در سالهای اخیر، تروجانهای موبایل به طور فعال جایگزین تروجانها برای رایانههای شخصی شدهاند، بنابراین ظهور بدافزارهای جدید برای «ماشینهای» خوب قدیمی و استفاده فعال از آنها توسط مجرمان سایبری، اگرچه ناخوشایند است، اما هنوز یک رویداد است. اخیراً، مرکز پاسخگویی حوادث امنیت اطلاعات XNUMX/XNUMX CERT Group-IB یک ایمیل فیشینگ غیرمعمول را شناسایی کرده است که بدافزار رایانه شخصی جدیدی را که عملکردهای Keylogger و PasswordStealer را ترکیب میکند، پنهان کرده است. توجه تحلیلگران به نحوه ورود این نرم افزارهای جاسوسی به دستگاه کاربر جلب شد - با استفاده از یک پیام رسان صوتی محبوب. ایلیا پومرانتسفیک متخصص تجزیه و تحلیل بدافزار در CERT Group-IB، نحوه عملکرد بدافزار، دلیل خطرناک بودن آن را توضیح داد و حتی سازنده آن را در عراق دوردست پیدا کرد.
پس به ترتیب برویم تحت عنوان یک پیوست، چنین نامه ای حاوی تصویری بود که با کلیک بر روی آن کاربر به سایت منتقل شد. cdn.discordapp.comو یک فایل مخرب از آنجا دانلود شد.
استفاده از Discord، یک پیام رسان صوتی و متنی رایگان، کاملاً غیر متعارف است. معمولاً از پیام رسان های فوری یا شبکه های اجتماعی دیگر برای این اهداف استفاده می شود.
طی یک تجزیه و تحلیل دقیق تر، یک خانواده بدافزار شناسایی شد. معلوم شد که این یک تازه وارد به بازار بدافزار است - 404 کی لاگر.
اولین آگهی فروش کی لاگر در تاریخ منتشر شد هک فروم ها توسط کاربری با نام مستعار "404 Coder" در 8 آگوست.
دامنه فروشگاه اخیراً - در 7 سپتامبر 2019 - ثبت شده است.
همانطور که توسعه دهندگان در وب سایت می گویند 404 پروژه[.]xyz, 404 ابزاری است که برای کمک به شرکتها برای اطلاع از فعالیتهای مشتریان خود (با اجازه آنها) یا برای کسانی که میخواهند باینری خود را در برابر مهندسی معکوس محافظت کنند، طراحی شده است. با نگاهی به آینده، بیایید بگوییم که با آخرین کار 404 قطعا تحمل نمی کند
ما تصمیم گرفتیم یکی از فایل ها را معکوس کنیم و بررسی کنیم که "BEST SMART KEYLOGGER" چیست.
اکوسیستم بدافزار
Loader 1 (AtillaCrypter)
فایل منبع با استفاده از محافظت می شود EaxObfuscator و بارگذاری دو مرحله ای را انجام می دهد AtProtect از بخش منابع در طول تجزیه و تحلیل سایر نمونه های یافت شده در VirusTotal، مشخص شد که این مرحله توسط خود توسعه دهنده ارائه نشده است، بلکه توسط مشتری وی اضافه شده است. بعدها مشخص شد که این بوت لودر AtillaCrypter است.
بوت لودر 2 (AtProtect)
در واقع، این لودر بخشی جدایی ناپذیر از بدافزار است و با توجه به قصد توسعه دهنده، باید عملکرد تجزیه و تحلیل مقابله را به عهده بگیرد.
با این حال، در عمل، مکانیسمهای حفاظتی بسیار ابتدایی هستند و سیستمهای ما با موفقیت این بدافزار را شناسایی میکنند.
ماژول اصلی با استفاده از بارگذاری می شود فرانشی ShellCode نسخه های مختلف با این حال، ما احتمال استفاده از گزینه های دیگر را رد نمی کنیم، به عنوان مثال، RunPE.
فایل پیکربندی
تجمیع در نظام
ادغام در سیستم توسط بوت لودر تضمین می شود AtProtect، اگر پرچم مربوطه تنظیم شده باشد.
- فایل در طول مسیر کپی می شود %AppData%GFqaakZpzwm.exe.
- فایل ایجاد می شود %AppData%GFqaakWinDriv.url، راه اندازی Zpzwm.exe.
- در تاپیک HKCUSoftwareMicrosoftWindowsCurrentVersionRun یک کلید راه اندازی ایجاد می شود WinDriv.url.
تعامل با C&C
Loader AtProtect
اگر پرچم مناسب وجود داشته باشد، بدافزار می تواند یک فرآیند پنهان را راه اندازی کند iexplorer و لینک مشخص شده را دنبال کنید تا سرور را از آلودگی موفقیت آمیز مطلع کنید.
