Keylogger meglepetéssel: a keylogger elemzése és fejlesztőjének deanonja

Az elmúlt években a mobil trójaiak aktívan felváltották a személyi számítógépek trójai programjait, így az új kártevők megjelenése a jó öreg „autókban”, és ezek aktív használata a kiberbűnözők által, bár kellemetlen, de még mindig esemény. A közelmúltban a CERT Group-IB non-stop információbiztonsági incidensekre reagáló központja egy szokatlan adathalász e-mailt észlelt, amely a Keylogger és a PasswordStealer funkcióit ötvöző új PC-kártevőt rejtett. Az elemzők figyelmét arra hívták fel, hogyan került a kémprogram a felhasználó gépére – egy népszerű hangüzenet segítségével. Ilja Pomerancev, a CERT Group-IB malware-elemző szakértője elmagyarázta, hogyan működik a kártevő, miért veszélyes, sőt, a távoli Irakban találta meg alkotóját.

Szóval, menjünk sorban. Egy ilyen levél csatolmány leple alatt tartalmazott egy képet, amelyre kattintva a felhasználó az oldalra került. cdn.discordapp.com, és onnan letöltöttek egy rosszindulatú fájlt.

A Discord, egy ingyenes hang- és szöveges üzenetküldő használata meglehetősen szokatlan. Általában más azonnali üzenetküldőket vagy közösségi hálózatokat használnak erre a célra.

A részletesebb elemzés során egy rosszindulatú programcsaládot azonosítottak. Kiderült, hogy újonc a rosszindulatú programok piacán - 404 Keylogger.

Az első hirdetést egy keylogger eladásáról adták fel hackfórumok felhasználó által a „404 Coder” becenév alatt augusztus 8-án.

Az üzlet domainjét nemrég – 7. szeptember 2019-én – regisztrálták.

Ahogy a fejlesztők mondják a weboldalon 404projekt[.]xyz, 404 egy olyan eszköz, amelynek célja, hogy segítsen a vállalatoknak megismerni ügyfeleik tevékenységét (engedélyükkel), vagy azoknak, akik meg akarják védeni binárisukat a visszafejtéstől. Ha előre tekintünk, mondjuk ezt az utolsó feladattal 404 biztosan nem bírja.

Úgy döntöttünk, hogy megfordítjuk az egyik fájlt, és megnézzük, mi a „BEST SMART KEYLOGGER”.

Malware ökoszisztéma

1. betöltő (AtillaCrypter)

A forrásfájl a következővel védett EaxObfuscator és kétlépcsős betöltést hajt végre AtProtect az erőforrások részből. A VirusTotalon talált többi minta elemzése során kiderült, hogy ezt a szakaszt nem maga a fejlesztő biztosította, hanem ügyfele adta hozzá. Később megállapították, hogy ez a rendszerbetöltő AtillaCrypter.

Bootloader 2 (AtProtect)

Valójában ez a betöltő a rosszindulatú program szerves része, és a fejlesztő szándéka szerint fel kell vennie az ellenőrző elemzés funkcióját.

A gyakorlatban azonban a védelmi mechanizmusok rendkívül primitívek, és rendszereink sikeresen észlelik ezt a kártevőt.

A fő modul betöltése a segítségével történik Franchy ShellCode különböző verziók. Nem zárjuk ki azonban, hogy más lehetőségek is használhatók lettek volna, pl. RunPE.

Konfigurációs fájl

Konszolidáció a rendszerben

A rendszerben való konszolidációt a bootloader biztosítja AtProtect, ha a megfelelő jelző be van állítva.

• A fájl az útvonal mentén másolásra kerül %AppData%GFqaakZpzwm.exe.
• A fájl létrejön %AppData%GFqaakWinDriv.url, elindítása Zpzwm.exe.
• A szálban HKCUSoftwareMicrosoftWindowsCurrentVersionRun indítókulcs jön létre WinDriv.url.

Interakció a C&C-vel

Loader AtProtect

Ha a megfelelő jelző van jelen, a rosszindulatú program rejtett folyamatot indíthat el ieexplorer és kövesse a megadott hivatkozást, hogy értesítse a szervert a sikeres fertőzésről.

