuulutus pandi üles häkkimisfoorumid kasutaja poolt hüüdnime “404 kodeerija” all 8. augustil.
Poe domeen registreeriti üsna hiljuti – 7.
Nagu arendajad veebisaidil ütlevad 404projekti[.]xyz, 404 on tööriist, mis on loodud selleks, et aidata ettevõtetel õppida tundma oma klientide tegevust (nende loal) või neile, kes soovivad oma binaarfaili pöördprojekteerimise eest kaitsta. Tulevikku vaadates ütleme, et viimase ülesandega 404 kindlasti ei tule toime.
Otsustasime ühe faili tagasi pöörata ja kontrollida, mis on "PARIM SMART KEYLOGGER".
Pahavara ökosüsteem
Laadija 1 (AtillaCrypter)
Lähtefail on kaitstud kasutades EaxObfuscator ja teostab kaheastmelist laadimist AtProtect ressursside jaotisest. Teiste VirusTotalist leitud näidiste analüüsimisel selgus, et seda etappi ei pakkunud arendaja ise, vaid selle lisas tema klient. Hiljem tehti kindlaks, et see alglaadur oli AtillaCrypter.
Bootloader 2 (AtProtect)
Tegelikult on see laadija ründevara lahutamatu osa ja vastavalt arendaja kavatsusele peaks see võtma vastu võitlemise analüüsi funktsiooni.
Praktikas on kaitsemehhanismid aga äärmiselt primitiivsed ja meie süsteemid tuvastavad selle pahavara edukalt.
Põhimoodul laaditakse kasutades Franchy ShellCode erinevad versioonid. Kuid me ei välista, et oleks võinud kasutada muid võimalusi, näiteks RunPE.
Konfiguratsioonifail
Konsolideerimine süsteemis
Konsolideerimise süsteemis tagab alglaadur AtProtect, kui vastav lipp on seatud.
- Fail kopeeritakse mööda teed %AppData%GFqaakZpzwm.exe.
- Fail luuakse %AppData%GFqaakWinDriv.url, käivitamine Zpzwm.exe.
- Lõime sees HKCUStarkvaraMicrosoftWindowsCurrentVersionRun luuakse käivitusvõti WinDriv.url.
Suhtlemine C&C-ga
Laadija AtProtect
Kui vastav lipp on olemas, võib pahavara käivitada peidetud protsessi ieexplorer ja järgige määratud linki, et teavitada serverit edukast nakatumisest.
DataStealer
Olenemata kasutatavast meetodist algab võrgusuhtlus ohvri välise IP hankimisega ressurssi kasutades [http]://checkip[.]dyndns[.]org/.
Kasutajaagent: Mozilla/4.0 (ühildub; MSIE 6.0; Windows NT 5.2; .NET CLR1.0.3705;)
Sõnumi üldine struktuur on sama. Päis olemas
|——- 404 Keylogger — {Tüüp} ——-|Kus {tüüp} vastab edastatava teabe tüübile.
Järgnev on teave süsteemi kohta:
_______ + OHVRI TEAVE + _______
IP: {Väline IP}
Omaniku nimi: {Computer name}
OS-i nimi: {OS-i nimi}
OS-i versioon: {OS-i versioon}
OS-i platvorm: {Platform}
RAM-i suurus: {RAM-i suurus}
______________________________
Ja lõpuks edastatud andmed.
SMTP
Kirja teema on järgmine: 404 K | {Sõnumi tüüp} | Kliendi nimi: {Username}.
Huvitaval kombel kliendile kirju toimetada 404 Keylogger Kasutatakse arendajate SMTP-serverit.
See võimaldas tuvastada mõned kliendid ja ka ühe arendaja e-posti aadress.
FTP
Selle meetodi kasutamisel salvestatakse kogutud teave faili ja loetakse sealt kohe.
Selle tegevuse loogika pole täiesti selge, kuid see loob täiendava artefakti käitumisreeglite kirjutamiseks.
%HOMEDRIVE%%HOMEPATH%DocumentsA{Suvaline number}.txt
Pastebin
Analüüsi ajal kasutatakse seda meetodit ainult varastatud paroolide edastamiseks. Pealegi kasutatakse seda mitte alternatiivina kahele esimesele, vaid paralleelselt. Tingimuseks on konstandi väärtus, mis on võrdne “Vavaaga”. Arvatavasti on see kliendi nimi.
Interaktsioon toimub https-protokolli kaudu API kaudu pastebin. Tähendus api_paste_private võrdub PASTE_UNLISTED, mis keelab selliste lehtede otsimise pastebin.
Krüpteerimisalgoritmid
Faili hankimine ressurssidest
Kasulik koormus salvestatakse alglaaduri ressurssidesse AtProtect bitmap-piltide kujul. Ekstraheerimine toimub mitmes etapis:
- Pildilt ekstraheeritakse baitide massiiv. Iga pikslit käsitletakse 3-baidise jadana BGR järjekorras. Pärast ekstraheerimist salvestavad massiivi esimesed 4 baiti sõnumi pikkuse, järgmised salvestavad sõnumi enda.
