Keylogger le iongnadh: mion-sgrùdadh air an keylogger agus deanon a leasaiche

Anns na beagan bhliadhnaichean a dh ’fhalbh, tha Trojans gluasadach air a bhith gu gnìomhach a’ cur an àite Trojans airson coimpiutairean pearsanta, agus mar sin tha nochdadh malware ùr airson na seann “chàraichean” math agus an cleachdadh gnìomhach le cybercriminals, ged a tha e mì-thlachdmhor, fhathast na thachartas. O chionn ghoirid, lorg ionad freagairt tachartas tèarainteachd fiosrachaidh XNUMX/XNUMX aig CERT Group-IB post-d fiasgach neo-àbhaisteach a bha a ’falach malware PC ùr a tha a’ cothlamadh gnìomhan Keylogger agus PasswordStealer. Chaidh aire luchd-anailis a tharraing air mar a fhuair am bathar-brathaidh air inneal an neach-cleachdaidh - a’ cleachdadh teachdaire guth mòr-chòrdte. Ilya Pomerantsev saor an asgaidh, eòlaiche anailis malware aig CERT Group-IB, mar a tha an malware ag obair, carson a tha e cunnartach, agus eadhon lorg e an neach-cruthachaidh ann an Iorac fad às.

Mar sin, rachamaid ann an òrdugh. Fo chumadh ceangail, bha dealbh ann an litir mar sin, nuair a bhriogas e air an deach an neach-cleachdaidh a thoirt chun làraich cdn.discordapp.com, agus chaidh faidhle droch-rùnach a luchdachadh sìos às an sin.

Tha cleachdadh Discord, teachdaire guth is teacsa an-asgaidh, gu math neo-ghnàthach. Mar as trice, bidh teachdairean sa bhad eile no lìonraidhean sòisealta air an cleachdadh airson na h-adhbharan sin.

Rè sgrùdadh nas mionaidiche, chaidh teaghlach de malware a chomharrachadh. Thàinig e gu bhith na neach ùr don mhargaidh malware - 404 Keylogger.

Chaidh a 'chiad sanas airson reic keylogger a phostadh air fòraman hack le neach-cleachdaidh fon far-ainm “404 Coder” air 8 Lùnastal.

Chaidh fearann ​​​​an stòr a chlàradh o chionn ghoirid - air 7 Sultain, 2019.

Mar a tha an luchd-leasachaidh ag ràdh air an làrach-lìn 404 pròiseact[.]xyz, 404 na inneal a chaidh a dhealbhadh gus companaidhean a chuideachadh gus ionnsachadh mu ghnìomhachd an luchd-ceannach (le an cead) no dhaibhsan a tha airson am binary aca a dhìon bho innleadaireachd cùil. A 'coimhead air adhart, canaidh sinn sin leis a' ghnìomh mu dheireadh 404 gu cinnteach chan eil e a’ dèiligeadh.

Cho-dhùin sinn aon de na faidhlichean a thionndadh air ais agus faighinn a-mach dè a th’ ann an “BEST SMART KEYLOGGER”.

Eag-shiostam malware

Luchdaich 1 (AtillaCrypter)

Tha am faidhle tùsail air a dhìon le bhith a’ cleachdadh EaxObfuscator agus a’ dèanamh luchdachadh dà-cheum AtProtect bhon roinn ghoireasan. Rè an anailis air sampallan eile a chaidh a lorg air VirusTotal, dh'fhàs e soilleir nach deach an ìre seo a thoirt seachad leis an leasaiche fhèin, ach chaidh a chuir ris leis an neach-dèiligidh aige. Chaidh a dhearbhadh nas fhaide air adhart gur e AtillaCrypter a bh’ anns an bootloader seo.

Bootloader 2 (AtProtect)

Gu dearbh, tha an luchdan seo na phàirt riatanach den malware agus, a rèir rùn an leasaiche, bu chòir dha a bhith a’ gabhail os làimh gnìomhachd an aghaidh mion-sgrùdadh.

Ach, ann an cleachdadh, tha na dòighean dìon air leth prìomhadail, agus tha na siostaman againn a’ lorg an malware seo gu soirbheachail.

