Mobiilitroijalaiset ovat viime vuosina aktiivisesti korvanneet troijalaisia henkilökohtaisissa tietokoneissa, joten uusien haittaohjelmien ilmaantuminen vanhoihin hyviin "autoihin" ja niiden aktiivinen käyttö kyberrikollisten toimesta, vaikka se on epämiellyttävää, on edelleen tapahtuma. Hiljattain CERT Group-IB:n XNUMX/XNUMX tietoturvahäiriöiden vastauskeskus havaitsi epätavallisen tietojenkalasteluviestin, joka kätki uuden PC-haittaohjelman, joka yhdistää Keyloggerin ja PasswordStealerin toiminnot. Analyytikoiden huomio kiinnitettiin siihen, kuinka vakoiluohjelmat pääsivät käyttäjän koneelle suositun puheviestin avulla. Ilja Pomerantsev, CERT Group-IB:n haittaohjelmien analysointiasiantuntija, selitti, kuinka haittaohjelma toimii, miksi se on vaarallinen, ja jopa löysi sen luojan kaukaisesta Irakista.
Eli mennään järjestyksessä. Liitteen varjolla tällainen kirje sisälsi kuvan, jota napsauttamalla käyttäjä ohjattiin sivustolle cdn.discordapp.com, ja sieltä ladattiin haitallinen tiedosto.
Discordin, ilmaisen puhe- ja tekstiviestintä, käyttäminen on melko epätavallista. Tyypillisesti näihin tarkoituksiin käytetään muita pikaviestintäpalveluita tai sosiaalisia verkostoja.
Tarkemman analyysin aikana tunnistettiin haittaohjelmien perhe. Se osoittautui uudeksi tulokkaaksi haittaohjelmamarkkinoilla - 404 Keylogger.
Ensimmäinen ilmoitus keyloggerin myynnistä julkaistiin hackfoorumit käyttäjältä lempinimellä "404 Coder" 8. elokuuta.
Kaupan verkkotunnus rekisteröitiin aivan hiljattain - 7.
Kuten kehittäjät sanovat verkkosivustolla 404projektia[.]xyz, 404 on työkalu, joka on suunniteltu auttamaan yrityksiä oppimaan asiakkaidensa toiminnasta (heidän luvalla) tai niille, jotka haluavat suojata binääriään käänteissuunnittelulta. Eteenpäin katsoen sanotaan, että viimeisellä tehtävällä 404 ei varmasti kestä.
Päätimme peruuttaa yhden tiedostoista ja tarkistaa, mikä "PARAS SMART KEYLOGGER" on.
Haittaohjelmaekosysteemi
Loader 1 (AtillaCrypter)
Lähdetiedosto on suojattu käyttämällä EaxObfuscator ja suorittaa kaksivaiheisen latauksen AtProtect resurssit-osiosta. Muiden VirusTotalista löydettyjen näytteiden analysoinnin aikana kävi selväksi, että tätä vaihetta ei tarjonnut kehittäjä itse, vaan hänen asiakkaansa lisäsi sen. Myöhemmin selvitettiin, että tämä käynnistyslatain oli AtillaCrypter.
Bootloader 2 (AtProtect)
Itse asiassa tämä latausohjelma on olennainen osa haittaohjelmaa, ja kehittäjän aikomuksen mukaan sen pitäisi ottaa vastaan torjunta-analyysin toiminnallisuus.
Käytännössä suojausmekanismit ovat kuitenkin erittäin alkeellisia, ja järjestelmämme tunnistavat tämän haittaohjelman onnistuneesti.
Päämoduuli ladataan käyttämällä Franchy ShellCode eri versioita. Emme kuitenkaan sulje pois mahdollisuutta käyttää muita vaihtoehtoja, esim. RunPE.
Asetustiedosto
Konsolidointi järjestelmässä
Konsolidoituminen järjestelmään varmistaa käynnistyslatain AtProtect, jos vastaava lippu on asetettu.
- Tiedosto kopioidaan polkua pitkin %AppData%GFqaakZpzwm.exe.
- Tiedosto luodaan %AppData%GFqaakWinDriv.url, käynnistyy Zpzwm.exe.
- Langassa HKCUSoftwareMicrosoftWindowsCurrentVersionRun käynnistysavain luodaan WinDriv.url.
Vuorovaikutus C&C:n kanssa
Loader AtProtect
Jos asianmukainen lippu on olemassa, haittaohjelma voi käynnistää piilotetun prosessin IExplorer ja seuraa määritettyä linkkiä ilmoittaaksesi palvelimelle onnistuneesta tartunnasta.
