Azken urteotan, Troiako mugikorrak aktiboki ordezkatzen ari dira ordenagailu pertsonaletarako troiarrak, beraz, "auto" zahar onen malware berriaren agerpena eta ziberkriminalek aktiboki erabiltzea, desatsegina izan arren, gertaera bat da oraindik. Berriki, CERT Group-IB-ren XNUMX/XNUMX informazio-segurtasuneko gertakariei erantzuteko zentroak phishing-mezu ezohiko bat detektatu zuen, Keylogger eta PasswordStealer-en funtzioak konbinatzen dituen ordenagailu malware berri bat ezkutatzen zuena. Analistei arreta espioitza erabiltzailearen makinara nola iristen den erakarri zen - ahots mezulari ezagun bat erabiliz. Ilya Pomerantsev, CERT Group-IB-ko malwarearen analisiko espezialistak, malwareak nola funtzionatzen duen azaldu zuen, zergatik den arriskutsua, eta bere sortzailea Irak urrunean aurkitu zuen ere.
Beraz, goazen ordenan. Eranskin baten itxurapean, gutun horrek argazki bat zeukan, erabiltzailea gunera eraman zuten klik egitean. cdn.discordapp.com, eta fitxategi maltzur bat deskargatu zen hortik.
Discord erabiltzea, doako ahots eta testu mezulari bat, ez da ohikoa. Normalean, beste berehalako mezulari edo sare sozial batzuk erabiltzen dira helburu horietarako.
Azterketa zehatzago batean, malware familia bat identifikatu zen. Malware merkatura etorri berri bat izan da - 404 Keylogger.
Keylogger bat saltzeko lehen iragarkia argitaratu zen hackforumak erabiltzaileak "404 Coder" goitizenarekin abuztuaren 8an.
Dendaren domeinua duela gutxi erregistratu zen - 7ko irailaren 2019an.
Garatzaileek webgunean esaten duten moduan 404proiektuak[.]xyz, 404 enpresei beren bezeroen jarduerei buruz (baimenarekin) ezagutzeko edo beren bitarra alderantzizko ingeniaritzatik babestu nahi dutenentzat diseinatutako tresna da. Aurrera begira, esan dezagun azken zereginarekin 404 zalantzarik gabe ez du aurre egiten.
Fitxategietako bat alderantzikatu eta "BEST SMART KEYLOGGER" zer den egiaztatzea erabaki genuen.
Malware ekosistema
Loader 1 (AtillaCrypter)
Iturburu-fitxategia erabiliz babestuta dago EaxObfuscator eta bi urratseko karga egiten du AtProtect baliabideen atalean. VirusTotal-en aurkitutako beste lagin batzuen azterketan, argi geratu zen etapa hori ez zuela garatzaileak berak eman, bere bezeroak gehitu zuela baizik. Geroago zehaztu zen abio-kargatzaile hori AtillaCrypter zela.
Bootloader 2 (AtProtect)
Izan ere, kargatzaile hau malwarearen zati bat da eta, garatzailearen asmoaren arabera, aurre egiteko analisiaren funtzionaltasuna hartu beharko luke.
Hala ere, praktikan, babes-mekanismoak oso primitiboak dira, eta gure sistemek malware hau ongi detektatzen dute.
Modulu nagusia erabiliz kargatzen da Franchy ShellCode bertsio desberdinak. Hala ere, ez dugu baztertzen beste aukera batzuk erabil zitezkeenik, adibidez, RunPE.
Konfigurazio fitxategia
Sisteman finkatzea
Sisteman finkatzea abio-kargatzaileak bermatzen du AtProtect, dagokion bandera ezarrita badago.
- Fitxategia bidetik kopiatzen da %AppData%GFqaakZpzwm.exe.
- Fitxategia sortu da %AppData%GFqaakWinDriv.url, martxan jarriz Zpzwm.exe.
- Harian HKCUSoftwareMicrosoftWindowsCurrentVersionRun abiarazteko gako bat sortzen da WinDriv.url.
C&C-rekin elkarrekintza
AtProtect kargatzailea
Bandera egokia badago, malwareak ezkutuko prozesu bat abiarazi dezake iesploratzailea eta jarraitu zehaztutako esteka zerbitzariari infekzio arrakastatsuaren berri emateko.
DataStealer
Erabiltzen den metodoa edozein dela ere, sareko komunikazioa biktimaren kanpoko IPa baliabidea erabiliz lortzen hasten da [http]://checkip[.]dyndns[.]org/.
