Nan dènye ane yo, trwayen mobil yo te aktivman ranplase trwayen pou òdinatè pèsonèl, kidonk aparisyon nouvo malveyan pou bon ansyen "machin yo" ak itilizasyon aktif yo pa sibèrkriminèl, byenke dezagreyab, se toujou yon evènman. Dènyèman, sant repons pou ensidan sekirite enfòmasyon CERT Group-IB 24/7 detekte yon imèl èskrokri ki pa nòmal ki te kache yon nouvo malveyan PC ki konbine fonksyon Keylogger ak PasswordStealer. Atansyon analis yo te atire sou fason espyon yo te rive sou machin itilizatè a - lè l sèvi avèk yon mesaje vwa popilè. Ilya Pomerantsev, yon espesyalis analiz malveyan nan CERT Group-IB, eksplike kijan malveyan an fonksyone, poukisa li danjere, e menm jwenn kreyatè li nan byen lwen Irak.
Se konsa, ann ale nan lòd. Anba laparans yon atachman, yon lèt konsa te gen yon foto, lè w klike sou ki itilizatè a te mennen sou sit la. cdn.discordapp.com, epi yo te telechaje yon dosye move soti nan la.
Sèvi ak Discord, yon mesaje vwa ak tèks gratis, se byen estraòdinè. Tipikman, lòt mesaje enstantane oswa rezo sosyal yo itilize pou rezon sa yo.
Pandan yon analiz pi detaye, yo te idantifye yon fanmi malveyan. Li te tounen yon fèk vini nan mache a malveyan - 404 kelodje.
Premye reklam pou vann yon kelodje te afiche sou Hackforums pa itilizatè anba tinon "404 Coder" sou Out 8.
Domèn magazen an te anrejistre byen dènyèman - sou 7 septanm 2019.
Kòm devlopè yo di sou sit entènèt la 404pwojè[.]xyz, 404 se yon zouti ki fèt pou ede konpayi yo aprann sou aktivite kliyan yo (ak pèmisyon yo) oswa pou moun ki vle pwoteje binè yo kont jeni ranvèse. Gade pi devan, an n di ke ak dènye travay la 404 definitivman pa fè fas.
Nou deside ranvèse youn nan fichye yo epi tcheke sa "BEST SMART KEYLOGGER" ye.
Ekosistèm malveyan
Chargeur 1 (AtillaCrypter)
Fichye sous la pwoteje lè l sèvi avèk EaxObfuscator epi fè chajman de etap AtProtect soti nan seksyon resous yo. Pandan analiz la nan lòt echantiyon yo te jwenn sou VirusTotal, li te vin klè ke etap sa a pa te bay pa pwomotè a tèt li, men li te ajoute pa kliyan li. Li te pita detèmine ke bootloader sa a te AtillaCrypter.
Bootloader 2 (AtProtect)
An reyalite, loader sa a se yon pati entegral nan malveyan an epi, dapre entansyon pwomotè a, yo ta dwe pran sou fonksyonalite pou kontrekare analiz.
Sepandan, nan pratik, mekanis pwoteksyon yo trè primitif, ak sistèm nou yo avèk siksè detekte malveyan sa a.
Modil prensipal la chaje lè l sèvi avèk Franchy ShellCode diferan vèsyon. Sepandan, nou pa eskli ke lòt opsyon te kapab itilize, pou egzanp, RunPE.
Fichye konfigirasyon
Konsolidasyon nan sistèm nan
Konsolidasyon nan sistèm lan asire pa bootloader la AtProtect, si yo mete drapo ki koresponn lan.
- Fichye a kopye sou chemen an %AppData%GFqaakZpzwm.exe.
- Fichye a kreye %AppData%GFqaakWinDriv.url, lanse Zpzwm.exe.
- Nan fil la HKCUSoftwareMicrosoftWindowsCurrentVersionRun se yon kle demaraj kreye WinDriv.url.
Entèaksyon ak C&C
Loader AtProtect
Si drapo apwopriye a prezan, malveyan an ka lanse yon pwosesis kache eksploratè epi swiv lyen espesifye a pou notifye sèvè a sou enfeksyon siksè.
