Վերջին տարիներին բջջային տրոյականները ակտիվորեն փոխարինում են տրոյականներին անհատական համակարգիչների համար, ուստի հին լավ «մեքենաների» համար նոր չարամիտ ծրագրերի ի հայտ գալը և կիբերհանցագործների կողմից դրանց ակտիվ օգտագործումը, թեև տհաճ, բայց դեռևս իրադարձություն է: Վերջերս CERT Group-IB-ի XNUMX/XNUMX տեղեկատվական անվտանգության միջադեպերի արձագանքման կենտրոնը հայտնաբերել է անսովոր ֆիշինգ էլ. Վերլուծաբանների ուշադրությունը հրավիրվեց այն բանի վրա, թե ինչպես է լրտեսող ծրագիրը հայտնվել օգտատիրոջ մեքենայի վրա՝ օգտագործելով ձայնային հայտնի մեսենջեր: Իլյա ՊոմերանցևCERT Group-IB-ի չարամիտ ծրագրերի վերլուծության մասնագետը բացատրել է, թե ինչպես է աշխատում չարամիտ ծրագիրը, ինչու է այն վտանգավոր և նույնիսկ գտել է իր ստեղծողին հեռավոր Իրաքում:
Այսպիսով, եկեք գնանք հաջորդականությամբ: Հավելվածի քողի տակ նման նամակը պարունակում էր նկար, որի վրա կտտացնելով օգտատերը տեղափոխվեց կայք cdn.discordapp.com, և այնտեղից ներբեռնվել է վնասակար ֆայլ:
Discord-ի՝ ձայնային և տեքստային անվճար մեսենջերի օգտագործումը բավականին անսովոր է: Սովորաբար, այդ նպատակների համար օգտագործվում են այլ ակնթարթային մեսենջերներ կամ սոցիալական ցանցեր:
Ավելի մանրամասն վերլուծության ժամանակ հայտնաբերվել է չարամիտ ծրագրերի ընտանիք: Պարզվեց, որ այն նորեկ է չարամիտ ծրագրերի շուկայում. 404 Keylogger.
Տեղադրվել է keylogger-ի վաճառքի առաջին գովազդը hackforums օգոստոսի 404-ին «8 Coder» մականունով օգտատիրոջ կողմից:
Խանութի տիրույթը գրանցվել է բոլորովին վերջերս՝ 7 թվականի սեպտեմբերի 2019-ին։
Ինչպես ասում են ծրագրավորողները կայքում 404 նախագծեր[.]xyz, 404 գործիք է, որը նախատեսված է ընկերություններին օգնելու իմանալ իրենց հաճախորդների գործունեության մասին (նրանց թույլտվությամբ) կամ նրանց համար, ովքեր ցանկանում են պաշտպանել իրենց երկուականը հակադարձ ճարտարագիտությունից: Առաջ նայելով, ասենք, որ վերջին առաջադրանքով 404 հաստատ չի դիմանում:
Մենք որոշեցինք հակադարձել ֆայլերից մեկը և ստուգել, թե որն է «BEST SMART KEYLOGGER»-ը:
Չարամիտ էկոհամակարգ
Loader 1 (AtillaCrypter)
Աղբյուրի ֆայլը պաշտպանված է օգտագործելով EaxObfuscator և կատարում է երկքայլ բեռնում AtProtect ռեսուրսների բաժնից։ VirusTotal-ում հայտնաբերված այլ նմուշների վերլուծության ժամանակ պարզ դարձավ, որ այս փուլը չի տրամադրվել հենց մշակողի կողմից, այլ ավելացվել է իր հաճախորդի կողմից։ Հետագայում պարզվեց, որ այս բեռնիչը AtillaCrypter է:
Bootloader 2 (AtProtect)
Փաստորեն, այս բեռնիչը չարամիտ ծրագրի անբաժանելի մասն է և, ըստ մշակողի մտադրության, պետք է ստանձնի հակադարձման վերլուծության գործառույթը:
Այնուամենայնիվ, գործնականում պաշտպանության մեխանիզմները չափազանց պարզունակ են, և մեր համակարգերը հաջողությամբ հայտնաբերում են այս չարամիտ ծրագիրը:
Հիմնական մոդուլը բեռնված է օգտագործելով Francchy ShellCode տարբեր տարբերակներ։ Այնուամենայնիվ, մենք չենք բացառում, որ կարող էին օգտագործվել այլ տարբերակներ, օրինակ. RunPE.
