Posljednjih godina mobilni trojanci aktivno zamjenjuju trojance za osobna računala, pa je pojava novih zlonamjernih programa za stare dobre “automobile” i njihovo aktivno korištenje od strane kibernetičkih kriminalaca, iako neugodan, još uvijek događaj. Nedavno je XNUMX/XNUMX centar za odgovor na incidente informacijske sigurnosti CERT Group-IB otkrio neobičnu phishing e-poštu koja je skrivala novi PC zlonamjerni softver koji kombinira funkcije Keyloggera i PasswordStealera. Pozornost analitičara privuklo je kako je špijunski softver dospio na korisnikovo računalo - pomoću popularnog glasovnog glasnika. Ilya Pomerantsev, stručnjak za analizu zlonamjernog softvera u CERT Group-IB, objasnio je kako malware radi, zašto je opasan, a pronašao je i njegovog tvorca u dalekom Iraku.
Dakle, idemo redom. Pod krinkom privitka, takvo je pismo sadržavalo sliku, nakon klika na koju je korisnik odveden na stranicu cdn.discordapp.com, a od tamo je preuzeta zlonamjerna datoteka.
Korištenje Discorda, besplatnog glasovnog i tekstualnog glasnika, prilično je nekonvencionalno. Obično se u te svrhe koriste drugi instant messengeri ili društvene mreže.
Tijekom detaljnije analize identificirana je obitelj malwarea. Ispostavilo se da je pridošlica na tržištu zlonamjernog softvera - 404 Keylogger.
godine objavljen je prvi oglas za prodaju keyloggera hackforumi od strane korisnika pod nadimkom “404 Coder” 8. kolovoza.
Domena trgovine registrirana je nedavno - 7. rujna 2019.
Kao što programeri kažu na web stranici 404projekti[.]xyz, 404 je alat osmišljen kako bi pomogao tvrtkama da saznaju o aktivnostima svojih klijenata (uz njihovo dopuštenje) ili za one koji žele zaštititi svoju binarnu datoteku od obrnutog inženjeringa. Gledajući unaprijed, recimo to s posljednjim zadatkom 404 definitivno se ne snalazi.
Odlučili smo obrnuti jednu od datoteka i provjeriti što je "BEST SMART KEYLOGGER".
Ekosustav zlonamjernog softvera
Učitavač 1 (AtillaCrypter)
Izvorna datoteka je zaštićena korištenjem EaxObfuscator i vrši učitavanje u dva koraka AtProtect iz odjeljka resursa. Tijekom analize drugih uzoraka pronađenih na VirusTotalu postalo je jasno da ovu fazu nije osigurao sam programer, već ju je dodao njegov klijent. Kasnije je utvrđeno da je ovaj bootloader bio AtillaCrypter.
Bootloader 2 (AtProtect)
Zapravo, ovaj učitavač je sastavni dio zlonamjernog softvera i, prema namjeri programera, trebao bi preuzeti funkcionalnost analize suprotstavljanja.
Međutim, u praksi su zaštitni mehanizmi krajnje primitivni, a naši sustavi uspješno otkrivaju ovaj malware.
Glavni modul se učitava pomoću Franchy ShellCode različite verzije. Međutim, ne isključujemo da su se mogle koristiti i druge mogućnosti, npr. Pokreni PE.
Konfiguracijska datoteka
Konsolidacija u sustavu
Konsolidaciju u sustavu osigurava bootloader AtProtect, ako je odgovarajuća zastavica postavljena.
- Datoteka se kopira duž staze %AppData%GFqaakZpzwm.exe.
- Datoteka je stvorena %AppData%GFqaakWinDriv.url, pokretanje Zpzwm.exe.
- U temi HKCUSoftwareMicrosoftWindowsCurrentVersionRun kreira se ključ za pokretanje WinDriv.url.
Interakcija s C&C
Učitavač AtProtect
Ako je prisutna odgovarajuća zastavica, zlonamjerni softver može pokrenuti skriveni proces iexplorer i slijedite navedeni link kako biste obavijestili poslužitelj o uspješnoj infekciji.
