Az elmúlt években a mobil trójaiak aktívan felváltották a személyi számítógépek trójai programjait, így az új kártevők megjelenése a jó öreg „autókban”, és ezek aktív használata a kiberbűnözők által, bár kellemetlen, de még mindig esemény. A közelmúltban a CERT Group-IB non-stop információbiztonsági incidensekre reagáló központja egy szokatlan adathalász e-mailt észlelt, amely a Keylogger és a PasswordStealer funkcióit ötvöző új PC-kártevőt rejtett. Az elemzők figyelmét arra hívták fel, hogyan került a kémprogram a felhasználó gépére – egy népszerű hangüzenet segítségével. Ilja Pomerancev, a CERT Group-IB malware-elemző szakértője elmagyarázta, hogyan működik a kártevő, miért veszélyes, sőt, a távoli Irakban találta meg alkotóját.
Szóval, menjünk sorban. Egy ilyen levél csatolmány leple alatt tartalmazott egy képet, amelyre kattintva a felhasználó az oldalra került. cdn.discordapp.com, és onnan letöltöttek egy rosszindulatú fájlt.
A Discord, egy ingyenes hang- és szöveges üzenetküldő használata meglehetősen szokatlan. Általában más azonnali üzenetküldőket vagy közösségi hálózatokat használnak erre a célra.
A részletesebb elemzés során egy rosszindulatú programcsaládot azonosítottak. Kiderült, hogy újonc a rosszindulatú programok piacán - 404 Keylogger.
Az első hirdetést egy keylogger eladásáról adták fel hackfórumok felhasználó által a „404 Coder” becenév alatt augusztus 8-án.
Az üzlet domainjét nemrég – 7. szeptember 2019-én – regisztrálták.
Ahogy a fejlesztők mondják a weboldalon 404projekt[.]xyz, 404 egy olyan eszköz, amelynek célja, hogy segítsen a vállalatoknak megismerni ügyfeleik tevékenységét (engedélyükkel), vagy azoknak, akik meg akarják védeni binárisukat a visszafejtéstől. Ha előre tekintünk, mondjuk ezt az utolsó feladattal 404 biztosan nem bírja.
Úgy döntöttünk, hogy megfordítjuk az egyik fájlt, és megnézzük, mi a „BEST SMART KEYLOGGER”.
Malware ökoszisztéma
1. betöltő (AtillaCrypter)
A forrásfájl a következővel védett EaxObfuscator és kétlépcsős betöltést hajt végre AtProtect az erőforrások részből. A VirusTotalon talált többi minta elemzése során kiderült, hogy ezt a szakaszt nem maga a fejlesztő biztosította, hanem ügyfele adta hozzá. Később megállapították, hogy ez a rendszerbetöltő AtillaCrypter.
Bootloader 2 (AtProtect)
Valójában ez a betöltő a rosszindulatú program szerves része, és a fejlesztő szándéka szerint fel kell vennie az ellenőrző elemzés funkcióját.
A gyakorlatban azonban a védelmi mechanizmusok rendkívül primitívek, és rendszereink sikeresen észlelik ezt a kártevőt.
A fő modul betöltése a segítségével történik Franchy ShellCode különböző verziók. Nem zárjuk ki azonban, hogy más lehetőségek is használhatók lettek volna, pl. RunPE.
Konfigurációs fájl
Konszolidáció a rendszerben
A rendszerben való konszolidációt a bootloader biztosítja AtProtect, ha a megfelelő jelző be van állítva.
- A fájl az útvonal mentén másolásra kerül %AppData%GFqaakZpzwm.exe.
- A fájl létrejön %AppData%GFqaakWinDriv.url, elindítása Zpzwm.exe.
- A szálban HKCUSoftwareMicrosoftWindowsCurrentVersionRun indítókulcs jön létre WinDriv.url.
Interakció a C&C-vel
Loader AtProtect
Ha a megfelelő jelző van jelen, a rosszindulatú program rejtett folyamatot indíthat el ieexplorer és kövesse a megadott hivatkozást, hogy értesítse a szervert a sikeres fertőzésről.
