Anns na beagan bhliadhnaichean a dh ’fhalbh, tha Trojans gluasadach air a bhith gu gnìomhach a’ cur an àite Trojans airson coimpiutairean pearsanta, agus mar sin tha nochdadh malware ùr airson na seann “chàraichean” math agus an cleachdadh gnìomhach le cybercriminals, ged a tha e mì-thlachdmhor, fhathast na thachartas. O chionn ghoirid, lorg ionad freagairt tachartas tèarainteachd fiosrachaidh XNUMX/XNUMX aig CERT Group-IB post-d fiasgach neo-àbhaisteach a bha a ’falach malware PC ùr a tha a’ cothlamadh gnìomhan Keylogger agus PasswordStealer. Chaidh aire luchd-anailis a tharraing air mar a fhuair am bathar-brathaidh air inneal an neach-cleachdaidh - a’ cleachdadh teachdaire guth mòr-chòrdte. Ilya Pomerantsev saor an asgaidh, eòlaiche anailis malware aig CERT Group-IB, mar a tha an malware ag obair, carson a tha e cunnartach, agus eadhon lorg e an neach-cruthachaidh ann an Iorac fad às.
Mar sin, rachamaid ann an òrdugh. Fo chumadh ceangail, bha dealbh ann an litir mar sin, nuair a bhriogas e air an deach an neach-cleachdaidh a thoirt chun làraich cdn.discordapp.com, agus chaidh faidhle droch-rùnach a luchdachadh sìos às an sin.
Tha cleachdadh Discord, teachdaire guth is teacsa an-asgaidh, gu math neo-ghnàthach. Mar as trice, bidh teachdairean sa bhad eile no lìonraidhean sòisealta air an cleachdadh airson na h-adhbharan sin.
Rè sgrùdadh nas mionaidiche, chaidh teaghlach de malware a chomharrachadh. Thàinig e gu bhith na neach ùr don mhargaidh malware - 404 Keylogger.
Chaidh a 'chiad sanas airson reic keylogger a phostadh air fòraman hack le neach-cleachdaidh fon far-ainm “404 Coder” air 8 Lùnastal.
Chaidh fearann an stòr a chlàradh o chionn ghoirid - air 7 Sultain, 2019.
Mar a tha an luchd-leasachaidh ag ràdh air an làrach-lìn 404 pròiseact[.]xyz, 404 na inneal a chaidh a dhealbhadh gus companaidhean a chuideachadh gus ionnsachadh mu ghnìomhachd an luchd-ceannach (le an cead) no dhaibhsan a tha airson am binary aca a dhìon bho innleadaireachd cùil. A 'coimhead air adhart, canaidh sinn sin leis a' ghnìomh mu dheireadh 404 gu cinnteach chan eil e a’ dèiligeadh.
Cho-dhùin sinn aon de na faidhlichean a thionndadh air ais agus faighinn a-mach dè a th’ ann an “BEST SMART KEYLOGGER”.
Eag-shiostam malware
Luchdaich 1 (AtillaCrypter)
Tha am faidhle tùsail air a dhìon le bhith a’ cleachdadh EaxObfuscator agus a’ dèanamh luchdachadh dà-cheum AtProtect bhon roinn ghoireasan. Rè an anailis air sampallan eile a chaidh a lorg air VirusTotal, dh'fhàs e soilleir nach deach an ìre seo a thoirt seachad leis an leasaiche fhèin, ach chaidh a chuir ris leis an neach-dèiligidh aige. Chaidh a dhearbhadh nas fhaide air adhart gur e AtillaCrypter a bh’ anns an bootloader seo.
Bootloader 2 (AtProtect)
Gu dearbh, tha an luchdan seo na phàirt riatanach den malware agus, a rèir rùn an leasaiche, bu chòir dha a bhith a’ gabhail os làimh gnìomhachd an aghaidh mion-sgrùdadh.
Ach, ann an cleachdadh, tha na dòighean dìon air leth prìomhadail, agus tha na siostaman againn a’ lorg an malware seo gu soirbheachail.
Tha am prìomh mhodal air a luchdachadh le bhith a’ cleachdadh Còd Franchy Shell dreachan eadar-dhealaichte. Ach, chan eil sinn a’ dùnadh a-mach gum faodadh roghainnean eile a bhith air an cleachdadh, mar eisimpleir, Ruith PE.