- Võti on arvutatud. Selleks arvutatakse MD5 parooliks määratud väärtusest “ZpzwmjMJyfTNiRalKVrcSkxCN”. Saadud räsi kirjutatakse kaks korda.
- Dekrüpteerimine toimub EKP režiimis AES-algoritmi abil.
Pahatahtlik funktsionaalsus
Downloader
Rakendatud alglaaduris AtProtect.
- Ühendust võttes [activelink-repalce] Serveri olekut küsitakse, et kinnitada, et see on faili teenindamiseks valmis. Server peaks tagasi tulema "PEAL".
- link [allalaadimislink-asendamine] Kasulik koormus laaditakse alla.
- Koos FranchyShellcode kasulik koormus süstitakse protsessi [inj-asenda].
Domeeni analüüsi käigus 404projekti[.]xyz VirusTotalis tuvastati täiendavaid juhtumeid 404 Keylogger, samuti mitut tüüpi laadurid.
Tavaliselt jagunevad need kahte tüüpi:
- Allalaadimine toimub ressursist 404projekti[.]xyz.
Andmed on Base64 kodeeritud ja AES-krüpteeritud. - See valik koosneb mitmest etapist ja seda kasutatakse suure tõenäosusega koos alglaaduriga AtProtect.
- Esimeses etapis laaditakse andmed aadressilt pastebin ja dekodeeritakse funktsiooni abil HexToByte.
- Teises etapis on laadimise allikaks 404projekti[.]xyz. Kuid lahtipakkimise ja dekodeerimise funktsioonid on sarnased DataStealeri funktsioonidega. Tõenäoliselt oli algselt plaanis alglaaduri funktsionaalsus juurutada põhimoodulisse.
- Selles etapis on kasulik koormus juba tihendatud kujul ressursi manifestis. Sarnased ekstraheerimisfunktsioonid leiti ka põhimoodulist.
Analüüsitud failide hulgast leiti allalaadijaid njRat, SpyGate ja muud RAT-id.
Keylogger
Logi saatmise periood: 30 minutit.
Kõik tähemärgid on toetatud. Eritegelased on põgenenud. Klahve BackSpace ja Delete töödeldakse. Tõstutundlik.
Lõikelaualogija
Logi saatmise periood: 30 minutit.
Puhvri küsitlusperiood: 0,1 sekundit.
Rakendatud lingi põgenemine.
ScreenLogger
Logi saatmise periood: 60 minutit.
Ekraanipildid salvestatakse %HOMEDRIVE%%HOMEEPATH%Dokumendid404k404pic.png.
Pärast kausta saatmist 404k eemaldatakse.
PasswordStealer
Brauserid | Meilikliendid | FTP kliendid |
---|---|---|
Kroom | väljavaade | FileZilla |
Firefox | Thunderbird | |
SeaMonkey | Foxmail | |
jäädraakon | ||
Kahvatu | ||
Cyberfox | ||
Kroom | ||
BraveBrowser | ||
QQBrowser | ||
IridiumBrowser | ||
XvastBrowser | ||
Chedot | ||
360 Brauser | ||
ComodoDraakon | ||
360 Chrome | ||
SuperBird | ||
CentBrowser | ||
GhostBrowser | ||
IronBrowser | ||
kroom | ||
Vivaldi | ||
SlimjetBrowser | ||
Orbiit | ||
CocCoc | ||
Tõrvik | ||
UCB-brauser | ||
EpicBrowser | ||
BliskBrowser | ||
Opera |
Dünaamilise analüüsi vastutegevus
- Kontrollige, kas protsess on analüüsimisel
Teostatud protsessiotsingu abil taskmgr, ProcessHacker, procexp64, procexp, prokmon. Kui leitakse vähemalt üks, siis pahavara väljub.
- Kontrollige, kas olete virtuaalses keskkonnas
Teostatud protsessiotsingu abil vmtoolsd, VGAuthService, vmacthlp, VBoxService, VBoxTray. Kui leitakse vähemalt üks, siis pahavara väljub.
- Magama jäämine 5 sekundiks
- Erinevat tüüpi dialoogiakende demonstreerimine
Saab kasutada mõnest liivakastist möödasõiduks.
- UAC ümbersõit
Teostatakse registrivõtme redigeerimisega EnableLUA rühmapoliitika seadetes.
- Rakendab praegusele failile atribuudi "Peidetud".
- Võimalus praeguse faili kustutada.
Mitteaktiivsed funktsioonid
Alglaaduri ja põhimooduli analüüsi käigus leiti funktsioone, mis vastutasid lisafunktsionaalsuse eest, kuid neid ei kasutata kuskil. Tõenäoliselt on see tingitud sellest, et pahavara on alles arendusjärgus ja funktsionaalsust hakatakse peagi laiendama.
Laadija AtProtect
Leiti funktsioon, mis vastutab laadimise ja protsessi sisestamise eest msiexec.exe suvaline moodul.