DataStealer
Az alkalmazott módszertől függetlenül a hálózati kommunikáció az áldozat külső IP-címének megszerzésével kezdődik az erőforrás használatával [http]://checkip[.]dyndns[.]org/.
User-Agent: Mozilla/4.0 (kompatibilis; MSIE 6.0; Windows NT 5.2; .NET CLR1.0.3705;)
Az üzenet általános szerkezete ugyanaz. A fejléc jelen van
|——- 404 Keylogger — {Típus} ——-|Ahol {típus} megfelel a továbbított információ típusának.
A következő információk találhatók a rendszerről:
_______ + ÁLDOZATINFORMÁCIÓ + _______
IP: {Külső IP}
Tulajdonos neve: {Computer name}
Operációs rendszer neve: {OS név}
OS verzió: {OS Version}
OS Platform: {Platform}
RAM mérete: {RAM mérete}
______________________________
És végül a továbbított adatok.
SMTP
A levél tárgya a következő: 404 K | {Üzenet típusa} | Ügyfél neve: {Username}.
Érdekes módon leveleket kézbesíteni az ügyfélnek 404 Keylogger A fejlesztők SMTP szerverét használják.
Ez lehetővé tette néhány ügyfél azonosítását, valamint az egyik fejlesztő e-mail-címét.
FTP
Ennek a módszernek a használatakor az összegyűjtött információ egy fájlba kerül, és onnan azonnal kiolvasható.
A művelet mögött meghúzódó logika nem teljesen világos, de egy további műterméket hoz létre a viselkedési szabályok írásához.
%HOMEDRIVE%%HOMEPATH%DocumentsA{Önleges szám}.txt
pastebin
Az elemzés időpontjában ezt a módszert csak ellopott jelszavak átvitelére használják. Ráadásul nem az első kettő alternatívájaként, hanem párhuzamosan használják. A feltétel a „Vavaa”-val egyenlő konstans értéke. Feltehetően ez az ügyfél neve.
Az interakció a https protokollon keresztül történik az API-n keresztül pastebin. Jelentése api_paste_private jelentése PASTE_UNLISTED, amely tiltja az ilyen oldalak keresését pastebin.
Titkosítási algoritmusok
Fájl lekérése az erőforrásokból
A hasznos adatot a rendszertöltő erőforrásai tárolják AtProtect Bitmap képek formájában. A kivonás több szakaszban történik:
- A képből egy bájttömb kerül kivonásra. Minden képpont 3 bájtos sorozatként kezeli BGR sorrendben. Kibontás után a tömb első 4 bájtja tárolja az üzenet hosszát, a továbbiak pedig magát az üzenetet.
- A kulcs kiszámítva. Ehhez az MD5 a jelszóként megadott „ZpzwmjMJyfTNiRalKVrcSkxCN” értékből kerül kiszámításra. A kapott hash-t kétszer írják le.
- A visszafejtés az AES algoritmussal történik EKB módban.
Rosszindulatú funkciók
Downloader
A rendszerbetöltőben implementálva AtProtect.
- Kapcsolatfelvétel útján [activelink-repalce] A szerver állapotát kérik annak megerősítésére, hogy készen áll a fájl kiszolgálására. A szervernek vissza kell térnie "TOVÁBB".
- Referenciaként [letöltési link-csere] A rakomány letöltődik.
- -Val FranchyShellcode a hasznos terhet a folyamatba fecskendezik [inj-csere].
A tartományelemzés során 404projekt[.]xyz további példányokat azonosítottunk a VirusTotalon 404 Keylogger, valamint többféle rakodógép.
Hagyományosan két típusra osztják őket:
- A letöltés az erőforrásból történik 404projekt[.]xyz.
Az adatok Base64 kódolásúak és AES titkosításúak. - Ez az opció több szakaszból áll, és valószínűleg rendszerbetöltővel együtt használatos AtProtect.
- Az első szakaszban az adatok betöltése innen történik pastebin és a funkció segítségével dekódoljuk HexToByte.
- A második szakaszban a terhelés forrása a 404projekt[.]xyz. A kitömörítési és dekódolási funkciók azonban hasonlóak a DataStealerben találhatóakhoz. Valószínűleg eredetileg a rendszerbetöltő funkciót a fő modulban valósították meg.