DataStealer

Az alkalmazott módszertől függetlenül a hálózati kommunikáció az áldozat külső IP-címének megszerzésével kezdődik az erőforrás használatával [http]://checkip[.]dyndns[.]org/.

User-Agent: Mozilla/4.0 (kompatibilis; MSIE 6.0; Windows NT 5.2; .NET CLR1.0.3705;)

Az üzenet általános szerkezete ugyanaz. A fejléc jelen van
|——- 404 Keylogger — {Típus} ——-|Ahol {típus} megfelel a továbbított információ típusának.
A következő információk találhatók a rendszerről:

_______ + ÁLDOZATINFORMÁCIÓ + _______

IP: {Külső IP}
Tulajdonos neve: {Computer name}
Operációs rendszer neve: {OS név}
OS verzió: {OS Version}
OS Platform: {Platform}
RAM mérete: {RAM mérete}
______________________________

És végül a továbbított adatok.

SMTP

A levél tárgya a következő: 404 K | {Üzenet típusa} | Ügyfél neve: {Username}.

Érdekes módon leveleket kézbesíteni az ügyfélnek 404 Keylogger A fejlesztők SMTP szerverét használják.

Ez lehetővé tette néhány ügyfél azonosítását, valamint az egyik fejlesztő e-mail-címét.

FTP

Ennek a módszernek a használatakor az összegyűjtött információ egy fájlba kerül, és onnan azonnal kiolvasható.

A művelet mögött meghúzódó logika nem teljesen világos, de egy további műterméket hoz létre a viselkedési szabályok írásához.

%HOMEDRIVE%%HOMEPATH%DocumentsA{Önleges szám}.txt

pastebin

Az elemzés időpontjában ezt a módszert csak ellopott jelszavak átvitelére használják. Ráadásul nem az első kettő alternatívájaként, hanem párhuzamosan használják. A feltétel a „Vavaa”-val egyenlő konstans értéke. Feltehetően ez az ügyfél neve.

Az interakció a https protokollon keresztül történik az API-n keresztül pastebin. Jelentése api_paste_private jelentése PASTE_UNLISTED, amely tiltja az ilyen oldalak keresését pastebin.

Titkosítási algoritmusok

Fájl lekérése az erőforrásokból

A hasznos adatot a rendszertöltő erőforrásai tárolják AtProtect Bitmap képek formájában. A kivonás több szakaszban történik:

• A képből egy bájttömb kerül kivonásra. Minden képpont 3 bájtos sorozatként kezeli BGR sorrendben. Kibontás után a tömb első 4 bájtja tárolja az üzenet hosszát, a továbbiak pedig magát az üzenetet.

  

• A kulcs kiszámítva. Ehhez az MD5 a jelszóként megadott „ZpzwmjMJyfTNiRalKVrcSkxCN” értékből kerül kiszámításra. A kapott hash-t kétszer írják le.

  

• A visszafejtés az AES algoritmussal történik EKB módban.

Rosszindulatú funkciók

Downloader

A rendszerbetöltőben implementálva AtProtect.

• Kapcsolatfelvétel útján [activelink-repalce] A szerver állapotát kérik annak megerősítésére, hogy készen áll a fájl kiszolgálására. A szervernek vissza kell térnie "TOVÁBB".
• Referenciaként [letöltési link-csere] A rakomány letöltődik.
• -Val FranchyShellcode a hasznos terhet a folyamatba fecskendezik [inj-csere].

A tartományelemzés során 404projekt[.]xyz további példányokat azonosítottunk a VirusTotalon 404 Keylogger, valamint többféle rakodógép.

Hagyományosan két típusra osztják őket:

1. A letöltés az erőforrásból történik 404projekt[.]xyz.

   
   Az adatok Base64 kódolásúak és AES titkosításúak.

2. Ez az opció több szakaszból áll, és valószínűleg rendszerbetöltővel együtt használatos AtProtect.

• Az első szakaszban az adatok betöltése innen történik pastebin és a funkció segítségével dekódoljuk HexToByte.