Faidhle rèiteachaidh
Daingneachadh san t-siostam
Tha daingneachadh san t-siostam air a dhèanamh cinnteach leis an bootloader AtProtect, ma tha am bratach co-fhreagarrach air a shuidheachadh.
- Tha am faidhle air a chopaigeadh air an t-slighe %AppData%GFqaakZpzwm.exe.
- Tha am faidhle air a chruthachadh %AppData%GFqaakWinDriv.url, cur air bhog Zpzwm.exe.
- Anns an t-snàthainn HKCUSoftwareMicrosoftWindowsCurrentVersionRun tha iuchair tòiseachaidh air a chruthachadh WinDriv.url.
Eadar-obrachadh le C&C
Luchdaich sìos AtProtect
Ma tha am bratach iomchaidh an làthair, faodaidh an malware pròiseas falaichte a chuir air bhog iexplorer agus lean an ceangal ainmichte gus fios a chuir chun fhrithealaiche mu ghalar soirbheachail.
Stòr-dàta
Ge bith dè an dòigh a thathar a 'cleachdadh, bidh conaltradh lìonra a' tòiseachadh le bhith a 'faighinn IP taobh a-muigh an neach-fulang a' cleachdadh a 'ghoireis [http]://checkip[.]dyndns[.]org/.
Neach-cleachdaidh: Mozilla/4.0 (co-chòrdail; MSIE 6.0; Windows NT 5.2; .NET CLR1.0.3705;)
Tha structar coitcheann na teachdaireachd mar an ceudna. Ceann-cinnidh an làthair
|——- 404 Keylogger — {Seòrsa} ——-|càite {seòrsa} a’ freagairt ris an t-seòrsa fiosrachaidh a thathar a’ sgaoileadh.
Tha na leanas mar fhiosrachadh mun t-siostam:
_______ + FIOSRACHADH LUACH + _______
IP: {IP a-muigh}
Ainm an t-sealbhadair: {Ainm a' choimpiutair}
Ainm OS: {Ainm OS}
Tionndadh OS: {OS Version}
Àrd-ùrlar OS: {Àrd-ùrlar}
Meud RAM: {meud RAM}
______________________________
Agus mu dheireadh, an dàta tar-chuir.
SMTP
Tha cuspair na litreach mar a leanas: 404 K | {Seòrsa na Teachdaireachd} | Ainm neach-dèiligidh: {Ainm-cleachdaidh}.
Gu inntinneach, litrichean a lìbhrigeadh don neach-dèiligidh 404 Keylogger Tha frithealaiche SMTP an luchd-leasachaidh air a chleachdadh.
Rinn seo e comasach cuid de luchd-dèiligidh a chomharrachadh, a bharrachd air post-d aon den luchd-leasachaidh.
FTP
Nuair a bhios tu a’ cleachdadh an dòigh seo, thèid am fiosrachadh cruinnichte a shàbhaladh gu faidhle agus a leughadh sa bhad às an sin.
Chan eil an loidsig air cùl na gnìomh seo gu tur soilleir, ach tha e a’ cruthachadh artifact a bharrachd airson riaghailtean giùlain a sgrìobhadh.
%HOMEDRIVE%%HOMEPATH%SgrìobhainneanA{Àireamh neo-riaghailteach}.txt
Pastebin
Aig àm an sgrùdaidh, chan eil an dòigh seo air a chleachdadh ach airson faclan-faire a chaidh a ghoid a ghluasad. A bharrachd air an sin, chan eil e air a chleachdadh mar dhòigh eile air a 'chiad dhà, ach ann an co-shìnte. Is e an suidheachadh luach an seasmhach co-ionann ri “Vavaa”. Is dòcha gur e seo ainm an neach-dèiligidh.
Bidh eadar-obrachadh a’ tachairt tro phròtacal https tron API pastebin. Ciall api_paste_prìobhaideach co-ionann PASTE_UNLISTED, a tha a’ toirmeasg a bhith a’ lorg a leithid de dhuilleagan ann an pastebin.