DataStealer
Käytetystä menetelmästä riippumatta verkkoviestintä alkaa uhrin ulkoisen IP-osoitteen hankkimisesta resurssin avulla [http]://checkip[.]dyndns[.]org/.
User-Agent: Mozilla/4.0 (yhteensopiva; MSIE 6.0; Windows NT 5.2; .NET CLR1.0.3705;)
Viestin yleinen rakenne on sama. Otsikko esillä
|——- 404 Keylogger — {Tyyppi} ——-|Missä {tyyppi} vastaa siirrettävän tiedon tyyppiä.
Seuraavassa on tietoa järjestelmästä:
_______ + UHRITIEDOT + _______
IP: {Ulkoinen IP}
Omistajan nimi: {tietokoneen nimi}
Käyttöjärjestelmän nimi: {OS Name}
Käyttöjärjestelmän versio: {OS Version}
Käyttöjärjestelmän alusta: {Platform}
RAM-muistin koko: {RAM-koko}
______________________________
Ja lopuksi siirretyt tiedot.
SMTP
Kirjeen aihe on seuraava: 404 K | {Viestityyppi} | Asiakkaan nimi: {Username}.
Mielenkiintoista, toimittaa kirjeitä asiakkaalle 404 Keylogger Käytössä on kehittäjien SMTP-palvelin.
Tämä mahdollisti joidenkin asiakkaiden tunnistamisen sekä yhden kehittäjän sähköpostiosoitteen.
FTP
Tätä menetelmää käytettäessä kerätyt tiedot tallennetaan tiedostoon ja luetaan sieltä välittömästi.
Tämän toiminnon taustalla oleva logiikka ei ole täysin selvä, mutta se luo ylimääräisen artefaktin käyttäytymissääntöjen kirjoittamiseen.
%HOMEDRIVE%%HOMEPATH%DocumentsA{Mielivaltainen numero}.txt
pastebin
Analyysin aikana tätä menetelmää käytetään vain varastettujen salasanojen siirtämiseen. Lisäksi sitä ei käytetä vaihtoehtona kahdelle ensimmäiselle, vaan rinnakkain. Ehto on vakion arvo, joka on yhtä suuri kuin "Vavaa". Tämä on luultavasti asiakkaan nimi.
Vuorovaikutus tapahtuu https-protokollan kautta API:n kautta pastebin. Merkitys api_paste_private on PASTE_UNLISTED, joka kieltää tällaisten sivujen etsimisen pastebin.
Salausalgoritmit
Haetaan tiedostoa resursseista
Hyötykuorma on tallennettu käynnistyslataimen resursseihin AtProtect bittikarttakuvien muodossa. Uutto suoritetaan useissa vaiheissa:
- Kuvasta poimitaan tavujen joukko. Jokaista pikseliä käsitellään 3 tavun sarjana BGR-järjestyksessä. Poimimisen jälkeen taulukon ensimmäiset 4 tavua tallentavat viestin pituuden, seuraavat tallentavat itse viestin.
- Avain lasketaan. Tätä varten MD5 lasketaan salasanaksi määritetystä arvosta "ZpzwmjMJyfTNiRalKVrcSkxCN". Tuloksena oleva hash kirjoitetaan kahdesti.
- Salauksen purku suoritetaan AES-algoritmilla ECB-tilassa.
Haitallinen toiminto
Downloader
Toteutettu käynnistyslataimessa AtProtect.
- Ottamalla yhteyttä [aktiivinen linkki-repalce] Palvelimen tilaa pyydetään vahvistamaan, että se on valmis palvelemaan tiedostoa. Palvelimen pitäisi palata "PÄÄLLÄ".
- linkin [latauslinkki-korvaa] Hyötykuorma ladataan.
- Kanssa FranchyShellcode hyötykuorma ruiskutetaan prosessiin [inj-korvaa].
Domain-analyysin aikana 404projektia[.]xyz lisätapauksia tunnistettiin VirusTotalissa 404 Keylogger, sekä usean tyyppiset kuormaajat.
Perinteisesti ne jaetaan kahteen tyyppiin:
- Lataus tapahtuu resurssista 404projektia[.]xyz.
Tiedot ovat Base64-koodattuja ja AES-salattuja. - Tämä vaihtoehto koostuu useista vaiheista ja sitä käytetään todennäköisimmin käynnistyslataimen yhteydessä AtProtect.