- Ebben a szakaszban a hasznos teher már az erőforrás-jegyzékben van tömörített formában. Hasonló extrakciós funkciókat találtunk a fő modulban is.
Az elemzett fájlok között letöltőket találtunk njRat, SpyGate és más patkányok.
Keylogger
Naplóküldési idő: 30 perc.
Minden karakter támogatott. A speciális karakterek megszöknek. A BackSpace és a Delete billentyűk feldolgozása folyamatban van. Kis-nagybetű érzékeny.
ClipboardLogger
Naplóküldési idő: 30 perc.
Puffer lekérdezési periódus: 0,1 másodperc.
Megvalósított link kilépés.
ScreenLogger
Naplóküldési idő: 60 perc.
A képernyőképeket a rendszer menti %HOMEDRIVE%%HOMEPATH%Documents404k404pic.png.
A mappa elküldése után 404k törlésre kerül.
PasswordStealer
Браузеры | Levelező kliensek | FTP kliensek |
---|---|---|
króm | Outlook | FileZilla |
Firefox | Thunderbird | |
SeaMonkey | foxmail | |
Icedragon | ||
Sápadt Hold | ||
cyberfox | ||
króm | ||
BraveBrowser | ||
QQBrowser | ||
IridiumBrowser | ||
XvastBrowser | ||
Chedot | ||
360 Böngésző | ||
ComodoDragon | ||
360 Chrome | ||
SuperBird | ||
CentBrowser | ||
GhostBrowser | ||
IronBrowser | ||
Króm | ||
Vivaldi | ||
SlimjetBrowser | ||
orbitum | ||
CocCoc | ||
Zseblámpa | ||
UCBrowser | ||
EpicBrowser | ||
BliskBrowser | ||
Opera |
Ellenállás a dinamikus elemzéshez
- Annak ellenőrzése, hogy egy folyamat elemzés alatt áll-e
Folyamatkereséssel végezve Feladat, ProcessHacker, procexp64, procexp, procmon. Ha legalább egyet talál, a rosszindulatú program kilép.
- Annak ellenőrzése, hogy virtuális környezetben van-e
Folyamatkereséssel végezve vmtoolsd, VGAuthService, vmacthlp, VBoxService, VBoxTray. Ha legalább egyet talál, a rosszindulatú program kilép.
- Elalvás 5 másodpercre
- Különböző típusú párbeszédpanelek bemutatása
Egyes homokozók megkerülésére használható.
- UAC megkerülése
A rendszerleíró kulcs szerkesztésével hajtják végre EnableLUA a Csoportházirend-beállításokban.
- Alkalmazza a „Rejtett” attribútumot az aktuális fájlra.
- Lehetőség az aktuális fájl törlésére.
Inaktív funkciók
A bootloader és a fő modul elemzése során olyan funkciókat találtak, amelyek további funkcionalitásért feleltek, de ezeket sehol nem használják. Ennek valószínűleg az az oka, hogy a kártevő még fejlesztés alatt áll, és hamarosan a funkcionalitás is bővül.
Loader AtProtect
Találtak egy funkciót, amely a betöltésért és a folyamatba való befecskendezésért felelős msiexec.exe tetszőleges modul.