DataStealer
Kèlkeswa metòd yo itilize a, kominikasyon rezo a kòmanse ak jwenn IP ekstèn viktim nan lè l sèvi avèk resous la [http]://checkip[.]dyndns[.]org/.
Itilizatè-Ajan: Mozilla/4.0 (konpatib; MSIE 6.0; Windows NT 5.2; .NET CLR1.0.3705;)
Estrikti jeneral mesaj la se menm bagay la. Header prezan
|——- 404 Keylogger — {Type} ——-|kote {kalite} koresponn ak kalite enfòmasyon yo transmèt.
Sa ki anba la a se enfòmasyon sou sistèm nan:
_______ + ENFO VIKTIM + _______
IP: {IP ekstèn}
Non pwopriyetè: {Non òdinatè}
Non OS: {Non OS}
OS vèsyon: {OS Version}
OS platfòm: {Platfòm}
Gwosè RAM: {gwosè RAM}
______________________________
Epi finalman, done yo transmèt.
Smp
Sijè lèt la se jan sa a: 404 K | { Kalite Mesaj} | Non Kliyan: {Itilizatè}.
Enteresan, yo delivre lèt bay kliyan an 404 kelodje Yo itilize sèvè SMTP devlopè yo.
Sa a te fè li posib yo idantifye kèk kliyan, osi byen ke imel la nan youn nan devlopè yo.
Ftp
Lè w ap itilize metòd sa a, enfòmasyon yo kolekte yo sove nan yon dosye epi imedyatman li soti nan la.
Lojik ki dèyè aksyon sa a pa totalman klè, men li kreye yon lòt bagay pou ekri règ konpòtman yo.
%HOMEDRIVE%%HOMEPATH%DocumentsA{Nimewo abitrè}.txt
Pastebin
Nan moman analiz la, metòd sa a itilize sèlman pou transfere modpas yo vòlè li. Anplis, li pa itilize kòm yon altènativ a de premye yo, men an paralèl. Kondisyon an se valè konstan ki egal a "Vavaa". Sipoze sa a se non kliyan an.
Entèraksyon fèt atravè https pwotokòl la atravè API a pastebin... Valè api_paste_private egal PASTE_UNLISED, ki entèdi chèche paj sa yo nan pastebin.
Algoritm chifreman
Rekipere yon dosye nan resous yo
Se chaj la ki estoke nan resous bootloader AtProtect nan fòm imaj Bitmap. Ekstraksyon fèt nan plizyè etap:
- Yon etalaj de bytes ekstrè soti nan imaj la. Chak pixel trete kòm yon sekans 3 bytes nan lòd BGR. Apre ekstraksyon, premye 4 octets nan etalaj la estoke longè mesaj la, sa ki vin apre yo estoke mesaj la tèt li.
- Kle a kalkile. Pou fè sa, MD5 kalkile apati valè "ZpzwmjMJyfTNiRalKVrcSkxCN" ki espesifye kòm modpas la. Hash ki kapab lakòz la ekri de fwa.
- Dekripte fèt lè l sèvi avèk algorithm AES nan mòd ECB.
Fonksyonalite move
Downloader
Aplike nan bootloader la AtProtect.
- Lè w kontakte [activelink-repalce] Yo mande estati sèvè a pou konfime ke li pare pou sèvi fichye a. Sèvè a ta dwe retounen "SOU".
- Pa referans [downloadlink-ranplase] Chaj la telechaje.
- Avèk FranchyShellcode se chaj la sou fòm piki nan pwosesis la [inj-ranplase].
Pandan analiz domèn 404pwojè[.]xyz lòt ka yo te idantifye sou VirusTotal 404 kelodje, osi byen ke plizyè kalite chajè.
Konvansyonèl, yo divize an de kalite:
- Telechaje se te pote soti nan resous la 404pwojè[.]xyz.
Done yo kode Base64 ak AES kode. - Opsyon sa a konsiste de plizyè etap epi li gen plis chans pou yo itilize ansanm ak yon bootloader AtProtect.
- Nan premye etap la, done yo chaje soti nan pastebin ak dekode lè l sèvi avèk fonksyon an HexToByte.
- Nan dezyèm etap la, sous la nan loading se la 404pwojè[.]xyz. Sepandan, fonksyon dekonpresyon ak dekodaj yo sanble ak sa yo jwenn nan DataStealer. Li te pwobableman okòmansman te planifye pou aplike fonksyonalite bootloader nan modil prensipal la.
