Keylogger avec une surprise : analyse du keylogger et doyen de son développeur

Ces dernières années, les chevaux de Troie mobiles ont remplacé activement les chevaux de Troie pour ordinateurs personnels, de sorte que l'émergence de nouveaux logiciels malveillants pour les bonnes vieilles « voitures » et leur utilisation active par les cybercriminels, bien que désagréables, restent un événement. Récemment, le centre de réponse aux incidents de sécurité des informations du CERT Group-IB, disponible XNUMXh/XNUMX et XNUMXj/XNUMX, a détecté un e-mail de phishing inhabituel qui cachait un nouveau malware PC combinant les fonctions de Keylogger et de PasswordStealer. L'attention des analystes a été attirée sur la manière dont le logiciel espion a pénétré dans la machine de l'utilisateur, à l'aide d'une messagerie vocale populaire. Ilya Pomerantsev, spécialiste de l'analyse des logiciels malveillants chez CERT Group-IB, a expliqué comment fonctionne le logiciel malveillant, pourquoi il est dangereux et a même trouvé son créateur dans le lointain Irak.

Alors, allons-y dans l'ordre. Sous couvert de pièce jointe, une telle lettre contenait une image, en cliquant sur laquelle l'utilisateur était redirigé vers le site cdn.discordapp.com, et un fichier malveillant a été téléchargé à partir de là.

Utiliser Discord, une messagerie vocale et textuelle gratuite, est assez peu conventionnel. Généralement, d’autres messageries instantanées ou réseaux sociaux sont utilisés à ces fins.

Lors d’une analyse plus fine, une famille de malware a été identifiée. Il s'est avéré qu'il s'agissait d'un nouveau venu sur le marché des logiciels malveillants : 404 Enregistreur de frappe.

La première annonce pour la vente d'un keylogger a été publiée sur forums de hack par un utilisateur sous le pseudo « 404 Coder » le 8 août.

Le domaine du magasin a été enregistré assez récemment - le 7 septembre 2019.

Comme le disent les développeurs sur le site 404projets[.]xyz, 404 est un outil conçu pour aider les entreprises à connaître les activités de leurs clients (avec leur permission) ou pour ceux qui souhaitent protéger leur binaire de l'ingénierie inverse. Pour l'avenir, disons qu'avec la dernière tâche 404 ne s'en sort certainement pas.

Nous avons décidé d'inverser l'un des fichiers et de vérifier ce qu'est « BEST SMART KEYLOGGER ».

Écosystème de logiciels malveillants

Chargeur 1 (AtillaCrypter)

Le fichier source est protégé par EaxObfuscateur et effectue un chargement en deux étapes ÀProtect de la section ressources. Lors de l'analyse d'autres échantillons trouvés sur VirusTotal, il est devenu évident que cette étape n'était pas fournie par le développeur lui-même, mais ajoutée par son client. Il a été déterminé plus tard que ce chargeur de démarrage était AtillaCrypter.

Chargeur de démarrage 2 (AtProtect)

En fait, ce chargeur fait partie intégrante du malware et, selon l’intention du développeur, devrait assumer la fonctionnalité de contre-analyse.

Cependant, dans la pratique, les mécanismes de protection sont extrêmement primitifs et nos systèmes parviennent à détecter ce malware.

Le module principal est chargé en utilisant Franchy ShellCode différentes versions. Cependant, nous n'excluons pas que d'autres options auraient pu être utilisées, par exemple RunPE.

Fichier de configuration

Consolidation dans le système

La consolidation dans le système est assurée par le bootloader ÀProtect, si l'indicateur correspondant est défini.

• Le fichier est copié le long du chemin %AppData%GFqaakZpzwm.exe.
• Le fichier est en cours de création %AppData%GFqaakWinDriv.url, lancement Zpzwm.exe.
• Dans le fil HKCULogicielMicrosoftWindowsVersion actuelleExécuter une clé de démarrage est créée WinDriv.url.

Interaction avec C&C

Chargeur AtProtect

Si l'indicateur approprié est présent, le malware peut lancer un processus caché iexplorer et suivez le lien spécifié pour informer le serveur de la réussite de l'infection.