Tha am prìomh mhodal air a luchdachadh le bhith a’ cleachdadh Còd Franchy Shell dreachan eadar-dhealaichte. Ach, chan eil sinn a’ dùnadh a-mach gum faodadh roghainnean eile a bhith air an cleachdadh, mar eisimpleir, Ruith PE.

Faidhle rèiteachaidh

Daingneachadh san t-siostam

Tha daingneachadh san t-siostam air a dhèanamh cinnteach leis an bootloader AtProtect, ma tha am bratach co-fhreagarrach air a shuidheachadh.

• Tha am faidhle air a chopaigeadh air an t-slighe %AppData%GFqaakZpzwm.exe.
• Tha am faidhle air a chruthachadh %AppData%GFqaakWinDriv.url, cur air bhog Zpzwm.exe.
• Anns an t-snàthainn HKCUSoftwareMicrosoftWindowsCurrentVersionRun tha iuchair tòiseachaidh air a chruthachadh WinDriv.url.

Eadar-obrachadh le C&C

Luchdaich sìos AtProtect

Ma tha am bratach iomchaidh an làthair, faodaidh an malware pròiseas falaichte a chuir air bhog iexplorer agus lean an ceangal ainmichte gus fios a chuir chun fhrithealaiche mu ghalar soirbheachail.

Stòr-dàta

Ge bith dè an dòigh a thathar a 'cleachdadh, bidh conaltradh lìonra a' tòiseachadh le bhith a 'faighinn IP taobh a-muigh an neach-fulang a' cleachdadh a 'ghoireis [http]://checkip[.]dyndns[.]org/.

Neach-cleachdaidh: Mozilla/4.0 (co-chòrdail; MSIE 6.0; Windows NT 5.2; .NET CLR1.0.3705;)

Tha structar coitcheann na teachdaireachd mar an ceudna. Ceann-cinnidh an làthair
|——- 404 Keylogger — {Seòrsa} ——-|càite {seòrsa} a’ freagairt ris an t-seòrsa fiosrachaidh a thathar a’ sgaoileadh.
Tha na leanas mar fhiosrachadh mun t-siostam:

_______ + FIOSRACHADH LUACH + _______

IP: {IP a-muigh}
Ainm an t-sealbhadair: {Ainm a' choimpiutair}
Ainm OS: {Ainm OS}
Tionndadh OS: {OS Version}
Àrd-ùrlar OS: {Àrd-ùrlar}
Meud RAM: {meud RAM}
______________________________

Agus mu dheireadh, an dàta tar-chuir.

SMTP

Tha cuspair na litreach mar a leanas: 404 K | {Seòrsa na Teachdaireachd} | Ainm neach-dèiligidh: {Ainm-cleachdaidh}.

Gu inntinneach, litrichean a lìbhrigeadh don neach-dèiligidh 404 Keylogger Tha frithealaiche SMTP an luchd-leasachaidh air a chleachdadh.

Rinn seo e comasach cuid de luchd-dèiligidh a chomharrachadh, a bharrachd air post-d aon den luchd-leasachaidh.

FTP

Nuair a bhios tu a’ cleachdadh an dòigh seo, thèid am fiosrachadh cruinnichte a shàbhaladh gu faidhle agus a leughadh sa bhad às an sin.

Chan eil an loidsig air cùl na gnìomh seo gu tur soilleir, ach tha e a’ cruthachadh artifact a bharrachd airson riaghailtean giùlain a sgrìobhadh.

%HOMEDRIVE%%HOMEPATH%SgrìobhainneanA{Àireamh neo-riaghailteach}.txt

Pastebin

Aig àm an sgrùdaidh, chan eil an dòigh seo air a chleachdadh ach airson faclan-faire a chaidh a ghoid a ghluasad. A bharrachd air an sin, chan eil e air a chleachdadh mar dhòigh eile air a 'chiad dhà, ach ann an co-shìnte. Is e an suidheachadh luach an seasmhach co-ionann ri “Vavaa”. Is dòcha gur e seo ainm an neach-dèiligidh.