DataStealer
صرف نظر از روش مورد استفاده، ارتباط شبکه با به دست آوردن IP خارجی قربانی با استفاده از منبع آغاز می شود [http]://checkip[.]dyndns[.]org/.
عامل کاربر: Mozilla/4.0 (سازگار؛ MSIE 6.0؛ Windows NT 5.2؛ NET CLR1.0.3705؛)
ساختار کلی پیام یکسان است. سربرگ حاضر
|——- 404 Keylogger — {Type} ——-|جایی که {نوع} مربوط به نوع اطلاعات در حال انتقال است.
اطلاعات زیر در مورد سیستم است:
_______ + اطلاعات قربانی + _______
IP: {IP خارجی}
نام مالک: {نام رایانه}
نام سیستم عامل: {OS Name}
نسخه سیستم عامل: {OS نسخه}
OS PlatForm: {Platform}
اندازه RAM: {RAM size}
______________________________
و در نهایت، داده های ارسال شده.
SMTP
موضوع نامه به شرح زیر است: 404 K | {نوع پیام} | نام مشتری: {Username}.
جالب است که نامه ها را به مشتری تحویل دهید 404 کی لاگر سرور SMTP توسعه دهندگان استفاده می شود.
این امکان شناسایی برخی از مشتریان و همچنین ایمیل یکی از توسعه دهندگان را فراهم کرد.
FTP
هنگام استفاده از این روش، اطلاعات جمع آوری شده در یک فایل ذخیره می شود و بلافاصله از آنجا خوانده می شود.
منطق پشت این عمل کاملاً مشخص نیست، اما یک مصنوع اضافی برای نوشتن قوانین رفتاری ایجاد می کند.
%HOMEDRIVE%%HOMEPATH%DocumentsA{شماره دلخواه}.txt
Pastebin
در زمان تجزیه و تحلیل، این روش فقط برای انتقال رمزهای عبور سرقت شده استفاده می شود. علاوه بر این، نه به عنوان جایگزینی برای دو مورد اول، بلکه به صورت موازی استفاده می شود. شرط مقدار ثابت برابر با "Vavaa" است. احتمالاً این نام مشتری است.
تعامل از طریق پروتکل https از طریق API رخ می دهد پاستین... معنی api_paste_private برابر است PASTE_UNLISTED، که جستجوی چنین صفحاتی را ممنوع می کند پاستین.
الگوریتم های رمزگذاری
بازیابی فایل از منابع
پیلود در منابع بوت لودر ذخیره می شود AtProtect در قالب تصاویر بیت مپ. استخراج در چند مرحله انجام می شود:
- آرایه ای از بایت ها از تصویر استخراج می شود. هر پیکسل به عنوان دنباله ای از 3 بایت به ترتیب BGR در نظر گرفته می شود. پس از استخراج، 4 بایت اول آرایه طول پیام را ذخیره می کند، و بایت های بعدی خود پیام را ذخیره می کنند.
- کلید محاسبه می شود. برای انجام این کار، MD5 از مقدار "ZpzwmjMJyfTNiRalKVrcSkxCN" تعیین شده به عنوان رمز عبور محاسبه می شود. هش حاصل دو بار نوشته می شود.
- رمزگشایی با استفاده از الگوریتم AES در حالت ECB انجام می شود.
عملکرد مخرب
دانلود
در بوت لودر پیاده سازی شده است AtProtect.
- با تماس [activelink-repalce] وضعیت سرور برای تأیید آماده بودن برای ارائه فایل درخواست می شود. سرور باید برگردد "بر".
- از لینک [لینک دانلود- جایگزینی] محموله بارگیری می شود.
- با FranchyShellcode محموله به فرآیند تزریق می شود [inj-replace].
در طول تجزیه و تحلیل دامنه 404 پروژه[.]xyz موارد اضافی در VirusTotal شناسایی شد 404 کی لاگرو همچنین چندین نوع لودر.
به طور متعارف، آنها به دو نوع تقسیم می شوند:
- دانلود از منبع انجام می شود 404 پروژه[.]xyz.
داده ها با Base64 رمزگذاری شده و AES رمزگذاری شده است. - این گزینه شامل چندین مرحله است و به احتمال زیاد همراه با یک بوت لودر استفاده می شود AtProtect.
- در مرحله اول داده ها از پاستین و با استفاده از تابع رمزگشایی شد HexToByte.
- در مرحله دوم، منبع بارگذاری است 404 پروژه[.]xyz. با این حال، توابع رفع فشرده سازی و رمزگشایی مشابه مواردی است که در DataStealer یافت می شود. احتمالاً در ابتدا برنامه ریزی شده بود که عملکرد بوت لودر در ماژول اصلی پیاده سازی شود.