Voleur de données

Quelle que soit la méthode utilisée, la communication réseau commence par l'obtention de l'adresse IP externe de la victime à l'aide de la ressource [http]://checkip[.]dyndns[.]org/.

Agent utilisateur : Mozilla/4.0 (compatible ; MSIE 6.0 ; Windows NT 5.2 ; .NET CLR1.0.3705 ;)

La structure générale du message est la même. En-tête présent
|——- 404 Enregistreur de frappe — {Type} ——-|Où {taper} correspond au type d’information transmise.
Voici les informations sur le système :

_______ + INFORMATIONS SUR LA VICTIME + _______

IP : {IP externe}
Nom du propriétaire : {Nom de l'ordinateur}
Nom du système d'exploitation : {Nom du système d'exploitation}
Version du système d'exploitation : {Version du système d'exploitation}
Plate-forme du système d'exploitation : {Plate-forme}
Taille de la RAM : {taille de la RAM}
______________________________

Et enfin, les données transmises.

SMTP

Le sujet de la lettre est le suivant : 404 Ko | {Type de message} | Nom du client : {Nom d'utilisateur}.

Fait intéressant, pour remettre des lettres au client 404 Enregistreur de frappe Le serveur SMTP des développeurs est utilisé.

Cela a permis d'identifier certains clients, ainsi que l'email d'un des développeurs.

Ftp

Lorsque vous utilisez cette méthode, les informations collectées sont enregistrées dans un fichier et immédiatement lues à partir de là.

La logique derrière cette action n’est pas tout à fait claire, mais elle crée un artefact supplémentaire pour l’écriture de règles comportementales.

%HOMEDRIVE%%HOMEPATH%DocumentsA{Numéro arbitraire}.txt

Pastebin

Au moment de l'analyse, cette méthode n'est utilisée que pour transférer des mots de passe volés. De plus, il n’est pas utilisé comme alternative aux deux premiers, mais en parallèle. La condition est la valeur de la constante égale à « Vavaa ». Vraisemblablement, c'est le nom du client.

L'interaction s'effectue via le protocole https via l'API pastebin... Valeur api_paste_private égal PASTE_UNLISTED, qui interdit la recherche de telles pages dans pastebin.

Algorithmes de chiffrement

Récupérer un fichier à partir de ressources

La charge utile est stockée dans les ressources du chargeur de démarrage ÀProtect sous forme d'images Bitmap. L'extraction s'effectue en plusieurs étapes :

• Un tableau d'octets est extrait de l'image. Chaque pixel est traité comme une séquence de 3 octets dans l'ordre BGR. Après extraction, les 4 premiers octets du tableau stockent la longueur du message, les suivants stockent le message lui-même.

  

• La clé est calculée. Pour ce faire, MD5 est calculé à partir de la valeur « ZpzwmjMJyfTNiRalKVrcSkxCN » spécifiée comme mot de passe. Le hachage résultant est écrit deux fois.

  

• Le décryptage est effectué à l'aide de l'algorithme AES en mode ECB.

Fonctionnalité malveillante

Downloader

Implémenté dans le chargeur de démarrage ÀProtect.

• En contactant [activelink-remplacement] L'état du serveur est demandé pour confirmer qu'il est prêt à servir le fichier. Le serveur devrait revenir "SUR".
• Le lien [télécharger le lien-remplacer] La charge utile est téléchargée.
• Avec FranchyShellcode la charge utile est injectée dans le processus [inj-remplacer].

Pendant l'analyse du domaine 404projets[.]xyz des instances supplémentaires ont été identifiées sur VirusTotal 404 Enregistreur de frappe, ainsi que plusieurs types de chargeurs.

Classiquement, ils sont divisés en deux types :

1. Le téléchargement s'effectue à partir de la ressource 404projets[.]xyz.

   
   Les données sont codées en Base64 et cryptées en AES.

2. Cette option se compose de plusieurs étapes et est très probablement utilisée en conjonction avec un chargeur de démarrage. ÀProtect.

• Dans la première étape, les données sont chargées à partir de pastebin et décodé à l'aide de la fonction HexVersOctet.