DataStealer
- Konszolidáció a rendszerben
- Kitömörítési és visszafejtési funkciók
Valószínűleg hamarosan megvalósul az adattitkosítás a hálózati kommunikáció során. - A víruskereső folyamatok leállítása
zlclient | Dvp95_0 | Pavsched | avgserv9 |
egui | Ecengine | Pavw | avgserv9schedapp |
bdagent | Esafe | PCCIOMON | avgemc |
npfmsg | Espwatch | PCCMAIN | ashwebsv |
olydbg | F-Agnt95 | Pccwin98 | ashdisp |
anubis | Findvir | Pcfwallicon | ashmaisv |
wireshark | Fprot | Persfw | ashserv |
avastui | F-Prot | POP3TRAP | aswUpdSv |
_Avp32 | F-Prot95 | PVIEW95 | symwsc |
vsmon | Fp-Win | rav7 | norton |
mbam | Frw | Rav7win | Norton Auto-Protect |
kulcscsavaró | F-Stopw | Mentés | norton_av |
_Avpcc | Iamapp | Safeweb | nortonav |
_Avpm | Iamserv | Szkennelés32 | ccsetmgr |
Ackwin32 | Ibmasn | Szkennelés95 | ccevtmgr |
Előőrs | Ibmavsp | Scanpm | avadmin |
Anti-trójai | Icload95 | Scrscan | avcenter |
AntiVir | Icloadnt | Serv95 | átl |
Apvxdwin | Icmon | Smc | avguard |
EGY PÁLYA | Icsupp95 | SMCSERVICE | avnotify |
Automatikus leállítás | Icsuppnt | Horkant | avscan |
Avconsol | Szembesülök | Szfinksz | guardgui |
Ave32 | Iomon98 | Sweep95 | nod32krn |
Avgctrl | Jedi | SYMPROXYSVC | nod32kui |
Avkserv | Lezárás 2000 | Tbscan | kagyló |
Avnt | Vigyázz | Tca | kagylóTálca |
Avp | Luall | Tds2-98 | clamWin |
Avp32 | mcafee | Tds2-Nt | freshclam |
Avpcc | Moolive | TermiNET | oladdin |
Avpdos32 | MPftray | Vet95 | jelzőeszköz |
Avpm | N32scanw | Vettray | w9xpopen |
Avptc32 | NAVAPSVC | Vscan40 | Bezárás |
Avpupd | NAVAPW32 | Vsecomr | cmgrdian |
Avsched32 | NAVLU32 | Vshwin32 | alogserv |
AVSYNMGR | Navnt | Vsstat | mcshield |
Avwin95 | NAVRUNR | Webscanx | vshwin32 |
Avwupd32 | Navw32 | WEBTRAP | avconsol |
Blackd | Navwnt | Wfindv32 | vsstat |
Fekete jég | NeoWatch | ZoneAlarm | avsynmgr |
Cfiadmin | NISSERV | LOCKDOWN 2000 | avcmd |
Cfiaudit | Nisum | MENTÉS32 | avconfig |
Cfinet | Nmain | LUCOMSERVER | licmgr |
Cfinet32 | Normista | avgcc | sched |
Claw95 | NORTON | avgcc | preupd |
Claw95cf | Frissítés | avgamsvr | MsMpEng |
tisztító | Nvc95 | avgupsvc | MSASCui |
Tisztító3 | Előőrs | avgw | Avira.Systray |
Defwatch | Padmin | avgcc32 | |
Dvp95 | Pavcl | avgserv |
- önpusztítás
- Adatok betöltése a megadott erőforrás-jegyzékből
- Fájl másolása egy útvonal mentén %Temp%tmpG[Aktuális dátum és idő ezredmásodpercben].tmp
Érdekes módon az AgentTesla rosszindulatú programban is ugyanaz a funkció található. - Féreg funkció
A rosszindulatú program megkapja a cserélhető adathordozók listáját. A rosszindulatú program másolata létrejön a médiafájlrendszer gyökerében a névvel Sys.exe. Az automatikus futtatás egy fájl segítségével valósul meg autorun.inf.
Támadó profil
A parancsközpont elemzése során sikerült megállapítani a fejlesztő e-mail címét és becenevét - Razer, más néven Brwa, Brwa65, HiDDen PerSON, 404 Coder. Ezután találtunk egy érdekes videót a YouTube-on, amely bemutatja az építtetővel való együttműködést.
Ez lehetővé tette az eredeti fejlesztői csatorna megtalálását.
Világossá vált, hogy van tapasztalata kriptográfusok írásában. Vannak linkek is a közösségi hálózatok oldalaira, valamint a szerző valódi neve. Kiderült, hogy iraki lakos.
Állítólag így néz ki egy 404 Keylogger fejlesztő. Fotó a személyes Facebook profiljáról.
A CERT Group-IB új fenyegetést jelentett be – a 404 Keyloggert – egy XNUMX órás megfigyelő és reagáló központot a kiberfenyegetésekre (SOC) Bahreinben.
Forrás: will.com