- در این مرحله، payload در حال حاضر به صورت فشرده در مانیفست منبع قرار دارد. توابع استخراج مشابه نیز در ماژول اصلی یافت شد.
دانلود کننده ها در میان فایل های مورد تجزیه و تحلیل یافت شدند njRat, SpyGate و سایر موش ها
Keylogger
مدت زمان ارسال گزارش: 30 دقیقه.
همه شخصیت ها پشتیبانی می شوند. شخصیت های خاص فرار می کنند. پردازشی برای کلیدهای BackSpace و Delete وجود دارد. حساس به حروف کوچک و بزرگ
ClipboardLogger
مدت زمان ارسال گزارش: 30 دقیقه.
دوره نظرسنجی بافر: 0,1 ثانیه.
فرار از لینک پیاده سازی شد.
ScreenLogger
مدت زمان ارسال گزارش: 60 دقیقه.
اسکرین شات ها در آن ذخیره می شوند %HOMEDRIVE%%HOMEPATH%Documents404k404pic.png.
پس از ارسال پوشه 404k حذف می شود.
PasswordStealer
| مرورگرها | مشتریان ایمیل | مشتریان FTP |
|---|---|---|
| کروم | چشم انداز | فایلزیلا |
| فایرفاکس | الاگزنه استرالیایی | |
| SeaMonkey | فاکس میل | |
| اژدهای یخی | ||
| ماه رنگ پریده | ||
| سایبرفوکس | ||
| کروم | ||
| BraveBrowser | ||
| QQBrowser | ||
| مرورگر Iridium | ||
| XvastBrowser | ||
| چدوت | ||
| 360 مرورگر | ||
| کومودو دراگون | ||
| 360 کروم | ||
| سوپربرد | ||
| CentBrowser | ||
| GhostBrowser | ||
| IronBrowser | ||
| کروم | ||
| ویوالدی | ||
| مرورگر Slimjet | ||
| اوربیتوم | ||
| CocCoc | ||
| مشعل | ||
| مرورگر یو سی | ||
| Epic Browser | ||
| BliskBrowser | ||
| اپرا |
مقابله با تحلیل پویا
- بررسی اینکه آیا یک فرآیند در حال تجزیه و تحلیل است یا خیر
با استفاده از جستجوی فرآیند انجام شد مامور وظیفه, ProcessHacker, procexp64, procexp, پرومون. اگر حداقل یکی پیدا شود، بدافزار خارج می شود.
- بررسی اینکه آیا در محیط مجازی هستید یا خیر
با استفاده از جستجوی فرآیند انجام شد vmtoolsd, VGAuthService, vmacthlp, VBoxService, VBoxTray. اگر حداقل یکی پیدا شود، بدافزار خارج می شود.
- خوابیدن به مدت 5 ثانیه
- نمایش انواع دیالوگ باکس
می توان از آن برای دور زدن برخی از جعبه های شنی استفاده کرد.
- دور زدن UAC
با ویرایش کلید رجیستری انجام می شود EnableLUA در تنظیمات Group Policy
- ویژگی "Hidden" را به فایل فعلی اعمال می کند.
- امکان حذف فایل فعلی
ویژگی های غیر فعال
در طول تجزیه و تحلیل بوت لودر و ماژول اصلی، توابعی یافت شدند که مسئول عملکرد اضافی بودند، اما آنها در هیچ کجا استفاده نمی شوند. این احتمالاً به این دلیل است که بدافزار هنوز در حال توسعه است و عملکرد آن به زودی گسترش خواهد یافت.
