Undanfarin ár hafa farsíma Tróverji tekið virkan af hólmi tróverji fyrir einkatölvur, þannig að tilkoma nýs spilliforrits fyrir gömlu góðu „bílana“ og virk notkun þeirra af netglæpamönnum, þótt óþægileg, er enn atburður. Nýlega, XNUMX/XNUMX viðbragðsmiðstöð upplýsingaöryggisatvika uppgötvaði óvenjulegan vefveiðapóst sem var að fela nýjan tölvuspilluforrit sem sameinar aðgerðir Keylogger og PasswordStealer. Athygli greinenda var vakin á því hvernig njósnaforritið komst inn í vél notandans - með því að nota vinsælan raddboða. Ilya Pomerantsev, sérfræðingur í greiningum á spilliforritum hjá CERT Group-IB, útskýrði hvernig spilliforritið virkar, hvers vegna það er hættulegt og fann jafnvel skapara sinn í fjarlægu Írak.
Svo, við skulum fara í röð. Í skjóli viðhengis innihélt slíkt bréf mynd, þegar smellt var á sem notandinn var færður á síðuna cdn.discordapp.com, og illgjarn skrá var hlaðið niður þaðan.
Að nota Discord, ókeypis radd- og textaboða, er frekar óhefðbundið. Venjulega eru önnur spjallforrit eða samfélagsnet notuð í þessum tilgangi.
Við ítarlegri greiningu var greind fjölskylda af spilliforritum. Það reyndist vera nýliði á malware-markaðnum - 404 Keylogger.
Fyrsta auglýsingin um sölu á keylogger var birt á hackforum eftir notanda undir gælunafninu „404 Coder“ þann 8. ágúst.
Verslunarlénið var skráð nokkuð nýlega - þann 7. september 2019.
Eins og verktaki segir á vefsíðunni 404verkefni[.]xyz, 404 er tól hannað til að hjálpa fyrirtækjum að fræðast um starfsemi viðskiptavina sinna (með leyfi þeirra) eða fyrir þá sem vilja vernda tvöfalda tölvuna sína fyrir öfugþróun. Þegar horft er fram á veginn skulum við segja það með síðasta verkefninu 404 ræður örugglega ekki við.
Við ákváðum að snúa við einni af skránum og athuga hvað „BESTI SMART KEYLOGGER“ er.
Malware vistkerfi
Loader 1 (AtillaCrypter)
Upprunaskráin er vernduð með því að nota EaxObfuscator og framkvæmir tveggja þrepa hleðslu AtProtect úr auðlindahlutanum. Við greiningu á öðrum sýnum sem fundust á VirusTotal kom í ljós að þetta stig var ekki útvegað af þróunaraðilanum sjálfum, heldur bætt við af viðskiptavinum hans. Síðar kom í ljós að þessi ræsiforrit var AtillaCrypter.
Bootloader 2 (AtProtect)
Reyndar er þessi hleðslutæki óaðskiljanlegur hluti af spilliforritinu og ætti, samkvæmt ásetningi þróunaraðila, að taka að sér virkni mótefnagreiningar.
Hins vegar, í reynd, eru verndaraðferðirnar afar frumstæðar og kerfi okkar greina þennan spilliforrit með góðum árangri.
Aðaleiningin er hlaðin með Franchy ShellCode mismunandi útgáfur. Hins vegar útilokum við ekki að aðrir kostir hefðu verið notaðir, td. RunPE.
Stillingarskrá
Samþjöppun í kerfinu
Sameining í kerfinu er tryggð af ræsiforritinu AtProtect, ef samsvarandi fáni er settur.
- Skráin er afrituð eftir slóðinni %AppData%GFqaakZpzwm.exe.
- Skráin er búin til %AppData%GFqaakWinDriv.url, hefja Zpzwm.exe.
- Í þræðinum HKCUSoftwareMicrosoftWindowsCurrentVersionRun ræsingarlykill er búinn til WinDriv.url.
Samskipti við C&C
Loader AtProtect
Ef viðeigandi fáni er til staðar getur spilliforritið sett af stað falið ferli iexplorer og fylgdu tilgreindum hlekk til að láta þjóninn vita um árangursríka sýkingu.
DataStealer
Óháð því hvaða aðferð er notuð byrja netsamskipti með því að fá ytri IP fórnarlambsins sem notar auðlindina [http]://checkip[.]dyndns[.]org/.
User-Agent: Mozilla/4.0 (samhæft; MSIE 6.0; Windows NT 5.2; .NET CLR1.0.3705;)
Almenn uppbygging skilaboðanna er sú sama. Fyrirsögn til staðar
|——- 404 Keylogger — {Type} ——-|hvar {gerð} samsvarar tegund upplýsinga sem verið er að senda.