Bidh eadar-obrachadh a’ tachairt tro phròtacal https tron ​​​​API pastebin. Ciall api_paste_prìobhaideach co-ionann PASTE_UNLISTED, a tha a’ toirmeasg a bhith a’ lorg a leithid de dhuilleagan ann an pastebin.

Algorithms crioptachaidh

A luchdachadh a-nuas faidhle bho stòras

Tha an t-uallach pàighidh air a stòradh ann an goireasan bootloader AtProtect ann an cruth ìomhaighean Bitmap. Tha tarraing às air a dhèanamh ann an grunn ìrean:

• Tha sreath de bytes air a thoirt a-mach às an ìomhaigh. Thathas a’ làimhseachadh gach piogsail mar shreath de 3 bytes ann an òrdugh BGR. Às deidh an toirt a-mach, bidh a ’chiad 4 bytes den raon a’ stòradh fad an teachdaireachd, bidh an fheadhainn às deidh sin a ’stòradh an teachdaireachd fhèin.

  

• Tha an iuchair air a thomhas. Gus seo a dhèanamh, tha MD5 air a thomhas bhon luach “ZpzwmjMJyfTNiRalKVrcSkxCN” air a shònrachadh mar am facal-faire. Tha an hash mar thoradh air a sgrìobhadh dà uair.

  

• Bithear a’ dì-chrioptachadh a’ cleachdadh an algairim AES ann am modh ECB.

Gnìomh droch-rùnach

Downloader

Air a chuir an gnìomh anns an bootloader AtProtect.

• Le bhith a’ cur fios [activelink-repalce] Thathar ag iarraidh inbhe an fhrithealaiche gus dearbhadh gu bheil e deiseil airson am faidhle a fhrithealadh. Bu chòir don fhrithealaiche tilleadh “AIR”.
• Le ceangal [downloadlink-place] Tha an t-uallach pàighidh air a luchdachadh sìos.
• Le cuideachadh bho Còd FranchyShell tha an t-uallach pàighidh air a thoirt a-steach don phròiseas [inj-àite].

Rè sgrùdadh fearainn 404 pròiseact[.]xyz chaidh cùisean a bharrachd a chomharrachadh air VirusTotal 404 Keylogger, a bharrachd air grunn sheòrsaichean de luchdan.

Gu traidiseanta, tha iad air an roinn ann an dà sheòrsa:

1. Tha luchdachadh sìos ga dhèanamh bhon ghoireas 404 pròiseact[.]xyz.

   
   Tha dàta air a chòdachadh le Base64 agus AES air a chrioptachadh.

2. Tha grunn ìrean anns an roghainn seo agus tha e nas coltaiche gun tèid a chleachdadh còmhla ri bootloader AtProtect.

• Anns a 'chiad ìre, tha dàta air a luchdachadh bho pastebin agus air a dhì-chòdachadh a’ cleachdadh a’ ghnìomh HexToBite.

  

• Aig an dàrna ìre, is e an stòr luchdachadh an 404 pròiseact[.]xyz. Ach, tha na gnìomhan dì-dhùmhlachaidh agus dì-chòdaidh coltach ris an fheadhainn a lorgar ann an DataStealer. Is dòcha gun deach a dhealbhadh an toiseach gus gnìomhachd bootloader a chuir an gnìomh sa phrìomh mhodal.

  

• Aig an ìre seo, tha an t-uallach pàighidh mar-thà anns a 'ghoireas follaiseach ann an cruth teann. Chaidh gnìomhan às-tharraing coltach ris a lorg cuideachd anns a’ phrìomh mhodal.

Chaidh luchd-luchdachadh sìos a lorg am measg nam faidhlichean sgrùdaichte njRat, SpyGate agus RATs eile.

Keylogger

Ùine cur an loga: 30 mionaid.

Tha a h-uile caractar a’ faighinn taic. Tha caractaran sònraichte air an teicheadh. Tha giullachd ann airson na h-iuchraichean BackSpace agus Sguab às. Cùis mothachail.

Clàr-chlàraidh

Ùine cur an loga: 30 mionaid.

Ùine bhòtaidh bufair: 0,1 diogan.

Ceangal air a chuir an gnìomh a’ teicheadh.

ScreenLogger

Ùine cur an loga: 60 mionaid.