Algorithms crioptachaidh
A luchdachadh a-nuas faidhle bho stòras
Tha an t-uallach pàighidh air a stòradh ann an goireasan bootloader AtProtect ann an cruth ìomhaighean Bitmap. Tha tarraing às air a dhèanamh ann an grunn ìrean:
- Tha sreath de bytes air a thoirt a-mach às an ìomhaigh. Thathas a’ làimhseachadh gach piogsail mar shreath de 3 bytes ann an òrdugh BGR. Às deidh an toirt a-mach, bidh a ’chiad 4 bytes den raon a’ stòradh fad an teachdaireachd, bidh an fheadhainn às deidh sin a ’stòradh an teachdaireachd fhèin.
- Tha an iuchair air a thomhas. Gus seo a dhèanamh, tha MD5 air a thomhas bhon luach “ZpzwmjMJyfTNiRalKVrcSkxCN” air a shònrachadh mar am facal-faire. Tha an hash mar thoradh air a sgrìobhadh dà uair.
- Bithear a’ dì-chrioptachadh a’ cleachdadh an algairim AES ann am modh ECB.
Gnìomh droch-rùnach
Downloader
Air a chuir an gnìomh anns an bootloader AtProtect.
- Le bhith a’ cur fios [activelink-repalce] Thathar ag iarraidh inbhe an fhrithealaiche gus dearbhadh gu bheil e deiseil airson am faidhle a fhrithealadh. Bu chòir don fhrithealaiche tilleadh “AIR”.
- Le ceangal [downloadlink-place] Tha an t-uallach pàighidh air a luchdachadh sìos.
- Le cuideachadh bho Còd FranchyShell tha an t-uallach pàighidh air a thoirt a-steach don phròiseas [inj-àite].
Rè sgrùdadh fearainn 404 pròiseact[.]xyz chaidh cùisean a bharrachd a chomharrachadh air VirusTotal 404 Keylogger, a bharrachd air grunn sheòrsaichean de luchdan.
Gu traidiseanta, tha iad air an roinn ann an dà sheòrsa:
- Tha luchdachadh sìos ga dhèanamh bhon ghoireas 404 pròiseact[.]xyz.
Tha dàta air a chòdachadh le Base64 agus AES air a chrioptachadh. - Tha grunn ìrean anns an roghainn seo agus tha e nas coltaiche gun tèid a chleachdadh còmhla ri bootloader AtProtect.
- Anns a 'chiad ìre, tha dàta air a luchdachadh bho pastebin agus air a dhì-chòdachadh a’ cleachdadh a’ ghnìomh HexToBite.
- Aig an dàrna ìre, is e an stòr luchdachadh an 404 pròiseact[.]xyz. Ach, tha na gnìomhan dì-dhùmhlachaidh agus dì-chòdaidh coltach ris an fheadhainn a lorgar ann an DataStealer. Is dòcha gun deach a dhealbhadh an toiseach gus gnìomhachd bootloader a chuir an gnìomh sa phrìomh mhodal.
- Aig an ìre seo, tha an t-uallach pàighidh mar-thà anns a 'ghoireas follaiseach ann an cruth teann. Chaidh gnìomhan às-tharraing coltach ris a lorg cuideachd anns a’ phrìomh mhodal.
Chaidh luchd-luchdachadh sìos a lorg am measg nam faidhlichean sgrùdaichte njRat, SpyGate agus RATs eile.
Keylogger
Ùine cur an loga: 30 mionaid.
Tha a h-uile caractar a’ faighinn taic. Tha caractaran sònraichte air an teicheadh. Tha giullachd ann airson na h-iuchraichean BackSpace agus Sguab às. Cùis mothachail.
Clàr-chlàraidh
Ùine cur an loga: 30 mionaid.
Ùine bhòtaidh bufair: 0,1 diogan.
Ceangal air a chuir an gnìomh a’ teicheadh.
ScreenLogger
Ùine cur an loga: 60 mionaid.
Tha seallaidhean-sgrìn air an sàbhaladh a-steach %HOMEDRIVE%%HOMEPATH%Sgrìobhainnean404k404pic.png.
An dèidh am pasgan a chuir 404k air a sguabadh às.