Eftirfarandi eru upplýsingar um kerfið:
_______ + UPPLÝSINGAR um Fórnarlamb + _______
IP: {Ytri IP}
Nafn eiganda: {Nafn tölvu}
OS nafn: {OS Name}
OS útgáfa: {OS útgáfa}
OS pallur: {Platform}
Stærð vinnsluminni: {RAM stærð}
______________________________
Og að lokum, send gögn.
SMTP
Efni bréfsins er sem hér segir: 404 K | {Tegund skilaboða} | Nafn viðskiptavinar: {Username}.
Athyglisvert er að koma bréfum til viðskiptavinarins 404 Keylogger SMTP netþjónn þróunaraðila er notaður.
Þetta gerði það mögulegt að bera kennsl á suma viðskiptavini, sem og tölvupóst eins af þróunaraðilum.
FTP
Þegar þessi aðferð er notuð eru safnaðar upplýsingar vistaðar í skrá og lesnar strax þaðan.
Rökfræðin á bak við þessa aðgerð er ekki alveg skýr, en hún skapar viðbótargrip til að skrifa hegðunarreglur.
%HOMEDRIVE%%HOMEPATH%DocumentsA{handahófskennt númer}.txt
Pastebin
Við greiningu er þessi aðferð aðeins notuð til að flytja stolin lykilorð. Þar að auki er það ekki notað sem valkostur við fyrstu tvo, heldur samhliða. Skilyrðið er gildi fastans jafnt og „Vavaa“. Væntanlega er þetta nafn viðskiptavinar.
Samskipti eiga sér stað í gegnum https samskiptareglur í gegnum API pastebin. Merking api_paste_private jafngildir PASTE_ÓLIST, sem bannar leit að slíkum síðum í pastebin.
Dulkóðunaralgrím
Að sækja skrá úr auðlindum
Burðargetan er geymd í ræsihleðsluforritum AtProtect í formi Bitmap mynda. Útdráttur fer fram í nokkrum áföngum:
- Fjöldi bæta er dreginn út úr myndinni. Hver pixla er meðhöndluð sem röð af 3 bætum í BGR röð. Eftir útdrátt geyma fyrstu 4 bæti fylkisins lengd skilaboðanna, þau síðari geyma sjálf skilaboðin.
- Lykillinn er reiknaður út. Til að gera þetta er MD5 reiknað út frá gildinu „ZpzwmjMJyfTNiRalKVrcSkxCN“ sem tilgreint er sem lykilorð. Hash sem myndast er skrifað tvisvar.
- Afkóðun er framkvæmd með AES reikniritinu í ECB ham.
Illgjarn virkni
tölvu
Útfært í ræsiforritinu AtProtect.
- Með því að hafa samband [activelink-repalce] Beðið er um stöðu þjónsins til að staðfesta að hann sé tilbúinn til að þjóna skránni. Miðlarinn ætti að snúa aftur „ON“.
- The hlekkur [downloadlink-replace] Burðargetan er hlaðið niður.
- Með FranchyShellcode farmið er sprautað inn í ferlið [inj-skipta].
Við lénsgreiningu 404verkefni[.]xyz fleiri tilvik voru auðkennd á VirusTotal 404 Keylogger, auk nokkurra tegunda hleðsluvéla.
Venjulega er þeim skipt í tvær tegundir:
- Niðurhal fer fram úr auðlindinni 404verkefni[.]xyz.
Gögnin eru Base64 dulkóðuð og AES dulkóðuð. - Þessi valkostur samanstendur af nokkrum stigum og er líklegast notaður í tengslum við ræsiforrit AtProtect.
- Á fyrsta stigi er gögnum hlaðið frá pastebin og afkóða með aðgerðinni HexToByte.
- Á öðru stigi er uppspretta hleðslu 404verkefni[.]xyz. Hins vegar eru afþjöppun og afkóðun aðgerðir svipaðar þeim sem finnast í DataStealer. Líklega var upphaflega áætlað að innleiða ræsihleðsluvirknina í aðaleiningunni.
- Á þessu stigi er farmurinn nú þegar í auðlindaskránni á þjappuðu formi. Svipaðar útdráttaraðgerðir fundust einnig í aðaleiningunni.
Niðurhalsmenn fundust meðal greindra skráa njRat, SpyGate og aðrar RAT.
Keylogger
Sendingartímabil dagbókar: 30 mínútur.
Allir stafir eru studdir. Sérstafir eru sloppnir. Það er vinnsla fyrir BackSpace og Delete lyklana. Hástafaviðkvæmur.
ClipboardLogger
Sendingartímabil dagbókar: 30 mínútur.
Tímabil könnunarmagns: 0,1 sekúnda.
Innleitt hlekkjasleppi.
ScreenLogger
Sendingartímabil dagbókar: 60 mínútur.
Skjámyndir eru vistaðar í %HOMEDRIVE%%HOMEPATH%Documents404k404pic.png.
Eftir að hafa sent möppuna 404k er eytt.