Կազմաձևման ֆայլ
Համակարգում համախմբում
Համակարգում համախմբումն ապահովում է bootloader-ը AtProtect, եթե սահմանված է համապատասխան դրոշը։
- Ֆայլը պատճենվում է ճանապարհի երկայնքով %AppData%GFqaakZpzwm.exe.
- Ֆայլը ստեղծվել է %AppData%GFqaakWinDriv.url, գործարկում Zpzwm.exe.
- Թելի մեջ HKCUSoftwareMicrosoftWindowsCurrentVersionRun ստեղծվում է գործարկման բանալին WinDriv.url.
Փոխազդեցություն C&C-ի հետ
Loader AtProtect
Եթե առկա է համապատասխան դրոշակ, ապա չարամիտ ծրագիրը կարող է գործարկել թաքնված գործընթաց հետազոտող և հետևեք նշված հղմանը` սերվերին հաջող վարակվելու մասին ծանուցելու համար:
DataStealer
Անկախ օգտագործված մեթոդից, ցանցային հաղորդակցությունը սկսվում է ռեսուրսի օգտագործմամբ տուժածի արտաքին IP-ն ստանալուց [http]://checkip[.]dyndns[.]org/.
Օգտագործողի գործակալ՝ Mozilla/4.0 (համատեղելի; MSIE 6.0; Windows NT 5.2; .NET CLR1.0.3705;)
Հաղորդագրության ընդհանուր կառուցվածքը նույնն է. Վերնագիր ներկա
|——- 404 Keylogger — {Type} ——-|Որտեղ {տիպ} համապատասխանում է փոխանցվող տեղեկատվության տեսակին:
Համակարգի մասին տեղեկատվությունը հետևյալն է.
_______ + ԶՈՀԵՐԻ ՏԵՂԵԿՈՒԹՅՈՒՆՆԵՐ + _______
IP՝ {Արտաքին IP}
Սեփականատիրոջ անունը՝ {Computer name}
ՕՀ անունը՝ {OS Name}
ՕՀ տարբերակ՝ {OS տարբերակ}
OS PlatForm՝ {Platform}
RAM-ի չափը՝ {RAM size}
______________________________
Եվ վերջապես՝ փոխանցված տվյալները։
SMTP
Նամակի թեման հետևյալն է. 404 Կ | {Հաղորդագրության տեսակը} | Հաճախորդի անունը՝ {Username}.
Հետաքրքիր է, հաճախորդին նամակներ հասցնելը 404 Keylogger Օգտագործվում է մշակողների SMTP սերվերը:
Սա հնարավորություն է տվել բացահայտել որոշ հաճախորդների, ինչպես նաև ծրագրավորողներից մեկի էլ.
FTP
Այս մեթոդն օգտագործելիս հավաքագրված տեղեկատվությունը պահվում է ֆայլում և անմիջապես ընթերցվում այնտեղից:
Այս գործողության տրամաբանությունը լիովին պարզ չէ, բայց դա լրացուցիչ արտեֆակտ է ստեղծում վարքագծի կանոններ գրելու համար:
%HOMEDRIVE%%HOMEPATH%DocumentsA{Կայայական համար}.txt
Pastebin
Վերլուծության պահին այս մեթոդը օգտագործվում է միայն գողացված գաղտնաբառերը փոխանցելու համար: Ընդ որում, այն օգտագործվում է ոչ թե որպես այլընտրանք առաջին երկուսին, այլ զուգահեռաբար։ Պայմանն այն հաստատունի արժեքն է, որը հավասար է «Vavaa»-ին: Ենթադրաբար սա հաճախորդի անունն է։
Փոխազդեցությունը տեղի է ունենում https արձանագրության միջոցով API-ի միջոցով Pastebin. Իմաստը api_paste_private հավասար է PASTE_UNLISTED, որն արգելում է նման էջերի որոնումը Pastebin.
Կոդավորման ալգորիթմներ
Ֆայլի առբերում ռեսուրսներից
Օգտակար բեռը պահվում է bootloader ռեսուրսներում AtProtect Bitmap պատկերների տեսքով: Արդյունահանումն իրականացվում է մի քանի փուլով.