- Nan etap sa a, chaj la deja nan manifest resous la nan yon fòm konprese. Fonksyon ekstraksyon menm jan yo te jwenn tou nan modil prensipal la.
Downloaders yo te jwenn nan mitan dosye yo analize njRat, SpyGate ak lòt RAT.
Kelodje
Peryòd voye boutèy la: 30 minit.
Tout karaktè yo sipòte. Karaktè espesyal yo chape. Gen pwosesis pou kle yo BackSpace ak Delete. Ka sansib.
ClipboardLogger
Peryòd voye boutèy la: 30 minit.
Peryòd biwo vòt tanpon: 0,1 segonn.
Aplike lyen chape.
ScreenLogger
Peryòd voye boutèy la: 60 minit.
Ekran yo sove nan %HOMEDRIVE%%HOMEPATH%Documents404k404pic.png.
Apre voye katab la 404k se efase.
PasswordStealer
| Navigatè | Kliyan lapòs | Kliyan FTP |
|---|---|---|
| Chrome | pespektiv | FileZilla |
| Firefox | Tonèr | |
| SeaMonkey | Foxmail | |
| icedragon | ||
| PaleMoon | ||
| Cyberfox | ||
| Chrome | ||
| BraveBrowser | ||
| QQBrowser | ||
| IridiumBrowser | ||
| XvastBrowser | ||
| Chedot | ||
| 360 Navigatè | ||
| ComodoDragon | ||
| 360Chrome | ||
| SuperBird | ||
| CentBrowser | ||
| GhostBrowser | ||
| IronBrowser | ||
| CHROMIUM | ||
| Vivaldi | ||
| SlimjetBrowser | ||
| Bitbit | ||
| CocCoc | ||
| Torch | ||
| UCBrowser | ||
| EpicBrowser | ||
| BliskBrowser | ||
| Opera |
Kontreksyon nan analiz dinamik
- Tcheke si yon pwosesis se anba analiz
Te pote soti lè l sèvi avèk rechèch pwosesis taskmgr, ProcessHacker, procexp64, procexp, prokmon. Si yo jwenn omwen youn, malveyan an soti.
- Tcheke si ou nan yon anviwònman vityèl
Te pote soti lè l sèvi avèk rechèch pwosesis vmtoolsd, VGAuthService, vmachlp, VBoxService, VBoxTray. Si yo jwenn omwen youn, malveyan an soti.
- Tonbe dòmi pou 5 segonn
- Demonstrasyon diferan kalite bwat dyalòg
Èske yo ka itilize kontoune kèk bwat sab.
- Bypass UAC
Fè pa modifye kle rejis la EnableLUA nan anviwònman Règleman Gwoup la.
- Aplike atribi "Hidden" nan dosye aktyèl la.
- Kapasite pou efase dosye aktyèl la.
Karakteristik inaktif
Pandan analiz bootloader la ak modil prensipal la, yo te jwenn fonksyon ki responsab pou fonksyonalite adisyonèl, men yo pa itilize okenn kote. Sa a se pwobableman akòz lefèt ke malveyan an toujou nan devlopman ak fonksyonalite a pral elaji byento.
Loader AtProtect
Yo te jwenn yon fonksyon ki responsab pou chaje ak enjekte nan pwosesis la msiexec.exe modil abitrè.