Tha seallaidhean-sgrìn air an sàbhaladh a-steach %HOMEDRIVE%%HOMEPATH%Sgrìobhainnean404k404pic.png.

An dèidh am pasgan a chuir 404k air a sguabadh às.

PasswordStealer

Браузеры	Luchd-dèiligidh puist	Luchd-cleachdaidh FTP
Chrome	Outlook	FileZilla
Firefox	Thunderbird
Air adhart	Foxmail
Dragon Deighe
PaleMoon
cyberfox
Chrome
Brabhsair Brave
QQBrowser
Brabhsair Iridium
XvastBrowser
Chedot
360 brabhsair
ComodoDragon
360 chrome
Sàr-eun
CentBrowser
GhostBrowser
Brabhsair iarainn
Chromium
Vivaldi
Slimjet brabhsair
orbitum
CocCoc
Torch
UCB brabhsair
EpicBrowser
BliskBrowser
Opera

An aghaidh mion-sgrùdadh fiùghantach

• A’ sgrùdadh a bheil pròiseas fo sgrùdadh

  Air a dhèanamh le bhith a’ cleachdadh sgrùdadh pròiseas tasgmgr, Pròiseas Hacker, 64, procexp, proman. Ma lorgar co-dhiù aon, thig an malware a-mach.

• A’ sgrùdadh a bheil thu ann an àrainneachd bhrìgheil

  Air a dhèanamh le bhith a’ cleachdadh sgrùdadh pròiseas vmtoolsd, Seirbheis VGAuth, vmacthlp, VBoxSeirbheis, VBoxTray. Ma lorgar co-dhiù aon, thig an malware a-mach.

• A 'tuiteam na chadal airson 5 diogan
• Taisbeanadh de dhiofar sheòrsaichean de bhogsaichean còmhraidh

  Faodar a chleachdadh gus faighinn seachad air cuid de bhogsaichean gainmhich.

• Seach-rathad UAC

  Air a chluich le bhith a’ deasachadh iuchair a’ chlàraidh EnableLUA ann an roghainnean Poileasaidh Buidhne.

• A' cur a' bhuadh "Hidden" ris an fhaidhle làithreach.
• Comas am faidhle gnàthach a dhubhadh às.

Feartan neo-ghnìomhach

Rè mion-sgrùdadh air an bootloader agus am prìomh mhodal, chaidh gnìomhan a lorg a bha an urra ri gnìomhachd a bharrachd, ach chan eil iad air an cleachdadh an àite sam bith. Is dòcha gu bheil seo air sgàth gu bheil an malware fhathast ga leasachadh agus thèid an comas-gnìomh a leudachadh a dh’ aithghearr.

Luchdaich sìos AtProtect

Chaidh gnìomh a lorg a tha an urra ri luchdachadh agus stealladh a-steach don phròiseas msiexec.exe modal neo-riaghailteach.

Stòr-dàta

• Daingneachadh san t-siostam

  

• Gnìomhan dì-dhùmhlachadh agus dì-chrioptachadh

  
  
  Tha e coltach gun tèid crioptachadh dàta rè conaltradh lìonra a chuir an gnìomh a dh’ aithghearr.

