Keylogger s iznenađenjem: analiza keyloggera i dekana njegovog programera

Posljednjih godina mobilni trojanci aktivno zamjenjuju trojance za osobna računala, pa je pojava novih zlonamjernih programa za stare dobre “automobile” i njihovo aktivno korištenje od strane kibernetičkih kriminalaca, iako neugodan, još uvijek događaj. Nedavno je XNUMX/XNUMX centar za odgovor na incidente informacijske sigurnosti CERT Group-IB otkrio neobičnu phishing e-poštu koja je skrivala novi PC zlonamjerni softver koji kombinira funkcije Keyloggera i PasswordStealera. Pozornost analitičara privuklo je kako je špijunski softver dospio na korisnikovo računalo - pomoću popularnog glasovnog glasnika. Ilya Pomerantsev, stručnjak za analizu zlonamjernog softvera u CERT Group-IB, objasnio je kako malware radi, zašto je opasan, a pronašao je i njegovog tvorca u dalekom Iraku.

Dakle, idemo redom. Pod krinkom privitka, takvo je pismo sadržavalo sliku, nakon klika na koju je korisnik odveden na stranicu cdn.discordapp.com, a od tamo je preuzeta zlonamjerna datoteka.

Korištenje Discorda, besplatnog glasovnog i tekstualnog glasnika, prilično je nekonvencionalno. Obično se u te svrhe koriste drugi instant messengeri ili društvene mreže.

Tijekom detaljnije analize identificirana je obitelj malwarea. Ispostavilo se da je pridošlica na tržištu zlonamjernog softvera - 404 Keylogger.

godine objavljen je prvi oglas za prodaju keyloggera hackforumi od strane korisnika pod nadimkom “404 Coder” 8. kolovoza.

Domena trgovine registrirana je nedavno - 7. rujna 2019.

Kao što programeri kažu na web stranici 404projekti[.]xyz, 404 je alat osmišljen kako bi pomogao tvrtkama da saznaju o aktivnostima svojih klijenata (uz njihovo dopuštenje) ili za one koji žele zaštititi svoju binarnu datoteku od obrnutog inženjeringa. Gledajući unaprijed, recimo to s posljednjim zadatkom 404 definitivno se ne snalazi.

Odlučili smo obrnuti jednu od datoteka i provjeriti što je "BEST SMART KEYLOGGER".

Ekosustav zlonamjernog softvera

Učitavač 1 (AtillaCrypter)

Izvorna datoteka je zaštićena korištenjem EaxObfuscator i vrši učitavanje u dva koraka AtProtect iz odjeljka resursa. Tijekom analize drugih uzoraka pronađenih na VirusTotalu postalo je jasno da ovu fazu nije osigurao sam programer, već ju je dodao njegov klijent. Kasnije je utvrđeno da je ovaj bootloader bio AtillaCrypter.

Bootloader 2 (AtProtect)

Zapravo, ovaj učitavač je sastavni dio zlonamjernog softvera i, prema namjeri programera, trebao bi preuzeti funkcionalnost analize suprotstavljanja.

Međutim, u praksi su zaštitni mehanizmi krajnje primitivni, a naši sustavi uspješno otkrivaju ovaj malware.

Glavni modul se učitava pomoću Franchy ShellCode različite verzije. Međutim, ne isključujemo da su se mogle koristiti i druge mogućnosti, npr. Pokreni PE.

Konfiguracijska datoteka

Konsolidacija u sustavu

Konsolidaciju u sustavu osigurava bootloader AtProtect, ako je odgovarajuća zastavica postavljena.

• Datoteka se kopira duž staze %AppData%GFqaakZpzwm.exe.
• Datoteka je stvorena %AppData%GFqaakWinDriv.url, pokretanje Zpzwm.exe.
• U temi HKCUSoftwareMicrosoftWindowsCurrentVersionRun kreira se ključ za pokretanje WinDriv.url.

Interakcija s C&C

Učitavač AtProtect

Ako je prisutna odgovarajuća zastavica, zlonamjerni softver može pokrenuti skriveni proces iexplorer i slijedite navedeni link kako biste obavijestili poslužitelj o uspješnoj infekciji.