  

• Lors de la deuxième étape, la source de chargement est le 404projets[.]xyz. Cependant, les fonctions de décompression et de décodage sont similaires à celles trouvées dans DataStealer. Il était probablement initialement prévu d'implémenter la fonctionnalité du chargeur de démarrage dans le module principal.

  

• À ce stade, la charge utile se trouve déjà dans le manifeste de ressources sous une forme compressée. Des fonctions d'extraction similaires ont également été trouvées dans le module principal.

Des téléchargeurs ont été trouvés parmi les fichiers analysés njRat, Porte Espion et autres RAT.

Keylogger

Durée d'envoi du journal : 30 minutes.

Tous les caractères sont pris en charge. Les caractères spéciaux sont échappés. Il existe un traitement pour les touches BackSpace et Suppr. Sensible aux majuscules et minuscules.

presse-papiers

Durée d'envoi du journal : 30 minutes.

Période d'interrogation du tampon : 0,1 seconde.

Lien implémenté s'échappant.

Enregistreur d'écran

Durée d'envoi du journal : 60 minutes.

Les captures d'écran sont enregistrées dans %HOMEDRIVE%%HOMEPATH%Documents404k404pic.png.

Après avoir envoyé le dossier 404K est retiré.

Voleur de mot de passe

Les navigateurs	Clients de messagerie	Clients FTP
Chrome	Outlook	Filezilla
Firefox	Thunderbird
SeaMonkey	Foxmail
Icedragon
Lune pale
Cyberfox
Chrome
Navigateur courageux
Navigateur QQ
Navigateur Iridium
Navigateur Xvast
Chédot
360Navigateur
ComodoDragon
360Chrome
Super Oiseau
CentBrowser
Navigateur fantôme
Navigateur de fer
Chrome
Vivaldi
Navigateur Slimjet
Orbitum
CocCoc
Torche
Navigateur UCB
Navigateur épique
Navigateur Blisk
Opera

Opposition à l'analyse dynamique

• Vérifier si un processus est en cours d'analyse

  Réalisé à l'aide de la recherche de processus taskmgr, ProcessHacker, procédureexp64, procexp, procéder. Si au moins un est trouvé, le malware se ferme.

• Vérifier si vous êtes dans un environnement virtuel

  Réalisé à l'aide de la recherche de processus vmtoolsd, VGAuthService, vmacthlp, VBoxService, VBoxTray. Si au moins un est trouvé, le malware se ferme.

• S'endormir pendant 5 secondes
• Démonstration de différents types de boîtes de dialogue

  Peut être utilisé pour contourner certains bacs à sable.

• Contourner l'UAC

  Effectué en modifiant la clé de registre EnableLUA dans les paramètres de stratégie de groupe.

• Applique l'attribut "Caché" au fichier actuel.
• Possibilité de supprimer le fichier actuel.

Fonctionnalités inactives

Lors de l'analyse du chargeur de démarrage et du module principal, des fonctions responsables de fonctionnalités supplémentaires ont été trouvées, mais elles ne sont utilisées nulle part. Cela est probablement dû au fait que le malware est encore en développement et que les fonctionnalités seront bientôt étendues.

Chargeur AtProtect

Une fonction a été trouvée qui est responsable du chargement et de l'injection dans le processus msiexec.exe module arbitraire.

Voleur de données

• Consolidation dans le système

  

• Fonctions de décompression et de décryptage

  
  
  Il est probable que le cryptage des données lors des communications réseau sera bientôt mis en œuvre.