Loader AtProtect
تابعی پیدا شد که مسئول بارگذاری و تزریق به فرآیند است msiexec.exe ماژول دلخواه
DataStealer
- تجمیع در نظام
- عملکردهای فشرده سازی و رمزگشایی
این احتمال وجود دارد که رمزگذاری داده ها در طول ارتباطات شبکه به زودی اجرا شود. - پایان دادن به فرآیندهای آنتی ویروس
| zlclient | Dvp95_0 | پاوشد | avgserv9 |
| egui | موتور موتور | پاو | avgserv9schedapp |
| bdagent | ایسا | PCCIOMON | avgemc |
| npfmsg | اسپواچ | PCCMAIN | ashwebsv |
| olydbg | F-Agnt95 | PCCwin98 | اشدیسپ |
| آنوبیس | Findvir | Pcfwallicon | ashmaisv |
| wireshark | Fprot | Persfw | ashserv |
| آواستوی | F-prot | POP3TRAP | aswUpdSv |
| _Avp32 | F-Prot95 | PVIEW95 | symwsc |
| vsmon | Fp-Win | Rav7 | نورتون |
| بام | Fw | Rav7win | محافظت خودکار نورتون |
| keyscrambler | F-Stopw | نجات | norton_av |
| _Avpcc | Iamapp | Safeweb | نورتوناو |
| _Avpm | Iamserv | اسکن 32 | ccsetmgr |
| Ackwin32 | ابمسن | اسکن 95 | ccevtmgr |
| پایگاه مرزی | Ibmavsp | اسکن در دقیقه | avadmin |
| ضد تروجان | Icload95 | اسکن | avcenter |
| آنتی ویر | Icloadnt | Serv95 | avgnt |
| Apvxdwin | نماد | Smc | آوگارد |
| ATRACK | Icsupp95 | SMCSERVICE | اطلاع رسانی کنید |
| Autodown | Icsuppnt | خرگوش | avscan |
| آوکنسول | ایفایس | مجسمه ابوالهول | نگهبان |
| خیابان 32 | آیومون98 | Sweep95 | nod32krn |
| Avgctrl | جدی | SYMPROXYSVC | nod32kui |
| آوکسرو | قفل کردن 2000 | Tbscan | تاشو |
| آونت | مراقب باش | TCA | clamTray |
| Avp | لوال | Tds2-98 | clamWin |
| Avp32 | کافه | Tds2-Nt | freshclam |
| Avpcc | مولیو | TermiNET | اولادین |
| Avpdos32 | MPftray | Vet95 | sigtool |
| Avpm | N32scanw | وتری | w9xpopen |
| Avptc32 | NAVAPSVC | Vscan40 | بستن |
| Avpupd | NAVAPW32 | Vsecomr | cmgrdian |
| Avsched32 | NAVLU32 | وشوین32 | alogserv |
| AVSYNMGR | ناونت | Vsstat | mcshield |
| Avwin95 | NAVRUNR | Webscanx | vshwin32 |
| Avwupd32 | Navw32 | WEBTRAP | avconsol |
| سیاه شده | ناوونت | Wfindv32 | vsstat |
| یخ سیاه | NeoWatch | زنگ منطقه ای | avsynmgr |
| Cfiadmin | NISSERV | LOCKDOWN2000 | avcmd |
| Cfiaudit | نیسوم | نجات 32 | avconfig |
| Cfinet | Nmain | LUCOMSERVER | licmgr |
| Cfinet32 | نورمیست | avgcc | برنامه ریزی شده |
| Claw95 | نورتون | avgcc | پیش آماده |
| Claw95cf | ارتقا دهید | avgamsvr | MsMpEng |
| پاک کننده | Nvc95 | avgupsvc | MSASCui |
| پاک کننده 3 | پایگاه مرزی | میانگین | Avira.Systray |
| Defwatch | پادمین | avgcc32 | |
| Dvp95 | Pavcl | avgserv |
- خود تخریبی
- در حال بارگیری داده ها از مانیفست منبع مشخص شده
- کپی کردن یک فایل در یک مسیر %Temp%tmpG[تاریخ و زمان کنونی بر حسب میلی ثانیه].tmp
جالب توجه است که یک عملکرد یکسان در بدافزار AgentTesla وجود دارد. - قابلیت کرم
بدافزار فهرستی از رسانه های قابل جابجایی را دریافت می کند. یک کپی از بدافزار در ریشه سیستم فایل رسانه با نام ایجاد می شود Sys.exe. Autorun با استفاده از یک فایل پیاده سازی می شود autorun.inf می.
مشخصات مهاجم
در طول تجزیه و تحلیل مرکز فرماندهی، امکان ایجاد ایمیل و نام مستعار توسعه دهنده - Razer، با نام مستعار Brwa، Brwa65، HiDDen PerSOn، 404 Coder وجود داشت. در مرحله بعد، یک ویدیوی جالب در YouTube پیدا کردیم که کار با سازنده را نشان می دهد.
این امکان یافتن کانال اصلی توسعه دهنده را فراهم کرد.
مشخص شد که او تجربه نوشتن رمزنگاران را دارد. همچنین پیوندهایی به صفحات در شبکه های اجتماعی و همچنین نام واقعی نویسنده وجود دارد. معلوم شد که او ساکن عراق است.
ظاهراً یک توسعه دهنده 404 Keylogger به این شکل است. عکس از پروفایل شخصی فیس بوک.
CERT Group-IB یک تهدید جدید - 404 Keylogger - یک مرکز نظارت و پاسخ XNUMX ساعته برای تهدیدات سایبری (SOC) در بحرین اعلام کرده است.
منبع: www.habr.com