Dalam beberapa tahun terakhir, Trojan seluler telah secara aktif menggantikan Trojan untuk komputer pribadi, sehingga kemunculan malware baru untuk “mobil” lama dan penggunaan aktifnya oleh penjahat dunia maya, meskipun tidak menyenangkan, masih merupakan sebuah peristiwa. Baru-baru ini, pusat respons insiden keamanan informasi XNUMX/XNUMX CERT Group-IB mendeteksi email phishing yang tidak biasa yang menyembunyikan malware PC baru yang menggabungkan fungsi Keylogger dan PasswordStealer. Perhatian analis tertuju pada bagaimana spyware masuk ke mesin pengguna - menggunakan pesan suara yang populer. Ilya Pomerantsev, spesialis analisis malware di CERT Group-IB, menjelaskan cara kerja malware, mengapa berbahaya, dan bahkan menemukan penciptanya di Irak yang jauh.
Jadi, mari kita mulai secara berurutan. Dengan kedok lampiran, surat tersebut berisi gambar, setelah diklik, pengguna dibawa ke situs tersebut cdn.discordapp.com, dan file berbahaya diunduh dari sana.
Menggunakan Discord, pengirim pesan suara dan teks gratis, cukup tidak konvensional. Biasanya, pengirim pesan instan atau jejaring sosial lain digunakan untuk tujuan ini.
Selama analisis yang lebih rinci, sebuah keluarga malware diidentifikasi. Ternyata ini adalah pendatang baru di pasar malware - 404 Pencatat Kunci.
Iklan pertama penjualan keylogger telah diposting hackforum oleh pengguna dengan nama panggilan “404 Coder” pada 8 Agustus.
Domain toko baru saja didaftarkan - pada 7 September 2019.
Seperti yang dikatakan pengembang di situs web 404proyek[.]xyz, 404 adalah alat yang dirancang untuk membantu perusahaan mempelajari aktivitas pelanggan mereka (dengan izin mereka) atau bagi mereka yang ingin melindungi biner mereka dari rekayasa balik. Ke depan, katakanlah dengan tugas terakhir 404 pasti tidak mengatasinya.
Kami memutuskan untuk membalik salah satu file dan memeriksa apa itu “BEST SMART KEYLOGGER”.
Ekosistem perangkat lunak jahat
Pemuat 1 (AtillaCrypter)
File sumber dilindungi menggunakan EaxObfuscator dan melakukan pemuatan dua langkah Di Lindungi dari bagian sumber daya. Selama analisis sampel lain yang ditemukan di VirusTotal, menjadi jelas bahwa tahap ini tidak disediakan oleh pengembangnya sendiri, tetapi ditambahkan oleh kliennya. Belakangan diketahui bahwa bootloader ini adalah AtillaCrypter.
Bootloader 2 (Pada Perlindungan)
Faktanya, pemuat ini merupakan bagian integral dari malware dan, sesuai dengan maksud pengembang, harus berfungsi untuk melawan analisis.
Namun, dalam praktiknya, mekanisme perlindungannya sangat primitif, dan sistem kami berhasil mendeteksi malware ini.
Modul utama dimuat menggunakan Franchy ShellCode versi yang berbeda. Namun, kami tidak mengecualikan bahwa opsi lain dapat digunakan, misalnya, RunPE.
Berkas konfigurasi
Konsolidasi dalam sistem
Konsolidasi dalam sistem dipastikan oleh bootloader Di Lindungi, jika tanda yang sesuai disetel.
- File disalin di sepanjang jalur %AppData%GFqaakZpzwm.exe.
- File dibuat %AppData%GFqaakWinDriv.url, meluncurkan Zpzwm.exe.
- Di utas HKCUSoftwareMicrosoftWindowsCurrentVersionRun kunci startup dibuat WinDriv.url.
Interaksi dengan K&C
Loader DiProteksi
Jika tanda yang sesuai ada, malware dapat meluncurkan proses tersembunyi iexplorer dan ikuti tautan yang ditentukan untuk memberi tahu server tentang infeksi yang berhasil.
Pencuri Data
Terlepas dari metode yang digunakan, komunikasi jaringan dimulai dengan memperoleh IP eksternal korban menggunakan sumber daya [http]://checkip[.]dyndns[.]org/.