- Պատկերից հանվում է բայթերի զանգված: Յուրաքանչյուր պիքսել դիտարկվում է որպես 3 բայթ հաջորդականություն՝ BGR կարգով: Արդյունահանումից հետո զանգվածի առաջին 4 բայթերը պահպանում են հաղորդագրության երկարությունը, իսկ հաջորդները՝ ինքնին:
- Բանալին հաշվարկված է: Դա անելու համար MD5-ը հաշվարկվում է որպես գաղտնաբառ նշված «ZpzwmjMJyfTNiRalKVrcSkxCN» արժեքից: Ստացված հեշը գրվում է երկու անգամ։
- Ապակոդավորումը կատարվում է օգտագործելով AES ալգորիթմը ECB ռեժիմում:
Վնասակար գործառույթ
downloader
Իրականացված է bootloader-ում AtProtect.
- Կապվելով [activelink-repalce] Սերվերի կարգավիճակը պահանջվում է հաստատել, որ այն պատրաստ է սպասարկել ֆայլը: Սերվերը պետք է վերադառնա "ՎՐԱ".
- Հղումով [ներբեռնել հղումը-փոխարինել] Օգտակար բեռը ներբեռնված է:
- Հետ FranchyShellcode բեռը ներարկվում է գործընթացի մեջ [inj-փոխարինել].
Դոմենի վերլուծության ժամանակ 404 նախագծեր[.]xyz լրացուցիչ դեպքեր են հայտնաբերվել VirusTotal-ում 404 Keylogger, ինչպես նաև մի քանի տեսակի բեռնիչներ։
Պայմանականորեն դրանք բաժանվում են երկու տեսակի.
- Ներբեռնումն իրականացվում է ռեսուրսից 404 նախագծեր[.]xyz.
Տվյալները Base64 կոդավորված են և AES կոդավորված: - Այս տարբերակը բաղկացած է մի քանի փուլից և, ամենայն հավանականությամբ, օգտագործվում է bootloader-ի հետ համատեղ AtProtect.
- Առաջին փուլում տվյալները բեռնվում են Pastebin և վերծանվել՝ օգտագործելով ֆունկցիան HexToByte.
- Երկրորդ փուլում բեռնման աղբյուրը հանդիսանում է 404 նախագծեր[.]xyz. Այնուամենայնիվ, ապասեղմման և վերծանման գործառույթները նման են DataStealer-ում հայտնաբերված գործառույթներին: Հավանաբար, ի սկզբանե պլանավորվում էր իրականացնել bootloader ֆունկցիոնալությունը հիմնական մոդուլում:
- Այս փուլում ծանրաբեռնվածությունն արդեն ռեսուրսի մանիֆեստում է սեղմված ձևով: Նմանատիպ արդյունահանման գործառույթներ հայտնաբերվել են նաև հիմնական մոդուլում:
Վերլուծված ֆայլերի մեջ հայտնաբերվել են ներբեռնիչներ njRat, SpyGate և այլ առնետներ:
Keylogger
Մատյանների ուղարկման ժամկետը՝ 30 րոպե:
Բոլոր կերպարները աջակցվում են: Հատուկ կերպարներից փախել են: Վերամշակում կա BackSpace և Delete ստեղների համար: Գործի զգայուն:
ClipboardLogger
Մատյանների ուղարկման ժամկետը՝ 30 րոպե:
Բուֆերային հարցման ժամանակահատվածը՝ 0,1 վայրկյան:
Իրականացված կապի փախուստը:
ScreenLogger
Մատյանների ուղարկման ժամկետը՝ 60 րոպե:
Սքրինշոթերը պահվում են %HOMEDRIVE%%HOMEPATH%Documents404k404pic.png.