- Ensimmäisessä vaiheessa tiedot ladataan osoitteesta pastebin ja dekoodataan funktiolla HexToByte.
- Toisessa vaiheessa latauslähde on 404projektia[.]xyz. При этом функции декомпрессии и декодирования аналогичны найденным в DataStealer. Вероятно, изначально планировалось реализовать функционал загрузчика в основном модуле.
- Tässä vaiheessa hyötykuorma on jo resurssiluettelossa pakatussa muodossa. Samanlaisia poimintatoimintoja löytyi myös päämoduulista.
Analysoitujen tiedostojen joukosta löytyi lataajia njRat, SpyGate ja muut rotat.
Keylogger
Lokin lähetysaika: 30 minuuttia.
Kaikki merkit ovat tuettuja. Erikoishahmot pakotetaan. BackSpace- ja Delete-näppäimiä käsitellään. Kirjainkoolla on merkitystä.
ClipboardLogger
Lokin lähetysaika: 30 minuuttia.
Puskurin kyselyjakso: 0,1 sekuntia.
Toteutettu linkin poisto.
ScreenLogger
Lokin lähetysaika: 60 minuuttia.
Kuvakaappaukset tallennetaan sisään %HOMEDRIVE%%HOMEPATH%Documents404k404pic.png.
Kansion lähettämisen jälkeen 404 km on poistettu.
PasswordStealer
Браузеры | Sähköpostiohjelmat | FTP-asiakkaat |
---|---|---|
kromi | näkymät | FileZilla |
Firefox | Thunderbird | |
SeaMonkey | Foxmail | |
Icedragon | ||
VaaleaKuu | ||
Cyberfox | ||
kromi | ||
BraveBrowser | ||
QQBrowser | ||
IridiumBrowser | ||
XvastBrowser | ||
Chedot | ||
360 Selain | ||
ComodoDragon | ||
360 Chrome | ||
SuperBird | ||
CentBrowser | ||
GhostBrowser | ||
IronBrowser | ||
Kromi | ||
Vivaldi | ||
SlimjetBrowser | ||
kiertoradalla | ||
CocCoc | ||
Taskulamppu | ||
UCB-selain | ||
EpicBrowser | ||
BliskBrowser | ||
Opera |
Dynaamisen analyysin vastatoimi
- Tarkistetaan, onko prosessi analysoitavana
Suoritettu prosessihaulla taskmgr, ProcessHacker, procexp64, procexp, procmon. Jos ainakin yksi löytyy, haittaohjelma poistuu.
- Tarkistaa, oletko virtuaaliympäristössä
Suoritettu prosessihaulla vmtoolsd, VGAuthService, vmacthlp, VBoxService, VBoxTray. Jos ainakin yksi löytyy, haittaohjelma poistuu.
- Nukahtaa 5 sekuntia
- Erilaisten valintaikkunoiden esittely
Voidaan käyttää joidenkin hiekkalaatikoiden ohitukseen.
- Ohita UAC
Suoritetaan muokkaamalla rekisteriavainta EnableLUA ryhmäkäytäntöasetuksissa.
- Käyttää "Piilotettu"-attribuuttia nykyiseen tiedostoon.
- Mahdollisuus poistaa nykyinen tiedosto.
Ei-aktiiviset ominaisuudet
Käynnistyslataimen ja päämoduulin analyysin aikana löydettiin toimintoja, jotka vastasivat lisätoiminnallisuuksista, mutta niitä ei käytetä missään. Tämä johtuu todennäköisesti siitä, että haittaohjelma on vielä kehitteillä ja toiminnallisuutta laajennetaan lähiaikoina.
Loader AtProtect
Löytyi toiminto, joka vastaa lataamisesta ja ruiskuttamisesta prosessiin Msiexec.exe mielivaltainen moduuli.