DataStealer
- Konsolidasyon nan sistèm nan
- Fonksyon dekonpresyon ak dechifre
Li posib ke chifreman done pandan kominikasyon rezo a pral byento aplike. - Mete fen nan pwosesis antivirus
| zlclient | Dvp95_0 | Pavsched | avgserv9 |
| egui | Ecengine | Pavw | avgserv9schedapp |
| bdagent | Esafe | PCCIOMON | avgemc |
| npfmsg | Espwatch | PCCMAIN | ashwebsv |
| olydbg | F-Agnt95 | Pccwin98 | ashdisp |
| anubi | Findvir | Pcfwallicon | ashmaisv |
| wirèychark | Fprot | Persfw | ashserv |
| avastui | F-Prot | POP3TRAP | aswUpdSv |
| _Avp32 | F-Prot95 | PVIEW95 | symwsc |
| vsmon | Fp-Genyen | Rav7 | Norton |
| mbam | Frw | Rav7win | Norton Auto-Protect |
| keyscrambler | F-Stopw | Delivre | norton_av |
| _Avpcc | Iamapp | Safeweb | nortonav |
| _Avpm | Iamserv | Scan32 | ccsetmgr |
| Akwin32 | Ibmasn | Scan95 | ccevtmgr |
| Pòs | Ibmavsp | Scanpm | avadmin |
| Anti-Trojan | Icload95 | Scrscan | avcenter |
| ANTIVIR | Icloadnt | Serv95 | avgnt |
| Apvxdwin | Icmon | SMC | avgard |
| ATRACK | Icsupp95 | SMCSERVICE | avize |
| Autodown | Icuppnt | Snort | avscan |
| Avconsol | Iface | sfenks | guardgui |
| Ave32 | Iomon98 | bale 95 | nod32krn |
| Avgctrl | Jedi | SYMPROXYSVC | nod32kui |
| Avkserv | Fèmen 2000 | Tbscan | clamscan |
| Avnt | Lookout | Tca | clamTray |
| Avp | Luall | Tds2-98 | clamWin |
| Avp32 | mcafee | Tds2-Nt | freshclam |
| Avpcc | Moolive | TerminNET | oladdin |
| Avpdos32 | MPftray | Vet95 | sigtool |
| Avpm | N32scanw | Vettray | w9xpopen |
| Avptc32 | NAVAPSVC | Vscan40 | Fèmen |
| Avpupd | NAVAPW32 | Vsecomr | cmgrdian |
| Avsched32 | NAVLU32 | Vshwin32 | alogserv |
| AVSYNMGR | Navnt | Vsstat | mcshield |
| Avwin95 | NAVRUNR | Webscanx | vshwin32 |
| Avwupd32 | Navw32 | WEBTRAP | avconsol |
| Blackd | Navwnt | Wfindv32 | vsstat |
| Blackice | NeoWatch | zonealarm | avsynmgr |
| Cfiadmin | NISSERV | FERMOUN2000 | avcmd |
| Cfiaudit | Nisum | SEVWA32 | avconfig |
| Cfinet | Nmain | LUCOMSERVER | licmgr |
| Cfinet32 | Normist | avgcc | pwograme |
| Claw95 | NORTON | avgcc | preupd |
| Claw95cf | Nupgrade | avgamsvr | MsMpEng |
| Cleaner | Nvc95 | avgupsvc | MSASCui |
| Cleaner3 | Pòs | avgw | Avira.Systray |
| Defwatch | Padmin | avgcc32 | |
| Dvp95 | Pavcl | avgserv |
- Oto-destriksyon
- Chaje done ki soti nan manifest resous espesifye a
- Kopye yon dosye sou yon chemen %Temp%tmpG[Dat ak lè aktyèl an milisgond].tmp
Enteresan, yon fonksyon ki idantik prezan nan malveyan AgentTesla. - Fonksyonalite vè k'ap manje kadav
Malveyan an resevwa yon lis medya detachable. Yon kopi malveyan yo kreye nan rasin nan sistèm nan dosye medya ak non an Sys.exe. Autorun aplike lè l sèvi avèk yon dosye autorun.inf.
pwofil atakè
Pandan analiz la nan sant la lòd, li te posib etabli imèl la ak tinon nan pwomotè a - Razer, aka Brwa, Brwa65, HiDDen PerSOn, 404 Coder. Apre sa, nou jwenn yon videyo enteresan sou YouTube ki montre travay ak mason an.
Sa fè li posib pou jwenn chanèl pwomotè orijinal la.
Li te vin klè ke li te gen eksperyans nan ekri kriptograf. Genyen tou lyen ki mennen nan paj sou rezo sosyal yo, osi byen ke non reyèl la nan otè a. Li te tounen yon rezidan nan Irak.
Sa a se sa yon pwomotè 404 kelodje swadizan sanble. Foto ki soti nan pwofil pèsonèl li sou Facebook.
CERT Group-IB te anonse yon nouvo menas - 404 Keylogger - yon siveyans XNUMX èdtan ak sant repons pou menas cyber (SOC) nan Bahrain.
Sous: www.habr.com