• Arrêt des processus antivirus

zlclient	Dvp95_0	Pavsché	avgserv9
égui	Moteur électrique	Pavé	avgserv9schedapp
agent de bord	Esafe	PCCIOMON	avgemc
npfmsg	Espwatch	PCCMAIN	ashwebsv
olydbg	F-Agnt95	Pccwin98	cendrier
Anubis	Trouvervir	Icône du mur Pcf	ashmaisv
Wireshark	Fprot	Persfw	serveur de cendres
avastui	F-Prot	POP3TRAP	aswUpdSv
_Avp32	F-Prot95	PVIEW95	symwsc
vsmon	Fp-Gagner	Rav7	norton
mbam	Frw	Rav7win	Norton Auto-Protection
brouilleur de clés	F-Stop	Sauver	norton_av
_Avpcc	Iamapp	Web sécurisé	Nortonav
_Avpm	Je suisserv	Scan32	ccsetmgr
Acquérir32	Ibmasn	Scan95	ccevtmgr
Outpost	Ibmavsp	Scanpm	administrateur
Anti-Trojan	Iload95	Scanner	centre av
ANTIVIR	Télécharger	Servi95	moyen
Apvxdwin	Icmon	Smc	avguard
UNE PISTE	Icsupp95	SERVICE SMC	avnotify
Arrêt automatique	Supplément	Renifler	analyse AV
Avconsol	Je fais face	Sphinx	gardegui
Avenue32	Iomon98	Balayage95	nod32krn
Avgctrl	Jedi	SYMPROXYSVC	nod32kui
Avkserv	Verrouillage2000	Tbscan	clamscan
Avnt	Lookout	Tca	palourdePlateau
Avp	Luall	Tds2-98	palourdeWin
Avp32	McAfee	Tds2-Nt	freshclam
Avpcc	Moolive	TermiNET	Oladdin
Avpdos32	Bac MP	Vétérinaire95	outil de signature
Avpm	Analyse N32	Vettray	w9xpopen
Avptc32	NAVAPSVC	Vscan40	Fermer
Avpupd	NAVAPW32	Vsecomr	cmgrdian
Avsched32	NAVLU32	Vshwin32	alogserv
AVSYNMGR	Navnt	VSstat	Mcshield
Avwin95	NAVRUNR	Webscanx	vshwin32
Avwupd32	Navw32	PIÈGE WEB	AVConsol
Noird	Navwnt	Wfindv32	vsstat
Glace noir	NéoWatch	ZoneAlarm	avsyncmgr
Administrateur Cfi	NISSERV	VERROUILLAGE2000	avcmd
Cfiaudit	Nisoum	SAUVETAGE32	avconfig
Cfinet	Nmain	SERVEUR LUCOM	licmgr
Cfinet32	Normiste	avgcc	calendrier
Griffe95	NORTON	avgcc	pré-mise à jour
Griffe95cf	Numise à niveau	avgamsvr	MsMpEng
Nettoyeur	Nvc95	avgupsvc	MSASCui
Cleaner3	Outpost	moyenne	Avira.Systray
Défwatch	Padmin	avgcc32
Dvp95	Pavillon	avgserv

• Auto destruction
• Chargement de données à partir du manifeste de ressources spécifié

  

• Copier un fichier le long d'un chemin %Temp%tmpG[Date et heure actuelles en millisecondes].tmp

  
  Fait intéressant, une fonction identique est présente dans le malware AgentTesla.

• Fonctionnalité du ver

  Le malware reçoit une liste de supports amovibles. Une copie du malware est créée à la racine du système de fichiers multimédia avec le nom Sys.exe. L'exécution automatique est implémentée à l'aide d'un fichier autorun.inf.

  

Profil de l'attaquant

Lors de l'analyse du centre de commande, il a été possible d'établir l'e-mail et le pseudo du développeur - Razer, alias Brwa, Brwa65, HiDDen PerSON, 404 Coder. Ensuite, nous avons trouvé une vidéo intéressante sur YouTube qui montre le travail avec le constructeur.

Cela a permis de retrouver le canal développeur d’origine.

Il est devenu évident qu'il avait de l'expérience dans l'écriture de cryptographes. On y trouve également des liens vers des pages sur les réseaux sociaux, ainsi que le vrai nom de l'auteur. Il s'est avéré qu'il résidait en Irak.

Voilà à quoi ressemble censément un développeur 404 Keylogger. Photo de son profil Facebook personnel.

CERT Group-IB a annoncé une nouvelle menace - 404 Keylogger - un centre de surveillance et de réponse XNUMX heures sur XNUMX pour les cybermenaces (SOC) à Bahreïn.

Source: habr.com