Agen Pengguna: Mozilla/4.0 (kompatibel; MSIE 6.0; Windows NT 5.2; .NET CLR1.0.3705;)
Struktur umum pesannya sama. Tajuk hadir
|——- 404 Keylogger — {Jenis} ——-|Dimana {jenis} sesuai dengan jenis informasi yang dikirimkan.
Berikut informasi mengenai sistem:
_______ + INFO KORBAN + _______
IP: {IP Eksternal}
Nama Pemilik: {Nama komputer}
Nama OS: {Nama OS}
Versi OS: {Versi OS}
Platform OS: {Platform}
Ukuran RAM: {ukuran RAM}
______________________________
Dan terakhir, data yang dikirimkan.
SMTP
Pokok suratnya adalah sebagai berikut: 404K | {Jenis Pesan} | Nama Klien: {Nama Pengguna}.
Menariknya, untuk mengantarkan surat ke klien 404 Pencatat Kunci Server SMTP pengembang digunakan.
Hal ini memungkinkan untuk mengidentifikasi beberapa klien, serta email salah satu pengembang.
FTP
Saat menggunakan metode ini, informasi yang dikumpulkan disimpan ke file dan segera dibaca dari sana.
Logika di balik tindakan ini tidak sepenuhnya jelas, namun hal ini menciptakan artefak tambahan untuk menulis aturan perilaku.
%HOMEDRIVE%%HOMEPATH%DocumentsA{Nomor sewenang-wenang}.txt
Pastebin
Pada saat analisis, metode ini hanya digunakan untuk mentransfer kata sandi yang dicuri. Selain itu, ini digunakan bukan sebagai alternatif dari dua yang pertama, tetapi secara paralel. Syaratnya adalah nilai konstanta sama dengan “Vavaa”. Agaknya ini adalah nama klien.
Interaksi terjadi melalui protokol https melalui API pastebin. Berarti api_paste_private sama PASTE_UNLISTED, yang melarang pencarian halaman seperti itu di pastebin.
Algoritma enkripsi
Mengambil file dari sumber daya
Payload disimpan dalam sumber daya bootloader Di Lindungi dalam bentuk gambar Bitmap. Ekstraksi dilakukan dalam beberapa tahap:
- Array byte diekstraksi dari gambar. Setiap piksel diperlakukan sebagai urutan 3 byte dalam urutan BGR. Setelah ekstraksi, 4 byte pertama dari array menyimpan panjang pesan, byte berikutnya menyimpan pesan itu sendiri.
- Kuncinya dihitung. Untuk melakukan hal ini, MD5 dihitung dari nilai “ZpzwmjMJyfTNiRalKVrcSkxCN” yang ditentukan sebagai kata sandi. Hash yang dihasilkan ditulis dua kali.
- Dekripsi dilakukan menggunakan algoritma AES dalam mode ECB.
Fungsionalitas berbahaya
Downloader
Diimplementasikan di bootloader Di Lindungi.
- Dengan menghubungi [penggantian tautan aktif] Status server diminta untuk mengonfirmasi bahwa server siap menyajikan file. Server harus kembali "DI".
- link [tautan unduh-ganti] Payload diunduh.
- Dengan Kode FranchyShell payload disuntikkan ke dalam proses [inj-ganti].
Selama analisis domain 404proyek[.]xyz contoh tambahan diidentifikasi di VirusTotal 404 Pencatat Kunci, serta beberapa jenis loader.
Secara konvensional, mereka dibagi menjadi dua jenis:
- Pengunduhan dilakukan dari sumber daya 404proyek[.]xyz.
Data dikodekan Base64 dan dienkripsi AES. - Opsi ini terdiri dari beberapa tahap dan kemungkinan besar digunakan bersama dengan bootloader Di Lindungi.
- Pada tahap pertama, data diambil dari pastebin dan diterjemahkan menggunakan fungsi tersebut HexToByte.
- Pada tahap kedua, sumber pemuatannya adalah 404proyek[.]xyz. Namun, fungsi dekompresi dan decoding serupa dengan yang ditemukan di DataStealer. Mungkin awalnya direncanakan untuk mengimplementasikan fungsionalitas bootloader di modul utama.