Թղթապանակն ուղարկելուց հետո 404k ջնջված է։
PasswordStealer
| Браузеры | Փոստի հաճախորդներ | FTP հաճախորդներ |
|---|---|---|
| Chrome | Հեռանկար | FileZilla |
| firefox | Thunderbird- ը | |
| SeaMonkey- ն | Foxmail | |
| icedragon | ||
| PaleMoon- ը | ||
| cyberfox | ||
| Chrome | ||
| BraveBrowser | ||
| QQBrowser | ||
| Iridium Browser | ||
| XvastBrowser | ||
| Չեդոտ | ||
| 360 բրաուզեր | ||
| ComodoDragon | ||
| 360 Chrome | ||
| SuperBird | ||
| CentBrowser | ||
| GhostBrowser | ||
| IronBrowser | ||
| Chromium | ||
| Vivaldi | ||
| Slimjet Browser | ||
| Orbitum | ||
| CocCoc | ||
| Ջահ | ||
| UCBrowser | ||
| EpicBrowser | ||
| BliskBrowser | ||
| Opera |
Դինամիկ վերլուծության հակազդեցություն
- Ստուգում, թե արդյոք գործընթացը վերլուծության տակ է
Իրականացվում է գործընթացի որոնման միջոցով առաջադրանք, ProcessHacker, procexp64, procexp, պրոմոն. Եթե գոնե մեկը գտնվի, չարամիտ ծրագիրը դուրս է գալիս:
- Ստուգում, թե արդյոք դուք վիրտուալ միջավայրում եք
Իրականացվում է գործընթացի որոնման միջոցով vmtoolsd, VGAuthService, vmacthlp, VBoxService, VBoxTray. Եթե գոնե մեկը գտնվի, չարամիտ ծրագիրը դուրս է գալիս:
- 5 վայրկյան քնած
- Տարբեր տեսակի երկխոսության տուփերի ցուցադրում
Կարող է օգտագործվել որոշ ավազատուփեր շրջանցելու համար:
- Շրջանցել UAC-ը
Կատարվում է ռեեստրի ստեղնը խմբագրելով EnableLUA Խմբի քաղաքականության կարգավորումներում:
- Կիրառում է «Թաքնված» հատկանիշը ընթացիկ ֆայլի վրա:
- Ընթացիկ ֆայլը ջնջելու ունակություն:
Ոչ ակտիվ գործառույթներ
Բեռնախցիկի և հիմնական մոդուլի վերլուծության ընթացքում հայտնաբերվել են գործառույթներ, որոնք պատասխանատու էին լրացուցիչ ֆունկցիոնալության համար, բայց դրանք ոչ մի տեղ չեն օգտագործվում: Սա, հավանաբար, պայմանավորված է նրանով, որ չարամիտ ծրագիրը դեռ մշակման փուլում է, և ֆունկցիոնալությունը շուտով կընդլայնվի:
Loader AtProtect
Գտնվել է ֆունկցիա, որը պատասխանատու է գործընթացում բեռնելու և ներարկելու համար msiexec.exe կամայական մոդուլ.
DataStealer
- Համակարգում համախմբում
- Ապակոմպրեսիոն և գաղտնազերծման գործառույթներ
Հավանական է, որ ցանցային հաղորդակցության ընթացքում տվյալների կոդավորումը շուտով կիրականացվի: - Հակավիրուսային գործընթացների դադարեցում
| zlclient | Dvp95_0 | Պավշեդ | avgserv9 |
| էգի | Էջինին | Պավվ | avgserv9schedapp |
| bdagent | Էսաֆե | ՊՑԻՈՄՈՆ | agemc |
| npfmsg | Espwatch | PCCMAIN | աշվեբսվ |
| օլիդբգ | F-Agnt95 | Pccwin98 | աշդիսպ |
| Անուբիս | Ֆինդվիր | Pcfwallicon | աշմաիսվ |
| wireshark | Fprot | Persfw | աշսերվ |
| ավաստուի | Զ-պրոտ | POP3TRAP | aswUpdSv |
| _Avp32 | F-Prot95 | PVIEW95 | symwsc |
| vsmon | Fp-Win | Ravxnumx- ը | Norton |
| մբամ | Frw | Rav7win | Norton Auto-Protect |
| keyscrambler | F-Stopw | Փրկել | norton_av |
| _Avpcc | Iamapp | Safeweb | նորտոնավ |
| _Avpm | Iamserv | Սկան 32 | ccsetmgr |