  

• A második szakaszban a terhelés forrása a 404projekt[.]xyz. A kitömörítési és dekódolási funkciók azonban hasonlóak a DataStealerben találhatóakhoz. Valószínűleg eredetileg a rendszerbetöltő funkciót a fő modulban valósították meg.

  

• Ebben a szakaszban a hasznos teher már az erőforrás-jegyzékben van tömörített formában. Hasonló extrakciós funkciókat találtunk a fő modulban is.

Az elemzett fájlok között letöltőket találtunk njRat, SpyGate és más patkányok.

Keylogger

Naplóküldési idő: 30 perc.

Minden karakter támogatott. A speciális karakterek megszöknek. A BackSpace és a Delete billentyűk feldolgozása folyamatban van. Kis-nagybetű érzékeny.

ClipboardLogger

Naplóküldési idő: 30 perc.

Puffer lekérdezési periódus: 0,1 másodperc.

Megvalósított link kilépés.

ScreenLogger

Naplóküldési idő: 60 perc.

A képernyőképeket a rendszer menti %HOMEDRIVE%%HOMEPATH%Documents404k404pic.png.

A mappa elküldése után 404k törlésre kerül.

PasswordStealer

Браузеры	Levelező kliensek	FTP kliensek
króm	Outlook	FileZilla
Firefox	Thunderbird
SeaMonkey	foxmail
Icedragon
Sápadt Hold
cyberfox
króm
BraveBrowser
QQBrowser
IridiumBrowser
XvastBrowser
Chedot
360 Böngésző
ComodoDragon
360 Chrome
SuperBird
CentBrowser
GhostBrowser
IronBrowser
Króm
Vivaldi
SlimjetBrowser
orbitum
CocCoc
Zseblámpa
UCBrowser
EpicBrowser
BliskBrowser
Opera

Ellenállás a dinamikus elemzéshez

• Annak ellenőrzése, hogy egy folyamat elemzés alatt áll-e

  Folyamatkereséssel végezve Feladat, ProcessHacker, procexp64, procexp, procmon. Ha legalább egyet talál, a rosszindulatú program kilép.

• Annak ellenőrzése, hogy virtuális környezetben van-e

  Folyamatkereséssel végezve vmtoolsd, VGAuthService, vmacthlp, VBoxService, VBoxTray. Ha legalább egyet talál, a rosszindulatú program kilép.

• Elalvás 5 másodpercre
• Különböző típusú párbeszédpanelek bemutatása

  Egyes homokozók megkerülésére használható.

• UAC megkerülése

  A rendszerleíró kulcs szerkesztésével hajtják végre EnableLUA a Csoportházirend-beállításokban.

• Alkalmazza a „Rejtett” attribútumot az aktuális fájlra.
• Lehetőség az aktuális fájl törlésére.

Inaktív funkciók

A bootloader és a fő modul elemzése során olyan funkciókat találtak, amelyek további funkcionalitásért feleltek, de ezeket sehol nem használják. Ennek valószínűleg az az oka, hogy a kártevő még fejlesztés alatt áll, és hamarosan a funkcionalitás is bővül.

Loader AtProtect

Találtak egy funkciót, amely a betöltésért és a folyamatba való befecskendezésért felelős msiexec.exe tetszőleges modul.

DataStealer

• Konszolidáció a rendszerben

  

• Kitömörítési és visszafejtési funkciók

  
  
  Valószínűleg hamarosan megvalósul az adattitkosítás a hálózati kommunikáció során.