Kradljivac podataka
Bez obzira na metodu koja se koristi, mrežna komunikacija počinje dobivanjem vanjskog IP-a žrtve koja koristi resurs [http]://checkip[.]dyndns[.]org/.
Korisnički agent: Mozilla/4.0 (kompatibilan; MSIE 6.0; Windows NT 5.2; .NET CLR1.0.3705;)
Opća struktura poruke je ista. Prisutno zaglavlje
|——- 404 Keylogger — {Type} ——-|Gdje {tip} odgovara vrsti informacije koja se prenosi.
Sljedeće su informacije o sustavu:
_______ + INFORMACIJE O ŽRTVI + _______
IP: {Vanjski IP}
Ime vlasnika: {ime računala}
Naziv OS-a: {OS Name}
Verzija OS-a: {OS Version}
Platforma OS-a: {Platforma}
Veličina RAM-a: {RAM size}
______________________________
I na kraju, preneseni podaci.
SMTP
Predmet pisma je sljedeći: 404 K | {Message Type} | Ime klijenta: {Username}.
Zanimljivo, isporučiti pisma klijentu 404 Keylogger Koristi se SMTP poslužitelj programera.
To je omogućilo identificiranje nekih klijenata, kao i e-mail jednog od programera.
FTP
Kada koristite ovu metodu, prikupljene informacije spremaju se u datoteku i odmah se iz nje čitaju.
Logika iza ove radnje nije sasvim jasna, ali stvara dodatni artefakt za pisanje pravila ponašanja.
%HOMEDRIVE%%HOMEPATH%DocumentsA{Proizvoljni broj}.txt
Pastebin
U vrijeme analize ova se metoda koristi samo za prijenos ukradenih lozinki. Štoviše, ne koristi se kao alternativa prva dva, već paralelno. Uvjet je vrijednost konstante jednaka "Vavaa". Vjerojatno je ovo ime klijenta.
Interakcija se odvija preko https protokola preko API-ja pastebin. Značenje api_paste_private je ZALJEPITE_NIJE NA LISTI, koji zabranjuje pretraživanje takvih stranica u pastebin.
Algoritmi šifriranja
Dohvaćanje datoteke iz izvora
Korisni teret je pohranjen u resursima pokretačkog programa AtProtect u obliku Bitmap slika. Ekstrakcija se provodi u nekoliko faza:
- Iz slike se izdvaja niz bajtova. Svaki piksel se tretira kao niz od 3 bajta u BGR redoslijedu. Nakon izdvajanja, prva 4 bajta niza pohranjuju duljinu poruke, a sljedeći pohranjuju samu poruku.
- Ključ je izračunat. Da biste to učinili, MD5 se izračunava iz vrijednosti "ZpzwmjMJyfTNiRalKVrcSkxCN" navedene kao lozinka. Dobiveni hash se upisuje dva puta.
- Dešifriranje se izvodi pomoću AES algoritma u ECB modu.
Zlonamjerna funkcionalnost
Downloader
Implementirano u bootloaderu AtProtect.
- Kontaktiranjem [activelink-repalce] Za potvrdu da je poslužitelj spreman za posluživanje datoteke traži se status poslužitelja. Poslužitelj bi se trebao vratiti "NA".
- veza [link za preuzimanje-zamijeni] Korisni teret je preuzet.
- S FranchyShellcode korisni teret se ubacuje u proces [inj-replace].
Tijekom analize domene 404projekti[.]xyz dodatne instance identificirane su na VirusTotalu 404 Keylogger, kao i nekoliko vrsta utovarivača.
Konvencionalno se dijele na dvije vrste:
- Preuzimanje se vrši iz resursa 404projekti[.]xyz.
Podaci su Base64 kodirani i AES šifrirani. - Ova se opcija sastoji od nekoliko faza i najvjerojatnije se koristi zajedno s bootloaderom AtProtect.
- U prvoj fazi podaci se učitavaju iz pastebin i dekodiran pomoću funkcije HexToByte.
- U drugoj fazi, izvor opterećenja je 404projekti[.]xyz. Međutim, funkcije dekompresije i dekodiranja slične su onima u DataStealeru. Vjerojatno je prvotno planirano implementirati funkcionalnost bootloadera u glavni modul.