Erabiltzaile-agentea: Mozilla/4.0 (bateragarria; MSIE 6.0; Windows NT 5.2; .NET CLR1.0.3705;)
Mezuaren egitura orokorra berdina da. Goiburua presente
|ββ- 404 Keylogger β {Mota} ββ-|Non {mota} transmititzen den informazio motari dagokio.
Honako hau sistemari buruzko informazioa da:
_______ + BIKTIMAREN INFORMAZIOA + _______
IP: {Kanpoko IP}
Jabearen izena: {Ordenagailuaren izena}
OS izena: {OS Name}
OS bertsioa: {OS bertsioa}
OS plataforma: {plataforma}
RAM tamaina: {RAM tamaina}
______________________________
Eta azkenik, transmititutako datuak.
SMTP
Gutunaren gaia honako hau da: 404 K | {Mezu mota} | Bezeroaren izena: {Erabiltzaile izena}.
Interesgarria da bezeroari gutunak entregatzea 404 Keylogger Garatzaileen SMTP zerbitzaria erabiltzen da.
Horrek bezero batzuk identifikatzea ahalbidetu zuen, baita garatzaileetako baten posta elektronikoa ere.
FTP
Metodo hau erabiltzean, bildutako informazioa fitxategi batean gordetzen da eta handik berehala irakurtzen da.
Ekintza honen atzean dagoen logika ez dago guztiz argia, baina jokabide-arauak idazteko artefaktu gehigarri bat sortzen du.
%HOMEDRIVE%%HOMEPATH%DocumentsA{Zenbaki arbitrarioa}.txt
Pastebin
Analisiaren unean, metodo hau lapurtutako pasahitzak transferitzeko soilik erabiltzen da. Gainera, ez da lehen bien alternatiba gisa erabiltzen, paraleloki baizik. Baldintza "Vavaa"ren berdina den konstantearen balioa da. Ustez, hau da bezeroaren izena.
Interakzioa https protokoloaren bidez gertatzen da APIaren bidez pastebin. Esanahia api_paste_pribatua dago PASTE_UNLISTED, eta horrek orriak bilatzea debekatzen du pastebin.
Enkriptatzeko algoritmoak
Baliabideetatik fitxategi bat berreskuratzea
Karga abiarazlearen baliabideetan gordetzen da AtProtect Bitmap irudien forman. Erauzketa hainbat fasetan egiten da:
- Iruditik byte-matrize bat ateratzen da. Pixel bakoitza 3 byteko sekuentzia gisa tratatzen da BGR ordenan. Erauzi ondoren, matrizeko lehen 4 byteek mezuaren luzera gordetzen dute, ondorengoek mezua bera gordetzen dute.
- Gakoa kalkulatzen da. Horretarako, MD5 pasahitz gisa zehaztutako "ZpzwmjMJyfTNiRalKVrcSkxCN" baliotik kalkulatzen da. Lortutako hash-a bi aldiz idazten da.
- Deszifratzea ECB moduan AES algoritmoa erabiliz egiten da.
Maltzurren funtzionaltasuna
Downloader
Abio-kargatzailean inplementatuta AtProtect.
- Harremanetan jarriz [activelink-repalce] Zerbitzariaren egoera fitxategia zerbitzatzeko prest dagoela baieztatzeko eskatzen da. Zerbitzariak itzuli beharko luke "ON".
- Erreferentziaren arabera [deskargatu esteka-ordezkatu] Karga erabilgarria deskargatu da.
- With FranchyShellcode karga erabilgarria prozesuan sartzen da [inj-ordezkatu].
Domeinuaren analisian zehar 404proiektuak[.]xyz VirusTotal-en instantzia gehigarriak identifikatu dira 404 Keylogger, baita hainbat kargagailu mota ere.
Ohikoki, bi motatan banatzen dira:
- Deskarga baliabidetik egiten da 404proiektuak[.]xyz.
Datuak Base64 kodetuta daude eta AES kodetuta daude. - Aukera honek hainbat fase ditu eta ziurrenik abio-kargatzaile batekin batera erabiltzen da AtProtect.
- Lehenengo fasean, datuak kargatzen dira pastebin eta deskodetu funtzioa erabiliz HexToByte.
- Bigarren fasean, kargaren iturria da 404proiektuak[.]xyz. Hala ere, deskonpresio eta deskodetze funtzioak DataStealer-en aurkitzen direnen antzekoak dira. Seguruenik, hasiera batean abiarazlearen funtzionaltasuna modulu nagusian ezartzea aurreikusi zen.