DataStealer
- Konsolideerimine süsteemis
- Dekompressiooni ja dekrüpteerimise funktsioonid
Tõenäoliselt rakendatakse peagi andmete krüpteerimist võrgusuhtluse ajal. - Viirusetõrjeprotsesside lõpetamine
zlclient | Dvp95_0 | Pavsched | avgserv9 |
egui | Ecengine | Pavw | avgserv9schedapp |
bdagent | Esafe | PCCIOMON | avgemc |
npfmsg | Espwatch | PCCMAIN | ashwebsv |
olydbg | F-Agnt95 | Pccwin98 | ashdisp |
anubis | Findvir | Pcfwallicon | ashmaisv |
wireshark | Fprot | Persfw | ashserv |
avastui | F-Prot | POP3TRAP | aswUpdSv |
_Avp32 | F-Prot95 | PVIEW95 | symwsc |
vsmon | Fp-Win | rav7 | norton |
mbam | Frw | Rav7win | Norton Auto-Protect |
võtmete segaja | F-Stopw | Päästma | norton_av |
_Avpcc | Iamapp | Safeweb | nortonav |
_Avpm | Iamserv | Skannimine32 | ccsetmgr |
Ackwin32 | Ibmasn | Skannimine95 | ccevtmgr |
Eelpost | Ibmavsp | Scanpm | avadmin |
Trooja vastane | Icload95 | Scrscan | avcenter |
Antivir | Icloadnt | Serv95 | keskm |
Apvxdwin | Icmon | Smc | keskmine |
ATRACK | Icsupp95 | SMCSERVICE | avnotify |
Automaatne allakäik | Icsuppnt | Snort | avscan |
Avconsol | Iface | Sfinks | valvegui |
Ave32 | Iomon98 | Pühkimine95 | nod32krn |
Avgctrl | Jedi | SYMPROXYSVC | nod32kui |
Avkserv | Lukustus 2000 | Tbscan | clamscan |
Avnt | Vaata ette | Tca | clam salve |
Avp | Luall | Tds2-98 | clamWin |
Avp32 | mcafee | Tds2-Nt | freshclam |
Avpcc | Moolive | TermiNET | oladdin |
Avpdos32 | MPftray | Veterinaar95 | sigtool |
Avpm | N32scanw | Vettray | w9xpopen |
Avptc32 | NAVAPSVC | Vscan40 | Sulge |
Avpupd | NAVAPW32 | Vsecomr | cmgrdian |
Avsched32 | NAVLU32 | Vshwin32 | alogserv |
AVSYNMGR | Navnt | Vsstat | mcshield |
Avwin95 | NAVRUNR | Webscanx | vshwin32 |
Avwupd32 | Navw32 | WEBTRAP | avconsol |
Blackd | Navwnt | Wfindv32 | vsstat |
Blackice | NeoWatch | tsoonihäire | avsynmgr |
Cfiadmin | NISSERV | LUKUSTAMINE 2000 | avcmd |
Cfiaudit | Nisum | PÄÄSTEMINE32 | avconfig |
Cfinet | Nmain | LUCOMSERVER | licmgr |
Cfinet32 | Normist | avgcc | skeem |
Küünis95 | NORTON | avgcc | preupd |
Claw95cf | Uuendage | avgamsvr | MsMpEng |
Puhasti | Nvc95 | avgupsvc | MSASCui |
Koristaja3 | Eelpost | avgw | Avira.Systray |
Defwatch | Padmin | avgcc32 | |
Dvp95 | Pavcl | avgserv |
- Enesehävitamine
- Andmete laadimine määratud ressursi manifestist
- Faili kopeerimine mööda teed %Temp%tmpG[Praegune kuupäev ja kellaaeg millisekundites].tmp
Huvitaval kombel on AgentTesla pahavaras identne funktsioon. - Ussi funktsionaalsus
Pahavara saab irdkandjate loendi. Nimega luuakse pahavara koopia meediumifailisüsteemi juurtes Sys.exe. Autorun rakendatakse faili abil autorun.inf.
Ründaja profiil
Käsukeskuse analüüsi käigus õnnestus tuvastada arendaja meiliaadress ja hüüdnimi - Razer, aka Brwa, Brwa65, HiDDen PerSOn, 404 Coder. Järgmiseks leidsime YouTube'ist huvitava video, mis demonstreerib ehitajaga töötamist.
See võimaldas leida algse arendajakanali.
Selgus, et tal on krüptograafide kirjutamise kogemus. Seal on ka lingid sotsiaalvõrgustike lehtedele, samuti autori tegelik nimi. Ta osutus Iraagi elanikuks.
Selline näeb väidetavalt välja 404 Keyloggeri arendaja. Foto tema isiklikult Facebooki profiililt.
CERT Group-IB teatas uuest ohust – 404 Keylogger – XNUMX-tunnine küberohtude (SOC) seire- ja reageerimiskeskus Bahreinis.
Allikas: www.habr.com