Kradljivac podataka

Bez obzira na metodu koja se koristi, mrežna komunikacija počinje dobivanjem vanjskog IP-a žrtve koja koristi resurs [http]://checkip[.]dyndns[.]org/.

Korisnički agent: Mozilla/4.0 (kompatibilan; MSIE 6.0; Windows NT 5.2; .NET CLR1.0.3705;)

Opća struktura poruke je ista. Prisutno zaglavlje
|——- 404 Keylogger — {Type} ——-|Gdje {tip} odgovara vrsti informacije koja se prenosi.
Sljedeće su informacije o sustavu:

_______ + INFORMACIJE O ŽRTVI + _______

IP: {Vanjski IP}
Ime vlasnika: {ime računala}
Naziv OS-a: {OS Name}
Verzija OS-a: {OS Version}
Platforma OS-a: {Platforma}
Veličina RAM-a: {RAM size}
______________________________

I na kraju, preneseni podaci.

SMTP

Predmet pisma je sljedeći: 404 K | {Message Type} | Ime klijenta: {Username}.

Zanimljivo, isporučiti pisma klijentu 404 Keylogger Koristi se SMTP poslužitelj programera.

To je omogućilo identificiranje nekih klijenata, kao i e-mail jednog od programera.

FTP

Kada koristite ovu metodu, prikupljene informacije spremaju se u datoteku i odmah se iz nje čitaju.

Logika iza ove radnje nije sasvim jasna, ali stvara dodatni artefakt za pisanje pravila ponašanja.

%HOMEDRIVE%%HOMEPATH%DocumentsA{Proizvoljni broj}.txt

Pastebin

U vrijeme analize ova se metoda koristi samo za prijenos ukradenih lozinki. Štoviše, ne koristi se kao alternativa prva dva, već paralelno. Uvjet je vrijednost konstante jednaka "Vavaa". Vjerojatno je ovo ime klijenta.

Interakcija se odvija preko https protokola preko API-ja pastebin. Značenje api_paste_private je ZALJEPITE_NIJE NA LISTI, koji zabranjuje pretraživanje takvih stranica u pastebin.

Algoritmi šifriranja

Dohvaćanje datoteke iz izvora

Korisni teret je pohranjen u resursima pokretačkog programa AtProtect u obliku Bitmap slika. Ekstrakcija se provodi u nekoliko faza:

• Iz slike se izdvaja niz bajtova. Svaki piksel se tretira kao niz od 3 bajta u BGR redoslijedu. Nakon izdvajanja, prva 4 bajta niza pohranjuju duljinu poruke, a sljedeći pohranjuju samu poruku.

  

• Ključ je izračunat. Da biste to učinili, MD5 se izračunava iz vrijednosti "ZpzwmjMJyfTNiRalKVrcSkxCN" navedene kao lozinka. Dobiveni hash se upisuje dva puta.

  

• Dešifriranje se izvodi pomoću AES algoritma u ECB modu.

Zlonamjerna funkcionalnost

Downloader

Implementirano u bootloaderu AtProtect.

• Kontaktiranjem [activelink-repalce] Za potvrdu da je poslužitelj spreman za posluživanje datoteke traži se status poslužitelja. Poslužitelj bi se trebao vratiti "NA".
• veza [link za preuzimanje-zamijeni] Korisni teret je preuzet.
• S FranchyShellcode korisni teret se ubacuje u proces [inj-replace].

Tijekom analize domene 404projekti[.]xyz dodatne instance identificirane su na VirusTotalu 404 Keylogger, kao i nekoliko vrsta utovarivača.

Konvencionalno se dijele na dvije vrste:

1. Preuzimanje se vrši iz resursa 404projekti[.]xyz.

   
   Podaci su Base64 kodirani i AES šifrirani.

2. Ova se opcija sastoji od nekoliko faza i najvjerojatnije se koristi zajedno s bootloaderom AtProtect.

• U prvoj fazi podaci se učitavaju iz pastebin i dekodiran pomoću funkcije HexToByte.