- Fase honetan, karga erabilgarria baliabideen manifestuan dago jada forma konprimitu batean. Modulu nagusian ere antzeko erauzketa funtzioak aurkitu ziren.
Aztertutako fitxategien artean deskargatzaileak aurkitu dira njRat, SpyGate eta beste RATak.
Keylogger
Erregistroa bidaltzeko epea: 30 minutu.
Karaktere guztiak onartzen dira. Pertsonaia bereziei ihes egiten zaie. Atzera eta Ezabatu teklak prozesatzen ari dira. Maiuskulak eta minuskulak bereizten dira.
ClipboardLogger
Erregistroa bidaltzeko epea: 30 minutu.
Bufferaren galdeketa epea: 0,1 segundo.
Estekaren ihesa inplementatu da.
ScreenLogger
Erregistroa bidaltzeko epea: 60 minutu.
Pantaila-argazkiak bertan gordetzen dira %HOMEDRIVE%%HOMEPATH%Documents404k404pic.png.
Karpeta bidali ondoren 404k kendu egiten da.
PasswordStealer
| Nabigatzaileak | Posta-bezeroak | FTP bezeroak |
|---|---|---|
| Chrome | Outlook | FileZilla |
| Firefox | Thunderbird | |
| SeaMonkey | Foxmail | |
| Icedragon | ||
| Ilargi zurbila | ||
| cyberfox | ||
| Chrome | ||
| BraveBrowser | ||
| QQBrowser | ||
| IridiumBrowser | ||
| XvastBrowser | ||
| Chedot | ||
| 360 Arakatzailea | ||
| ComodoDragon | ||
| 360Kromoa | ||
| SuperBird | ||
| CentBrowser | ||
| GhostBrowser | ||
| IronBrowser | ||
| Chromium | ||
| Vivaldi | ||
| SlimjetBrowser | ||
| Orbita | ||
| CocCoc | ||
| Antorcha | ||
| UCBbrowser | ||
| EpicBrowser | ||
| BliskBrowser | ||
| Opera |
Analisi dinamikoari aurre egitea
- Prozesu bat aztertzen ari ote den egiaztatzea
Prozesuaren bilaketa erabiliz burutu da taskmgr, ProcessHacker, procexp64, procexp, prokmon. Gutxienez bat aurkitzen bada, malwarea irtengo da.
- Ingurune birtualean zauden egiaztatzea
Prozesuaren bilaketa erabiliz burutu da vmtoolsd, VGAuthService, vmacthlp, VBoxService, VBoxTray. Gutxienez bat aurkitzen bada, malwarea irtengo da.
- 5 segundoz loak hartzea
- Elkarrizketa-koadro mota ezberdinen erakustaldia
Sandbox batzuk saihesteko erabil daiteke.
- Saihestu UAC
Erregistro-gakoa editatuz egiten da EnableLUA Talde-politikaren ezarpenetan.
- Uneko fitxategiari "Ezkutuko" atributua aplikatzen dio.
- Uneko fitxategia ezabatzeko gaitasuna.
Ezaugarri inaktiboak
Abio-kargatzailea eta modulu nagusia aztertzean, funtzionalitate gehigarrien arduradunak ziren funtzioak aurkitu ziren, baina ez dira inon erabiltzen. Seguruenik, malwarea oraindik garatzen ari dela eta funtzionalitateak laster zabalduko direlako da.
AtProtect kargatzailea
Prozesuan kargatzeaz eta injektatzeaz arduratzen den funtzio bat aurkitu zen msiexec.exe modulu arbitrarioa.