| Ackwin32 | Իբմասն | Սկան 95 | ccevtmgr |
| Ֆորպոստ | Իբմավսպ | Scanpm | ավադմին |
| հակատրոյական | Icload95 | Սքրսկան | avcenter |
| ԱՆՏԻՎԻՐ | Icloadnt | Serv95 | ավգնթ |
| Apvxdwin | Իկմոն | smc | ավգվարդ |
| ATRACK | Icsupp95 | SMCSERVICE | ծանուցել |
| Autodown | Icsuppnt | Snort | ավսկան |
| Ավկոնսոլ | Իֆեյս | Սփինքս | պահակ |
| Պողոտա 32 | Իոմոն98 | Sweep95 | nod32krn |
| Միջն | Jedi | SYMPROXYSVC | nod32kui |
| Ավքսերվ | Արգելափակում2000 | Tbscan | կլաման |
| Ավնտ | Ուշադրություն դարձնել | Tca | clamTray |
| Ավպ | Լուալ | Tds2-98 | clamWin |
| Avp32 | mcafee | Tds2-Nt | թարմ |
| Avpcc | Moolive | TermiNET | օլադդին |
| Ավպդոս32 | MPftray | Vet95 | sigtool |
| Ավ.մ | N32scanw | Վետտրեյ | w9x բացել |
| Avptc32 | NAVAPSVC | Vscan40 | փակել |
| Ավպուպդ | NAVAPW32 | Վսեկոմր | cmgrdian |
| Ավշեդ32 | NAVLU32 | Վշվին32 | alogserv |
| AVSYNMGR | Նավնթ | Vsstat | mcshield |
| Avwin95 | ՆԱՎՐՈՒՆՌ | Webscanx | vshwin32 |
| Avwupd32 | Navw32 | WEBTRAP | avconsol |
| Սև | Նավունտ | Wfindv32 | vsstat |
| Սեւ Սառույց | NeoWatch | Գոտի ահազանգ | avsynmgr |
| Cfiadmin | ՆԻՍՍԵՐՎ | LOCKDOWN2000 | avcmd |
| Cfiaudit | Նիսում | ՓՐԿԵԼ32 | avconfig |
| Cfinet | Nmain | LUCOMSERVER | licmgr |
| Cfinet32 | Նորմիստ | avgcc | պլանավորված |
| Claw95 | NORTON | avgcc | preupd |
| Claw95cf | Նորացում | ավգամսվր | MsMpEng |
| Cleaner | Nvc95 | avgupsvc | MSASCui |
| Մաքրող 3 | Ֆորպոստ | միջին | Avira.Systray |
| Defwatch | Պադմին | avgcc32 | |
| Dvp95 | Պավկլ | avgserv |
- Ինքնաոչնչացում
- Տվյալների բեռնում նշված ռեսուրսի մանիֆեստից
- Ֆայլի պատճենում ճանապարհի երկայնքով %Temp%tmpG[Ընթացիկ ամսաթիվը և ժամը միլիվայրկյաններով].tmp
Հետաքրքիր է, որ նույն ֆունկցիան առկա է AgentTesla չարամիտ ծրագրերում: - Worm ֆունկցիոնալությունը
Չարամիտ ծրագիրը ստանում է շարժական լրատվամիջոցների ցանկ: Չարամիտ ծրագրի պատճենը ստեղծվում է մեդիա ֆայլային համակարգի արմատում՝ անունով Sys.exe. Autorun-ն իրականացվում է ֆայլի միջոցով autorun.inf.
Հարձակվողի պրոֆիլը
Հրամանատարության կենտրոնի վերլուծության ընթացքում հնարավոր եղավ հաստատել մշակողի էլ.փոստը և մականունը՝ Razer, aka Brwa, Brwa65, HiDDen PerSOn, 404 Coder: Հաջորդը, մենք գտանք հետաքրքիր տեսանյութ YouTube-ում, որը ցույց է տալիս շինարարի հետ աշխատելը:
Սա հնարավորություն տվեց գտնել ծրագրավորողի բնօրինակ ալիքը:
Պարզ դարձավ, որ նա կրիպտոգրաֆներ գրելու փորձ ուներ։ Կան նաև սոցիալական ցանցերում էջերի հղումներ, ինչպես նաև հեղինակի իրական անունը։ Պարզվել է, որ նա Իրաքի բնակիչ է։
Ահա թե ինչ տեսք ունի 404 Keylogger ծրագրավորողը: Լուսանկարը՝ ֆեյսբուքյան իր անձնական պրոֆիլից։
CERT Group-IB-ը հայտարարել է նոր սպառնալիքի մասին՝ 404 Keylogger-ը Բահրեյնում կիբերսպառնալիքների XNUMX-ժամյա մոնիտորինգի և արձագանքման կենտրոն է (SOC):
Source: www.habr.com