- U ovoj se fazi korisni teret već nalazi u manifestu resursa u komprimiranom obliku. Slične funkcije ekstrakcije također su pronađene u glavnom modulu.
Među analiziranim datotekama pronađeni su preuzimači njRat, SpyGate i drugi ŠTAKORI.
Keylogger
Vrijeme slanja dnevnika: 30 minuta.
Svi znakovi su podržani. Posebni znakovi se izbjegavaju. Postoji obrada za tipke BackSpace i Delete. Osjetljivo na velika i mala slova.
ClipboardLogger
Vrijeme slanja dnevnika: 30 minuta.
Razdoblje anketiranja međuspremnika: 0,1 sekunda.
Implementirano izbjegavanje veze.
ScreenLogger
Vrijeme slanja dnevnika: 60 minuta.
Snimke zaslona spremaju se u %HOMEDRIVE%%HOMEPATH%Documents404k404pic.png.
Nakon slanja mape 404k se briše.
PasswordStealer
preglednici | Mail klijenti | FTP klijenti |
---|---|---|
krom | pogled | FileZilla |
Firefox | velika ptica nalik orlu | |
SeaMonkey | Foxmail | |
Icedragon | ||
Blijedi Mjesec | ||
cyberfox | ||
krom | ||
BraveBrowser | ||
QQBrowser | ||
IridiumBrowser | ||
XvastBrowser | ||
Čedot | ||
360 Preglednik | ||
ComodoDragon | ||
360Chrome | ||
SuperPtica | ||
CentBrowser | ||
GhostBrowser | ||
IronBrowser | ||
Krom | ||
Vivaldi | ||
SlimjetBrowser | ||
orbitum | ||
CocCoc | ||
Baklja | ||
UCBrowser | ||
EpicBrowser | ||
BliskBrowser | ||
Opera |
Suprotnost dinamičkoj analizi
- Provjera je li proces u analizi
Provedeno pretraživanjem procesa Zadaća, ProcessHacker, procesexp64, procexp, procmon. Ako se pronađe barem jedan, zlonamjerni softver izlazi.
- Provjera jeste li u virtualnom okruženju
Provedeno pretraživanjem procesa vmtoolsd, VGAuthService, vmacthlp, VBoxService, VBoxTray. Ako se pronađe barem jedan, zlonamjerni softver izlazi.
- Zaspati na 5 sekundi
- Demonstracija različitih vrsta dijaloških okvira
Može se koristiti za zaobilaženje nekih pješčanika.
- Zaobići UAC
Izvodi se uređivanjem ključa registra EnableLUA u postavkama pravila grupe.
- Primjenjuje atribut "Skriveno" na trenutnu datoteku.
- Mogućnost brisanja trenutne datoteke.
Neaktivne značajke
Tijekom analize bootloadera i glavnog modula pronađene su funkcije koje su bile odgovorne za dodatnu funkcionalnost, ali se nigdje ne koriste. To je vjerojatno zbog činjenice da je zlonamjerni softver još u razvoju i da će se funkcionalnost uskoro proširiti.
Učitavač AtProtect
Pronađena je funkcija koja je odgovorna za učitavanje i ubacivanje u proces msiexec.exe proizvoljni modul.