  

• U drugoj fazi, izvor opterećenja je 404projekti[.]xyz. Međutim, funkcije dekompresije i dekodiranja slične su onima u DataStealeru. Vjerojatno je prvotno planirano implementirati funkcionalnost bootloadera u glavni modul.

  

• U ovoj se fazi korisni teret već nalazi u manifestu resursa u komprimiranom obliku. Slične funkcije ekstrakcije također su pronađene u glavnom modulu.

Među analiziranim datotekama pronađeni su preuzimači njRat, SpyGate i drugi ŠTAKORI.

Keylogger

Vrijeme slanja dnevnika: 30 minuta.

Svi znakovi su podržani. Posebni znakovi se izbjegavaju. Postoji obrada za tipke BackSpace i Delete. Osjetljivo na velika i mala slova.

ClipboardLogger

Vrijeme slanja dnevnika: 30 minuta.

Razdoblje anketiranja međuspremnika: 0,1 sekunda.

Implementirano izbjegavanje veze.

ScreenLogger

Vrijeme slanja dnevnika: 60 minuta.

Snimke zaslona spremaju se u %HOMEDRIVE%%HOMEPATH%Documents404k404pic.png.

Nakon slanja mape 404k se briše.

PasswordStealer

preglednici	Mail klijenti	FTP klijenti
krom	pogled	FileZilla
Firefox	velika ptica nalik orlu
SeaMonkey	Foxmail
Icedragon
Blijedi Mjesec
cyberfox
krom
BraveBrowser
QQBrowser
IridiumBrowser
XvastBrowser
Čedot
360 Preglednik
ComodoDragon
360Chrome
SuperPtica
CentBrowser
GhostBrowser
IronBrowser
Krom
Vivaldi
SlimjetBrowser
orbitum
CocCoc
Baklja
UCBrowser
EpicBrowser
BliskBrowser
Opera

Suprotnost dinamičkoj analizi

• Provjera je li proces u analizi

  Provedeno pretraživanjem procesa Zadaća, ProcessHacker, procesexp64, procexp, procmon. Ako se pronađe barem jedan, zlonamjerni softver izlazi.

• Provjera jeste li u virtualnom okruženju

  Provedeno pretraživanjem procesa vmtoolsd, VGAuthService, vmacthlp, VBoxService, VBoxTray. Ako se pronađe barem jedan, zlonamjerni softver izlazi.

• Zaspati na 5 sekundi
• Demonstracija različitih vrsta dijaloških okvira

  Može se koristiti za zaobilaženje nekih pješčanika.

• Zaobići UAC

  Izvodi se uređivanjem ključa registra EnableLUA u postavkama pravila grupe.

• Primjenjuje atribut "Skriveno" na trenutnu datoteku.
• Mogućnost brisanja trenutne datoteke.

Neaktivne značajke

Tijekom analize bootloadera i glavnog modula pronađene su funkcije koje su bile odgovorne za dodatnu funkcionalnost, ali se nigdje ne koriste. To je vjerojatno zbog činjenice da je zlonamjerni softver još u razvoju i da će se funkcionalnost uskoro proširiti.

Učitavač AtProtect

Pronađena je funkcija koja je odgovorna za učitavanje i ubacivanje u proces msiexec.exe proizvoljni modul.

Kradljivac podataka

• Konsolidacija u sustavu

  

• Funkcije dekompresije i dešifriranja

  
  
  Vrlo je vjerojatno da će se uskoro implementirati šifriranje podataka tijekom mrežne komunikacije.