• A víruskereső folyamatok leállítása

zlclient	Dvp95_0	Pavsched	avgserv9
egui	Ecengine	Pavw	avgserv9schedapp
bdagent	Esafe	PCCIOMON	avgemc
npfmsg	Espwatch	PCCMAIN	ashwebsv
olydbg	F-Agnt95	Pccwin98	ashdisp
anubis	Findvir	Pcfwallicon	ashmaisv
wireshark	Fprot	Persfw	ashserv
avastui	F-Prot	POP3TRAP	aswUpdSv
_Avp32	F-Prot95	PVIEW95	symwsc
vsmon	Fp-Win	rav7	norton
mbam	Frw	Rav7win	Norton Auto-Protect
kulcscsavaró	F-Stopw	Mentés	norton_av
_Avpcc	Iamapp	Safeweb	nortonav
_Avpm	Iamserv	Szkennelés32	ccsetmgr
Ackwin32	Ibmasn	Szkennelés95	ccevtmgr
Előőrs	Ibmavsp	Scanpm	avadmin
Anti-trójai	Icload95	Scrscan	avcenter
AntiVir	Icloadnt	Serv95	átl
Apvxdwin	Icmon	Smc	avguard
EGY PÁLYA	Icsupp95	SMCSERVICE	avnotify
Automatikus leállítás	Icsuppnt	Horkant	avscan
Avconsol	Szembesülök	Szfinksz	guardgui
Ave32	Iomon98	Sweep95	nod32krn
Avgctrl	Jedi	SYMPROXYSVC	nod32kui
Avkserv	Lezárás 2000	Tbscan	kagyló
Avnt	Vigyázz	Tca	kagylóTálca
Avp	Luall	Tds2-98	clamWin
Avp32	mcafee	Tds2-Nt	freshclam
Avpcc	Moolive	TermiNET	oladdin
Avpdos32	MPftray	Vet95	jelzőeszköz
Avpm	N32scanw	Vettray	w9xpopen
Avptc32	NAVAPSVC	Vscan40	Bezárás
Avpupd	NAVAPW32	Vsecomr	cmgrdian
Avsched32	NAVLU32	Vshwin32	alogserv
AVSYNMGR	Navnt	Vsstat	mcshield
Avwin95	NAVRUNR	Webscanx	vshwin32
Avwupd32	Navw32	WEBTRAP	avconsol
Blackd	Navwnt	Wfindv32	vsstat
Fekete jég	NeoWatch	ZoneAlarm	avsynmgr
Cfiadmin	NISSERV	LOCKDOWN 2000	avcmd
Cfiaudit	Nisum	MENTÉS32	avconfig
Cfinet	Nmain	LUCOMSERVER	licmgr
Cfinet32	Normista	avgcc	sched
Claw95	NORTON	avgcc	preupd
Claw95cf	Frissítés	avgamsvr	MsMpEng
tisztító	Nvc95	avgupsvc	MSASCui
Tisztító3	Előőrs	avgw	Avira.Systray
Defwatch	Padmin	avgcc32
Dvp95	Pavcl	avgserv

• önpusztítás
• Adatok betöltése a megadott erőforrás-jegyzékből

  

• Fájl másolása egy útvonal mentén %Temp%tmpG[Aktuális dátum és idő ezredmásodpercben].tmp

  
  Érdekes módon az AgentTesla rosszindulatú programban is ugyanaz a funkció található.

• Féreg funkció

  A rosszindulatú program megkapja a cserélhető adathordozók listáját. A rosszindulatú program másolata létrejön a médiafájlrendszer gyökerében a névvel Sys.exe. Az automatikus futtatás egy fájl segítségével valósul meg autorun.inf.

  

Támadó profil

A parancsközpont elemzése során sikerült megállapítani a fejlesztő e-mail címét és becenevét - Razer, más néven Brwa, Brwa65, HiDDen PerSON, 404 Coder. Ezután találtunk egy érdekes videót a YouTube-on, amely bemutatja az építtetővel való együttműködést.

Ez lehetővé tette az eredeti fejlesztői csatorna megtalálását.

Világossá vált, hogy van tapasztalata kriptográfusok írásában. Vannak linkek is a közösségi hálózatok oldalaira, valamint a szerző valódi neve. Kiderült, hogy iraki lakos.

Állítólag így néz ki egy 404 Keylogger fejlesztő. Fotó a személyes Facebook profiljáról.

A CERT Group-IB új fenyegetést jelentett be – a 404 Keyloggert – egy XNUMX órás megfigyelő és reagáló központot a kiberfenyegetésekre (SOC) Bahreinben.

Forrás: will.com