DataStealer
- Sisteman finkatzea
- Deskonpresio eta deszifratze funtzioak
Litekeena da sareko komunikazioan datuen enkriptatzea laster ezarriko dela. - Birusen aurkako prozesuak amaitzea
| zlclient | Dvp95_0 | Pavsched | batez bestekoa9 |
| egui | Ezenginea | Pavw | avgserv9schedapp |
| bdagent | Esafe | PCCIOMON | batezbestekoa |
| npfmsg | Espwatch | PCCMAIN | ashwebsv |
| olydbg | F-Agnt95 | Pccwin98 | errautsa |
| Anubis | Bilatuvir | Pcfwallicon | ashmaisv |
| Wireshark | Fprot | Pertsfw | ashserv |
| avastui | F-Prot | POP3TRAP | aswUpdSv |
| _Abp32 | F-Prot95 | PVIEW95 | symwsc |
| vsmon | Fp-Irabazi | RAV7 | norton |
| mbam | Frw | Rav7win | Norton Auto-Protect |
| giltza nahasitzailea | F-Stopw | Rescata | norton_av |
| _Avpcc | Iamapp | Safeweb | nortonav |
| _Appm | Iamserv | Eskaneatu 32 | ccsetmgr |
| Ackwin32 | Ibmasn | Eskaneatu 95 | ccevtmgr |
| Galdu | Ibmavsp | Eskaneatupm | avadmin |
| Troiakoaren aurkakoa | Icload95 | Scrscan | abentura |
| AntiVir | Icloadnt | Zerbitzaria95 | batezbestekoa |
| Apvxdwin | Icmon | sMC | aitzindari |
| ATRACK | Icsupp95 | SMCZERBITZUA | abisatu |
| Jaitsi automatikoa | Icsuppnt | snort | avscan |
| Avconsol | Iface | Sphinx | guardgui |
| Ave32 | Iomon98 | Ekarri95 | nod32krn |
| Batez bestekoa | Jedi | SYMPROXYSVC | nod32kui |
| Avkserv | Blokeoa 2000 | Tbscan | clamscan |
| Avnt | Lookout | Tca | txirlo erretilua |
| Avp | Luall | Tds2-98 | txirlaIrabazi |
| Avp32 | mcafee | Tds2-Nt | freshclam |
| Avpcc | Moolive | TerminNET | oladdin |
| Avpdos32 | MPftray | Albaitari95 | sigtresna |
| Avpm | N32scanw | Vettray | w9xpopen |
| Avptc32 | NAVAPSVC | Vscan40 | Itxi |
| Avpupd | NAVAPW32 | Vsecomr | cmgrdian |
| Avsched32 | NAVLU32 | Vshwin32 | alogserv |
| AVSYNMGR | Navnt | Vsstat | mcshield |
| Avwin95 | NAVRUNR | Webscanx | vshwin32 |
| Avwupd32 | Navw32 | WEBTRAPA | avconsol |
| Beltza | Navwnt | Wfindv32 | vsstat |
| Beltza | NeoWatch | ZoneAlarm | avsynmgr |
| Cfiadmin | NISSERV | BLOKATUA2000 | avcmd |
| Cfiaudit | Nisum | SALBAMENA32 | avconfig |
| Cfinet | Nnagusia | LUCOMSERVER | licmgr |
| Cfinet32 | Normista | batez bestekoa | programatu |
| Atzaparra95 | norton | batez bestekoa | aldez aurretik |
| Atzapar95cf | Berrikuntza | avgamsvr | MsMpEng |
| Cleaner | Nvc95 | avgupsvc | MSASCui |
| Garbitzailea 3 | Galdu | batez beste | Avira.Systray |
| Defwatch | Padmin | batez besteko32 | |
| Dvp95 | Pavcl | batez besteko zerb |
- Autosuntsiketa
- Zehaztutako baliabideen manifestutik datuak kargatzen
- Fitxategi bat bide batetik kopiatzea %Temp%tmpG[Uneko data eta ordua milisegundotan].tmp
Interesgarria da AgentTesla malwarean funtzio berdina dagoela. - Zizarearen funtzionaltasuna
Malwareak euskarri aldagarrien zerrenda jasotzen du. Malwarearen kopia bat sortzen da multimedia fitxategi-sistemaren erroan izenarekin Sys.exe. Autorun fitxategi bat erabiliz inplementatzen da autorun.inf.
Erasotzailearen profila
Komando-zentroaren azterketan, garatzailearen posta elektronikoa eta ezizena ezartzea posible izan zen - Razer, aka Brwa, Brwa65, HiDDen PerSOn, 404 Coder. Jarraian, YouTube-n eraikitzailearekin lan egiten erakusten duen bideo interesgarri bat aurkitu dugu.
Honek jatorrizko garatzaileen kanala aurkitzea ahalbidetu zuen.
Argi geratu zen kriptografoak idazten esperientzia zuela. Sare sozialetako orrialdeetarako estekak ere badaude, baita egilearen benetako izena ere. Irakeko bizilaguna izan zen.
Honela dirudi 404 Keylogger garatzaile batek. Bere Facebookeko profil pertsonaleko argazkia.
CERT Group-IBk mehatxu berri bat iragarri du - 404 Keylogger - XNUMX orduko monitorizazio eta erantzun zentroa Bahrainen ziber-mehatxuetarako (SOC).
Iturria: www.habr.com