• A 'cur crìoch air pròiseasan antivirus

zclient	Dvp95_0	Pavsched	cuibheasachd 9
egui	Ecengine	Pavw	avgserv9schedapp
bdagent	Sàbhailte	PCCIOMON	avgemc
npfmsg	Espwatch	PCCMAIN	lìn ashv
olydbg	F-Agnt95	Pccwin98	luaithre
Anubis	Lorgvir	Pcfwallicon	ashmaisv
uèirichean	Fprot	Persfw	luaithre
avastui	F-Prot	POP3TRAP	aswUpdSv
_Avp32	F-Prot95	Sealladh 95	simwsc
vsmon	Fp- Bhuannaich	Rabh7	Norton
bham	Frw	Ruith 7win	Norton dìon gu fèin-obrachail an
meur-chlàr iuchraichean	F- Stad	Teasairginn	norton_abh
_Avpcc	Iamapp	Lìon sàbhailte	Norton
_Avf	Iamserv	Sgan 32	ccsetmgr
Adhbhar 32	Ibmasn	Sgan 95	ccevtmgr
Outpost	Ibmavsp	Scanpm	abhag
Anti-Trojan	luchdachadh sìos 95	Sgrobhadh	uchd-mhacachd
ANTIVIR	Iclont	Seirbheis 95	avgnt
Apvxdwin	Icmon	smc	avguard
ATRACH	Icsupp 95	SMCSEIRBHEIS	cuir fios
Autodown	Icsuppnt	Snort	avscan
Avconsol	Aghaidh	sphions	geàrdgui
Taobh 32	Iom98	Sguab95	nod 32 krn
Avgctrl	Jedi	SYMPROXYSVC	nod32
Avkserv	Glasadh 2000	Tbscan	clamscan
Àbht	Coimhead a-mach	Tca	clamTray
Avp	Luall	Tds2-98	clamWin
avp32	mcafee	Tds2-Nt	freshclam
Avpcc	Maolaidh	TermiNET	oladh
Ceum 32	MPftray	lighiche 95	inneal sig
Avpm	N32 scan	Vetray	w9 fosgailte
Avptc32	NAVAPSVC	Vscan 40	Dùin
Avpupd	NAVAPW32	Vsecomr	cmgrdian
Ceum 32	NAVLU32	Vshwin32	alogserv
AVSYNMGR	Navnt	Vsstat	mcshield
95	NAVRUNR	Scanx-lìn	vshwin32
32	seòladh 32	WEBTRAP	avconsol
Dubhd	Navwnt	Wfindv32	vsstat
Dubhach	NeoWatch	Sònalarm	avsynmgr
Cfiadmin	NISSERV	Glasadh 2000	avcmd
Cfiaudit	Nisum	ATHARRACHADH32	avconfig
Cfinet	Nmain	LUACHMHOR	licmgr
Cfint32	Normaist	avgcc	sgeama
Clach 95	NORTON	avgcc	preupd
Clach 95cf	Ùrachadh	avgamsvr	MsMpEng
Glanadair	Nvc95	avgupsvc	MSASCui
Glanadair 3	Outpost	avgw	Avira.Systray
Defwatch	Padmin	avgcc32
Dvp 95	Pavcl	cuibheasachd

• Fèin-sgrios
• A’ luchdachadh dàta bhon taisbeanadh goireas ainmichte

  

• A’ dèanamh lethbhreac de fhaidhle air slighe %Temp% tmpG[Ceann-latha agus uair ann am milliseconds] .tmp

  
  Gu inntinneach, tha gnìomh co-ionann an làthair ann an malware AgentTesla.

• Gnìomhachd cnuimhean

  Bidh an malware a 'faighinn liosta de mheadhanan a ghabhas toirt air falbh. Tha leth-bhreac den malware air a chruthachadh ann am freumh siostam faidhle nam meadhanan leis an ainm Sys.exe. Tha Autorun air a chuir an gnìomh le bhith a’ cleachdadh faidhle autorun.inf.

  

Pròifil neach-ionnsaigh

Rè mion-sgrùdadh an ionaid àithne, bha e comasach post-d agus far-ainm an leasaiche a stèidheachadh - Razer, aka Brwa, Brwa65, HiDDen PerSOn, 404 Coder. An uairsin, lorg sinn bhidio inntinneach air YouTube a tha a’ sealltainn a bhith ag obair leis an neach-togail.

Rinn seo e comasach an sianal leasaiche tùsail a lorg.

Dh'fhàs e soilleir gu robh eòlas aige air sgrìobhadh cryptographers. Tha ceanglaichean ann cuideachd gu duilleagan air lìonraidhean sòisealta, a bharrachd air fìor ainm an ùghdair. Thionndaidh e a-mach gu robh e na neach-còmhnaidh ann an Iorac.

Seo cò ris a tha leasaiche 404 Keylogger coltach. Dealbh bhon phròifil Facebook pearsanta aige.

Tha CERT Group-IB air bagairt ùr ainmeachadh - 404 Keylogger - ionad sgrùdaidh agus freagairt XNUMX-uair airson bagairtean saidhbear (SOC) ann am Bahrain.

Source: www.habr.com