• Prekid antivirusnih procesa

zlclient	Dvp95_0	Pavsched	prosj.serv9
egui	Ecengine	Pavw	avgserv9schedapp
bdagent	Esafe	PCCIOMON	avgemc
npfmsg	Espwatch	PCCMAIN	ashwebsv
olydbg	F-Agnt95	Pccwin98	disp za pepeo
anubis	Findvir	Pcfwallicon	ashmaisv
Wireshark	Fprot	Persfw	ashserv
avastui	F-prot	POP3ZAMKA	aswUpdSv
_Avp32	F-Prot95	PVIEW95	symwsc
vsmon	Fp-Win	rav7	Norton
mbam	Frw	Rav7win	Norton Auto-Protect
šifrator tipki	F-Zaustavi	Spasiti	norton_av
_Avpcc	Iamapp	Safeweb	nortonav
_Avpm	Iamserv	Skeniraj 32	ccsetmgr
Ackwin32	Ibmasn	Skeniraj 95	ccevtmgr
predstraža	Ibmavsp	Scanpm	avaadmin
Anti-Trojan	Icload95	Scrscan	avcentar
Antivirusni	Icloadnt	Serv95	prosječno
Apvxdwin	Icmon	Smc	avguard
ATRACK	Icsupp95	SMCSERVICE	jahači
Autodown	Icsuppnt	frka	avscan
Avconsol	Iface	Sfinga	čuvargui
Ave32	Iomon98	Pomesti95	nod32krn
Prosj.ctrl	Jedi	SYMPROXYSVC	nod32kui
Avkserv	Zaključavanje2000	Tbscan	skeniranje školjki
Avnt	osmatračnica	Tca	clamTray
prosj	Luall	Tds2-98	clamWin
Avp32	mcafee	Tds2-Nt	freshclam
Avpcc	Moolive	TermiNET	oladin
Avpdos32	MPftray	Vet95	sigtool
Avpm	N32scanw	Vettray	w9xpopen
Avptc32	NAVAPSVC	Vscan40	Zatvoriti
Avpupd	NAVAPW32	Vsecomr	cmgrdijanski
Određeno32	NAVLU32	Vshwin32	alogserv
AVSYNMGR	Navnt	Vsstat	mcshield
Avwin95	NAVRUNR	Webscanx	vshwin32
Avwupd32	Navw32	WEBTRAP	avconsol
Blackd	Navwnt	Wfindv32	vsstat
Crni led	NeoWatch	ZoneAlarm	avsynmgr
Cfiadmin	NISSERV	ZAKLJUČAVANJE2000	avcmd
Cfiaudit	Nisum	SPAŠAVANJE32	avconfig
Cfinet	Nglavni	LUCOMSERVER	licmgr
Cfinet32	Normist	prosj.cc	rasporediti
Kandža 95	NORTON	prosj.cc	preupd
Pandža95cf	Nadogradnja	avgamsvr	MsMpEng
čistač	Nvc95	avgupsvc	MSASCui
Čistač3	predstraža	prosj	Avira.Systray
Defwatch	Padmin	prosj.cc32
Dvp95	Pavcl	prosj.serv

• Samouništenje
• Učitavanje podataka iz navedenog manifesta resursa

  

• Kopiranje datoteke duž staze %Temp%tmpG[trenutni datum i vrijeme u milisekundama].tmp

  
  Zanimljivo, identična funkcija prisutna je u zlonamjernom softveru AgentTesla.

• Funkcionalnost crva

  Zlonamjerni softver prima popis prijenosnih medija. Kopija zlonamjernog softvera stvara se u korijenu sustava medijskih datoteka s nazivom Sys.exe. Automatsko pokretanje implementirano je pomoću datoteke autorun.inf.

  

Profil napadača

Tijekom analize komandnog centra bilo je moguće utvrditi e-mail i nadimak programera - Razer, aka Brwa, Brwa65, HiDDen PerSOn, 404 Coder. Zatim smo na YouTubeu pronašli zanimljiv video koji demonstrira rad s graditeljem.

To je omogućilo pronalaženje originalnog razvojnog kanala.

Postalo je jasno da ima iskustva u pisanju kriptografa. Tu su i poveznice na stranice na društvenim mrežama, kao i pravo ime autora. Ispostavilo se da je stanovnik Iraka.

Ovako navodno izgleda 404 Keylogger programer. Fotografija s njegovog osobnog Facebook profila.

CERT Group-IB je najavio novu prijetnju - 404 Keylogger - centar za XNUMX-satno praćenje i odgovor na cyber prijetnje (SOC) u Bahreinu.

Izvor: www.habr.com