Kradljivac podataka
- Konsolidacija u sustavu
- Funkcije dekompresije i dešifriranja
Vrlo je vjerojatno da će se uskoro implementirati šifriranje podataka tijekom mrežne komunikacije. - Prekid antivirusnih procesa
zlclient | Dvp95_0 | Pavsched | prosj.serv9 |
egui | Ecengine | Pavw | avgserv9schedapp |
bdagent | Esafe | PCCIOMON | avgemc |
npfmsg | Espwatch | PCCMAIN | ashwebsv |
olydbg | F-Agnt95 | Pccwin98 | disp za pepeo |
anubis | Findvir | Pcfwallicon | ashmaisv |
Wireshark | Fprot | Persfw | ashserv |
avastui | F-prot | POP3ZAMKA | aswUpdSv |
_Avp32 | F-Prot95 | PVIEW95 | symwsc |
vsmon | Fp-Win | rav7 | Norton |
mbam | Frw | Rav7win | Norton Auto-Protect |
šifrator tipki | F-Zaustavi | Spasiti | norton_av |
_Avpcc | Iamapp | Safeweb | nortonav |
_Avpm | Iamserv | Skeniraj 32 | ccsetmgr |
Ackwin32 | Ibmasn | Skeniraj 95 | ccevtmgr |
predstraža | Ibmavsp | Scanpm | avaadmin |
Anti-Trojan | Icload95 | Scrscan | avcentar |
Antivirusni | Icloadnt | Serv95 | prosječno |
Apvxdwin | Icmon | Smc | avguard |
ATRACK | Icsupp95 | SMCSERVICE | jahači |
Autodown | Icsuppnt | frka | avscan |
Avconsol | Iface | Sfinga | čuvargui |
Ave32 | Iomon98 | Pomesti95 | nod32krn |
Prosj.ctrl | Jedi | SYMPROXYSVC | nod32kui |
Avkserv | Zaključavanje2000 | Tbscan | skeniranje školjki |
Avnt | osmatračnica | Tca | clamTray |
prosj | Luall | Tds2-98 | clamWin |
Avp32 | mcafee | Tds2-Nt | freshclam |
Avpcc | Moolive | TermiNET | oladin |
Avpdos32 | MPftray | Vet95 | sigtool |
Avpm | N32scanw | Vettray | w9xpopen |
Avptc32 | NAVAPSVC | Vscan40 | Zatvoriti |
Avpupd | NAVAPW32 | Vsecomr | cmgrdijanski |
Određeno32 | NAVLU32 | Vshwin32 | alogserv |
AVSYNMGR | Navnt | Vsstat | mcshield |
Avwin95 | NAVRUNR | Webscanx | vshwin32 |
Avwupd32 | Navw32 | WEBTRAP | avconsol |
Blackd | Navwnt | Wfindv32 | vsstat |
Crni led | NeoWatch | ZoneAlarm | avsynmgr |
Cfiadmin | NISSERV | ZAKLJUČAVANJE2000 | avcmd |
Cfiaudit | Nisum | SPAŠAVANJE32 | avconfig |
Cfinet | Nglavni | LUCOMSERVER | licmgr |
Cfinet32 | Normist | prosj.cc | rasporediti |
Kandža 95 | NORTON | prosj.cc | preupd |
Pandža95cf | Nadogradnja | avgamsvr | MsMpEng |
čistač | Nvc95 | avgupsvc | MSASCui |
Čistač3 | predstraža | prosj | Avira.Systray |
Defwatch | Padmin | prosj.cc32 | |
Dvp95 | Pavcl | prosj.serv |
- Samouništenje
- Učitavanje podataka iz navedenog manifesta resursa
- Kopiranje datoteke duž staze %Temp%tmpG[trenutni datum i vrijeme u milisekundama].tmp
Zanimljivo, identična funkcija prisutna je u zlonamjernom softveru AgentTesla. - Funkcionalnost crva
Zlonamjerni softver prima popis prijenosnih medija. Kopija zlonamjernog softvera stvara se u korijenu sustava medijskih datoteka s nazivom Sys.exe. Automatsko pokretanje implementirano je pomoću datoteke autorun.inf.
Profil napadača
Tijekom analize komandnog centra bilo je moguće utvrditi e-mail i nadimak programera - Razer, aka Brwa, Brwa65, HiDDen PerSOn, 404 Coder. Zatim smo na YouTubeu pronašli zanimljiv video koji demonstrira rad s graditeljem.
To je omogućilo pronalaženje originalnog razvojnog kanala.
Postalo je jasno da ima iskustva u pisanju kriptografa. Tu su i poveznice na stranice na društvenim mrežama, kao i pravo ime autora. Ispostavilo se da je stanovnik Iraka.
Ovako navodno izgleda 404 Keylogger programer. Fotografija s njegovog osobnog Facebook profila.
CERT Group-IB je najavio novu prijetnju - 404 Keylogger - centar za XNUMX-satno praćenje i odgovor na cyber prijetnje (SOC) u Bahreinu.
Izvor: www.habr.com