PasswordStealer
Браузеры | Luchd-dèiligidh puist | Luchd-cleachdaidh FTP |
---|---|---|
Chrome | Outlook | FileZilla |
Firefox | Thunderbird | |
Air adhart | Foxmail | |
Dragon Deighe | ||
PaleMoon | ||
cyberfox | ||
Chrome | ||
Brabhsair Brave | ||
QQBrowser | ||
Brabhsair Iridium | ||
XvastBrowser | ||
Chedot | ||
360 brabhsair | ||
ComodoDragon | ||
360 chrome | ||
Sàr-eun | ||
CentBrowser | ||
GhostBrowser | ||
Brabhsair iarainn | ||
Chromium | ||
Vivaldi | ||
Slimjet brabhsair | ||
orbitum | ||
CocCoc | ||
Torch | ||
UCB brabhsair | ||
EpicBrowser | ||
BliskBrowser | ||
Opera |
An aghaidh mion-sgrùdadh fiùghantach
- A’ sgrùdadh a bheil pròiseas fo sgrùdadh
Air a dhèanamh le bhith a’ cleachdadh sgrùdadh pròiseas tasgmgr, Pròiseas Hacker, 64, procexp, proman. Ma lorgar co-dhiù aon, thig an malware a-mach.
- A’ sgrùdadh a bheil thu ann an àrainneachd bhrìgheil
Air a dhèanamh le bhith a’ cleachdadh sgrùdadh pròiseas vmtoolsd, Seirbheis VGAuth, vmacthlp, VBoxSeirbheis, VBoxTray. Ma lorgar co-dhiù aon, thig an malware a-mach.
- A 'tuiteam na chadal airson 5 diogan
- Taisbeanadh de dhiofar sheòrsaichean de bhogsaichean còmhraidh
Faodar a chleachdadh gus faighinn seachad air cuid de bhogsaichean gainmhich.
- Seach-rathad UAC
Air a chluich le bhith a’ deasachadh iuchair a’ chlàraidh EnableLUA ann an roghainnean Poileasaidh Buidhne.
- A' cur a' bhuadh "Hidden" ris an fhaidhle làithreach.
- Comas am faidhle gnàthach a dhubhadh às.
Feartan neo-ghnìomhach
Rè mion-sgrùdadh air an bootloader agus am prìomh mhodal, chaidh gnìomhan a lorg a bha an urra ri gnìomhachd a bharrachd, ach chan eil iad air an cleachdadh an àite sam bith. Is dòcha gu bheil seo air sgàth gu bheil an malware fhathast ga leasachadh agus thèid an comas-gnìomh a leudachadh a dh’ aithghearr.
Luchdaich sìos AtProtect
Chaidh gnìomh a lorg a tha an urra ri luchdachadh agus stealladh a-steach don phròiseas msiexec.exe modal neo-riaghailteach.
Stòr-dàta
- Daingneachadh san t-siostam
- Gnìomhan dì-dhùmhlachadh agus dì-chrioptachadh
Tha e coltach gun tèid crioptachadh dàta rè conaltradh lìonra a chuir an gnìomh a dh’ aithghearr. - A 'cur crìoch air pròiseasan antivirus
zclient | Dvp95_0 | Pavsched | cuibheasachd 9 |
egui | Ecengine | Pavw | avgserv9schedapp |
bdagent | Sàbhailte | PCCIOMON | avgemc |
npfmsg | Espwatch | PCCMAIN | lìn ashv |
olydbg | F-Agnt95 | Pccwin98 | luaithre |
Anubis | Lorgvir | Pcfwallicon | ashmaisv |
uèirichean | Fprot | Persfw | luaithre |
avastui | F-Prot | POP3TRAP | aswUpdSv |
_Avp32 | F-Prot95 | Sealladh 95 | simwsc |
vsmon | Fp- Bhuannaich | Rabh7 | Norton |
bham | Frw | Ruith 7win | Norton dìon gu fèin-obrachail an |
meur-chlàr iuchraichean | F- Stad | Teasairginn | norton_abh |
_Avpcc | Iamapp | Lìon sàbhailte | Norton |
_Avf | Iamserv | Sgan 32 | ccsetmgr |
Adhbhar 32 | Ibmasn | Sgan 95 | ccevtmgr |