DataStealer
- Konsolidointi järjestelmässä
- Purku- ja salauksenpurkutoiminnot
On todennäköistä, että tiedon salaus verkkoviestinnän aikana otetaan pian käyttöön. - Viruksentorjuntaprosessien lopettaminen
zlclient | Dvp95_0 | Pavsched | avgserv9 |
egui | Ecengine | Pavw | avgserv9schedapp |
bdagent | Esafe | PCCIOMON | avgemc |
npfmsg | Espwatch | PCCMAIN | ashwebsv |
olydbg | F-Agnt95 | Pccwin98 | ashdisp |
anubis | Findvir | Pcfwallicon | ashmaisv |
Wireshark | Fprot | Persfw | ashserv |
avastui | F-Prot | POP3TRAP | aswUpdSv |
_Avp32 | F-Prot95 | PVIEW95 | symwsc |
vsmon | Fp-Win | Rav7 | norton |
MBAM | Frw | Rav7win | Norton Auto-Protect |
avaimensekoittaja | F-Stopw | Pelastus | norton_av |
_Avpcc | Iamapp | Safeweb | nortonav |
_Avpm | Iamserv | Scan32 | ccsetmgr |
Ackwin32 | Ibmasn | Scan95 | ccevtmgr |
Etuvartio | Ibmavsp | Scanpm | avadmin |
Anti-troijalainen | Icload95 | Scrscan | avcenter |
Antivir | Icloadnt | Palvelu 95 | keskim |
Apvxdwin | Icmon | SMC | keskiarvo |
JÄLKI | Icsupp95 | SMCSERVICE | avnotify |
Autodown | Icsuppnt | tuhahtaa | avscan |
Avconsol | Minä kohtaan | Sfinksi | Guargui |
Ave32 | Iomon98 | Lakaisu95 | nod32krn |
Avgctrl | Jedi | SYMPROXYSVC | nod32kui |
Avkserv | Lukitus 2000 | Tbscan | simpukka |
Avnt | Varo | Tca | simpukkatarjotin |
AVP | Luall | Tds2-98 | clamWin |
Avp32 | mcafee | Tds2-Nt | freshclam |
Avpcc | Moolive | TermiNET | oladdin |
Avpdos32 | MPftray | Eläinlääkäri 95 | merkkityökalu |
Avpm | N32scanw | Vettray | w9xpopen |
Avptc32 | NAVAPSVC | Vscan40 | kiinni |
Avpupd | NAVAPW32 | Vsecomr | cmgrdian |
Avsched32 | NAVLU32 | Vshwin32 | alogserv |
AVSYNMGR | Navnt | Vsstat | mcshield |
Avwin95 | NAVRUNR | Webscanx | vshwin32 |
Avwupd32 | Navw32 | WEBTRAP | avconsol |
Blackd | Navwnt | Wfindv32 | vsstat |
Musta jää | NeoWatch | ZoneAlarm | avsynmgr |
Cfiadmin | NISSERV | LUKITUS 2000 | avcmd |
Cfiaudit | Nisum | PELASTUS32 | avconfig |
Cfinet | Nmain | LUCOMSERVER | licmgr |
Cfinet32 | Normisti | avgcc | sched |
Kynsi95 | NORTON | avgcc | preupd |
Claw95cf | Päivitä | avgamsvr | MsMpEng |
Siivooja | Nvc95 | avgupsvc | MSASCui |
Siivooja3 | Etuvartio | keskim | Avira.Systray |
Defwatch | Padmin | avgcc32 | |
Dvp95 | Pavcl | avgserv |
- itsetuho
- Ladataan tietoja määritetystä resurssiluettelosta
- Tiedoston kopioiminen polkua pitkin %Temp%tmpG[Nykyinen päivämäärä ja aika millisekunteina].tmp
Mielenkiintoista on, että AgentTesla-haittaohjelmassa on identtinen toiminto. - Madon toiminnallisuus
Haittaohjelma vastaanottaa luettelon siirrettävistä tietovälineistä. Haittaohjelmasta luodaan kopio mediatiedostojärjestelmän juureen nimellä Sys.exe. Autorun on toteutettu tiedoston avulla autorun.inf.
Hyökkääjän profiili
Komentokeskuksen analyysin aikana oli mahdollista määrittää kehittäjän sähköpostiosoite ja lempinimi - Razer, eli Brwa, Brwa65, HiDDen PerSON, 404 Coder. Seuraavaksi löysimme YouTubesta mielenkiintoisen videon, joka havainnollistaa työskentelyä rakentajan kanssa.
Tämä mahdollisti alkuperäisen kehittäjäkanavan löytämisen.
Kävi selväksi, että hänellä oli kokemusta kryptografien kirjoittamisesta. Siellä on myös linkkejä sosiaalisten verkostojen sivuille sekä kirjoittajan oikea nimi. Hän osoittautui Irakin asukkaaksi.
Tältä 404 Keylogger -kehittäjä oletettavasti näyttää. Kuva hänen henkilökohtaisesta Facebook-profiilistaan.
CERT Group-IB on julkistanut uuden uhan – 404 Keyloggerin – XNUMX tunnin kyberuhkien (SOC) valvonta- ja reagointikeskuksen Bahrainissa.
Lähde: will.com