- Pada tahap ini, payload sudah ada dalam manifes sumber daya dalam bentuk terkompresi. Fungsi ekstraksi serupa juga ditemukan di modul utama.
Pengunduh ditemukan di antara file yang dianalisis njRat, gerbang mata-mata dan RAT lainnya.
Keylogger
Periode pengiriman log: 30 menit.
Semua karakter didukung. Karakter khusus diloloskan. Ada pemrosesan untuk tombol BackSpace dan Delete. Hal - hal sensitif.
Pencatat Papan Klip
Periode pengiriman log: 30 menit.
Periode polling buffer: 0,1 detik.
Tautan yang diterapkan lolos.
Pencatat Layar
Periode pengiriman log: 60 menit.
Tangkapan layar disimpan di %HOMEDRIVE%%HOMEPATH%Dokumen404k404pic.png.
Setelah mengirim folder 404k dihapus.
Pencuri Kata Sandi
| Browser | Klien email | klien FTP |
|---|---|---|
| Chrome | Outlook | FileZilla |
| Firefox | Thunderbird | |
| SeaMonkey | surat rubah | |
| Naga Es | ||
| Bulan pucat | ||
| cyberfox | ||
| Chrome | ||
| Peramban Berani | ||
| Peramban QQ | ||
| Peramban Iridium | ||
| Peramban Xvast | ||
| Chedot | ||
| 360 Peramban | ||
| KomodoDragon | ||
| 360 krom | ||
| Burung Super | ||
| Peramban Pusat | ||
| Peramban Hantu | ||
| Peramban Besi | ||
| Khrom | ||
| Vivaldi | ||
| Peramban Slimjet | ||
| Orbitum | ||
| CocCoc | ||
| Obor | ||
| UC Browser | ||
| Peramban Epik | ||
| BliskBrowser | ||
| Opera |
Penangkal analisis dinamis
- Memeriksa apakah suatu proses sedang dianalisis
Dilakukan dengan menggunakan proses pencarian taskmgr, Peretas Proses, prosesexp64, proses, procmon. Jika setidaknya satu ditemukan, malware akan keluar.
- Memeriksa apakah Anda berada di lingkungan virtual
Dilakukan dengan menggunakan proses pencarian vmtoolsd, Layanan VGAuth, vmacthlp, Layanan VBox, VBoxTray. Jika setidaknya satu ditemukan, malware akan keluar.
- Tertidur selama 5 detik
- Demonstrasi berbagai jenis kotak dialog
Dapat digunakan untuk melewati beberapa kotak pasir.
- Lewati UAC
Dilakukan dengan mengedit kunci registri EnableLUA dalam pengaturan Kebijakan Grup.
- Menerapkan atribut "Tersembunyi" ke file saat ini.
- Kemampuan untuk menghapus file saat ini.
Fitur Tidak Aktif
Selama analisis bootloader dan modul utama, ditemukan fungsi yang bertanggung jawab atas fungsionalitas tambahan, tetapi tidak digunakan di mana pun. Hal ini mungkin disebabkan oleh fakta bahwa malware tersebut masih dalam pengembangan dan fungsinya akan segera diperluas.
Loader DiProteksi
Sebuah fungsi ditemukan yang bertanggung jawab untuk memuat dan menyuntikkan ke dalam proses msiexec.exe modul sewenang-wenang.