Outpost | Ibmavsp | Scanpm | abhag |
Anti-Trojan | luchdachadh sìos 95 | Sgrobhadh | uchd-mhacachd |
ANTIVIR | Iclont | Seirbheis 95 | avgnt |
Apvxdwin | Icmon | smc | avguard |
ATRACH | Icsupp 95 | SMCSEIRBHEIS | cuir fios |
Autodown | Icsuppnt | Snort | avscan |
Avconsol | Aghaidh | sphions | geàrdgui |
Taobh 32 | Iom98 | Sguab95 | nod 32 krn |
Avgctrl | Jedi | SYMPROXYSVC | nod32 |
Avkserv | Glasadh 2000 | Tbscan | clamscan |
Àbht | Coimhead a-mach | Tca | clamTray |
Avp | Luall | Tds2-98 | clamWin |
avp32 | mcafee | Tds2-Nt | freshclam |
Avpcc | Maolaidh | TermiNET | oladh |
Ceum 32 | MPftray | lighiche 95 | inneal sig |
Avpm | N32 scan | Vetray | w9 fosgailte |
Avptc32 | NAVAPSVC | Vscan 40 | Dùin |
Avpupd | NAVAPW32 | Vsecomr | cmgrdian |
Ceum 32 | NAVLU32 | Vshwin32 | alogserv |
AVSYNMGR | Navnt | Vsstat | mcshield |
95 | NAVRUNR | Scanx-lìn | vshwin32 |
32 | seòladh 32 | WEBTRAP | avconsol |
Dubhd | Navwnt | Wfindv32 | vsstat |
Dubhach | NeoWatch | Sònalarm | avsynmgr |
Cfiadmin | NISSERV | Glasadh 2000 | avcmd |
Cfiaudit | Nisum | ATHARRACHADH32 | avconfig |
Cfinet | Nmain | LUACHMHOR | licmgr |
Cfint32 | Normaist | avgcc | sgeama |
Clach 95 | NORTON | avgcc | preupd |
Clach 95cf | Ùrachadh | avgamsvr | MsMpEng |
Glanadair | Nvc95 | avgupsvc | MSASCui |
Glanadair 3 | Outpost | avgw | Avira.Systray |
Defwatch | Padmin | avgcc32 | |
Dvp 95 | Pavcl | cuibheasachd |
- Fèin-sgrios
- A’ luchdachadh dàta bhon taisbeanadh goireas ainmichte
- A’ dèanamh lethbhreac de fhaidhle air slighe %Temp% tmpG[Ceann-latha agus uair ann am milliseconds] .tmp
Gu inntinneach, tha gnìomh co-ionann an làthair ann an malware AgentTesla. - Gnìomhachd cnuimhean
Bidh an malware a 'faighinn liosta de mheadhanan a ghabhas toirt air falbh. Tha leth-bhreac den malware air a chruthachadh ann am freumh siostam faidhle nam meadhanan leis an ainm Sys.exe. Tha Autorun air a chuir an gnìomh le bhith a’ cleachdadh faidhle autorun.inf.
Pròifil neach-ionnsaigh
Rè mion-sgrùdadh an ionaid àithne, bha e comasach post-d agus far-ainm an leasaiche a stèidheachadh - Razer, aka Brwa, Brwa65, HiDDen PerSOn, 404 Coder. An uairsin, lorg sinn bhidio inntinneach air YouTube a tha a’ sealltainn a bhith ag obair leis an neach-togail.
Rinn seo e comasach an sianal leasaiche tùsail a lorg.
Dh'fhàs e soilleir gu robh eòlas aige air sgrìobhadh cryptographers. Tha ceanglaichean ann cuideachd gu duilleagan air lìonraidhean sòisealta, a bharrachd air fìor ainm an ùghdair. Thionndaidh e a-mach gu robh e na neach-còmhnaidh ann an Iorac.
Seo cò ris a tha leasaiche 404 Keylogger coltach. Dealbh bhon phròifil Facebook pearsanta aige.
Tha CERT Group-IB air bagairt ùr ainmeachadh - 404 Keylogger - ionad sgrùdaidh agus freagairt XNUMX-uair airson bagairtean saidhbear (SOC) ann am Bahrain.
Source: www.habr.com