Pencuri Data
- Konsolidasi dalam sistem
- Fungsi dekompresi dan dekripsi
Kemungkinan besar enkripsi data selama komunikasi jaringan akan segera diterapkan. - Menghentikan proses antivirus
| klien zl | Dvp95_0 | Dipaparkan | rata-rata server9 |
| egui | Ecengin | Pavw | avgserv9schedapp |
| agen bdagen | Aman | PCCIOMON | rata-rata |
| npfmsg | jam tangan esp | PCCMAIN | ashwebsv |
| olydbg | F-Agnt95 | PCwin98 | abudisp |
| anubis | Temukanvir | ikon pcf | ashmaisv |
| wireshark | Keuntungan | Perfw | ashserv |
| avastui | F-Prot | PERANGKAT POP3 | aswUpdSv |
| _Avp32 | F-Prot95 | PLIHAT95 | symwsc |
| vsmon | Fp-Menang | Rav7 | norton |
| mbam | Fr | Rav7win | Perlindungan Otomatis Norton |
| pengacak kunci | F-Berhenti | Menyelamatkan | norton_av |
| _Avpcc | aplikasi saya | web aman | nortonav |
| _Rata-rata | Saya melayani | Pindai32 | ccsetmgr |
| Ackwin32 | Ibmasn | Pindai95 | cchevtmgr |
| Pos terdepan | Ibmavsp | Pindai pm | avadmin |
| Anti-Trojan | Icload95 | Pindai | pusat av |
| ANTIVIR | Saya tidak memuatnya | Melayani95 | rata-rata |
| Apvxdwin | Ikon | Smc | penjaga depan |
| SEBUAH JALUR | Icsupp95 | LAYANAN SMC | avnotify |
| Turun otomatis | Saya mendukung | Mendengus | pemindaian av |
| Avconsol | Saya menghadapi | Orang yg merahasiakan pendapatnya | penjagagui |
| jalan 32 | Iomon98 | Sapu95 | mengangguk32krn |
| Rata-rata | Jedi | SIMPROKSISVC | nod32kui |
| Avkserv | Penguncian2000 | Tbscan | pemindaian kerang |
| Avnt | Mencari | Tca | clamTray |
| avp | Luall | Tds2-98 | kerangWin |
| Avp32 | mcafee | Tds2-Nt | freshclam |
| Avpcc | Moolive | TermiNET | oladdin |
| Avpdos32 | Baki MP | Dokter hewan95 | alat bantu |
| Rata-rata | N32scanw | pengkhianat | w9xpopopen |
| Avptc32 | NAVAPSVC | Vscan40 | Menutup |
| Avpupd | NAVAPW32 | Vsekomr | cmgrdian |
| Jadwal Otomatis32 | NAVLU32 | Vshwin32 | alogserv |
| AVSYNMGR | Tidak | Vsstat | mcshield |
| Avwin95 | NAVRUNR | Pemindaian webx | vshwin32 |
| Avwupd32 | Navw32 | PERANGKAP WEB | avconsol |
| hitam | Tidak | Temukanv32 | vsstat |
| Es hitam | NeoWatch | alarm zona | avsynmgr |
| admin cfi | NISSERV | KUNCI2000 | avcmd |
| audit keuangan | Nisum | PENYELAMATAN32 | avconfig |
| keuangan | Tidak utama | LUCOMSERVER | licmgr |
| Cfinet32 | Normis | rata-rata | sched |
| Cakar95 | NORTON | rata-rata | pra-upd |
| Cakar95cf | Nupgrade | avgamsvr | MsMpEng |
| Pembersih | Nvc95 | avgupsvc | MSASCui |
| Pembersih3 | Pos terdepan | rata-rata | Avira.Systray |
| jam tangan def | padmin | rata-rata32 | |
| Dvp95 | Pavcl | rata-rata |
- penghancuran diri
- Memuat data dari manifes sumber daya yang ditentukan
- Menyalin file di sepanjang jalur %Temp%tmpG[Tanggal dan waktu saat ini dalam milidetik].tmp
Menariknya, fungsi serupa hadir di malware AgentTesla. - Fungsionalitas cacing
Malware menerima daftar media yang dapat dipindahkan. Salinan malware dibuat di root sistem file media dengan nama Sys.exe. Autorun diimplementasikan menggunakan file autorun.inf.
Profil penyerang
Selama analisis pusat komando, dimungkinkan untuk membuat email dan nama panggilan pengembang - Razer, alias Brwa, Brwa65, HiDDen PerSOn, 404 Coder. Selanjutnya, kami menemukan video menarik di YouTube yang menunjukkan cara bekerja dengan pembuatnya.
Hal ini memungkinkan untuk menemukan saluran pengembang asli.
Menjadi jelas bahwa dia memiliki pengalaman dalam menulis kriptografer. Ada juga link ke halaman di jejaring sosial, serta nama asli penulisnya. Dia ternyata adalah penduduk Irak.
Seperti inilah seharusnya tampilan pengembang 404 Keylogger. Foto dari profil Facebook pribadinya.
CERT Group-IB telah mengumumkan ancaman baru - 404 Keylogger - pusat pemantauan dan respons XNUMX jam untuk ancaman dunia maya (SOC) di Bahrain.
Sumber: www.habr.com