PasswordStealer
Браузеры | Póst viðskiptavinir | FTP viðskiptavinir |
---|---|---|
Chrome | Horfur | FileZilla |
Firefox | Thunderbird | |
SeaMonkey | Foxmail | |
Icedragon | ||
PaleMoon | ||
Cyberfox | ||
Chrome | ||
BraveBrowser | ||
QQBrowser | ||
Iridium Browser | ||
XvastBrowser | ||
Chedot | ||
360 Vafri | ||
ComodoDragon | ||
360 Chrome | ||
SuperBird | ||
CentBrowser | ||
GhostBrowser | ||
IronBrowser | ||
Króm | ||
Vivaldi | ||
SlimjetBrowser | ||
Sporbraut | ||
CocCoc | ||
Torch | ||
UCBrowser | ||
EpicBrowser | ||
BliskBrowser | ||
Opera |
Mótvægi við kraftmikla greiningu
- Athugaðu hvort ferli sé í greiningu
Framkvæmt með ferlileit verkefnimgr, ProcessHacker, proceexp64, proceexp, procmon. Ef að minnsta kosti einn finnst, hættir spilliforritið.
- Athugaðu hvort þú sért í sýndarumhverfi
Framkvæmt með ferlileit vmtoolsd, VGAuthService, vmacthlp, VBoxService, VBoxTray. Ef að minnsta kosti einn finnst, hættir spilliforritið.
- Sofna í 5 sekúndur
- Sýning á mismunandi gerðum valmynda
Hægt að nota til að komast framhjá sumum sandkassa.
- Framhjá UAC
Framkvæmt með því að breyta skrásetningarlyklinum Virkja LUA í hópstefnustillingum.
- Notar "Falinn" eigindina á núverandi skrá.
- Geta til að eyða núverandi skrá.
Óvirkir eiginleikar
Við greiningu á ræsiforritinu og aðaleiningunni fundust aðgerðir sem voru ábyrgar fyrir viðbótarvirkni, en þær eru hvergi notaðar. Þetta er líklega vegna þess að spilliforritið er enn í þróun og virknin verður aukin fljótlega.
Loader AtProtect
Aðgerð fannst sem ber ábyrgð á hleðslu og inndælingu í ferlið msiexec.exe handahófskennd eining.
DataStealer
- Samþjöppun í kerfinu
- Afþjöppun og afkóðun aðgerðir
Líklegt er að dulkóðun gagna við netsamskipti verði fljótlega innleidd. - Að stöðva vírusvarnarferli
zlclient | Dvp95_0 | Pavsched | meðalverð9 |
egui | Ecengine | Pavw | avgserv9schedapp |
bdagent | Öruggt | PCCIOMON | avgemc |
npfmsg | Espwatch | PCCMAIN | öskuvefursv |
olydbg | F-Agnt95 | Pccwin98 | öskudisp |
anubis | Finnvir | Pcfwallicon | ashmaisv |
wireshark | Fprot | Persfw | ashserv |
avastui | F-Prot | POP3TRAP | aswUpdSv |
_Avp32 | F-Prot95 | PVIEW95 | symwsc |
vsmon | Fp-Win | Rav7 | norton |
mbam | Frv | Rav7win | Norton Auto-Protect |
lyklaskúrari | F-Stöðva | Frelsa | norton_av |
_Avpcc | Iamapp | Safeweb | nortonav |
_Avpm | Iamserv | Skanna32 | ccsetmgr |
Ackwin32 | Ibmasn | Skanna95 | ccevtmgr |
Útvarðarstöð | Ibmavsp | Skannapm | avadmin |
Andstæðingur Trójumanna | Icload95 | Scrscan | avcenter |
Antivir | Icloadnt | þjóna 95 | meðaltal |
Apvxdwin | Icmon | Smc | avguard |
ATRACK | Icsupp95 | SMCSERVICE | avnota |
Sjálfvirk niðurfelling | Icsuppnt | Snort | avscan |
Avconsol | Iface | Sphinx | guardgui |
Fugl32 | Iomon98 | Sópa 95 | hnoða 32kr |
Avgctrl | Jedi | SYMPROXYSVC | nod32kui |
Avkserv | Lokun 2000 | Tbscan | clamscan |
Avnt | Gættu þín | Tapprox | clamTray |
Avp | Luall | Tds2-98 | clamWin |
Avp32 | mcafee | Tds2-Nt | freshclam |
Avpcc | Moolive | TermiNET | oladdin |
Avpdos32 | MPftray | Dýralæknir95 | sigtool |
Avpm | N32scanw | Vettray | w9xopinn |
Avptc32 | NAVAPSVC | Vscan40 | Loka |
Avpupd | NAVAPW32 | Vsecomr | cmgrdian |
Avsched32 | NAVLU32 | Vshwin32 | alogserv |
AVSYNMGR | Navnt | Vsstat | mcshield |
Avwin95 | NAVRUNR | Webscanx | vshwin32 |
Avwupd32 | Navw32 | VEFFALL | avconsol |
Blackd | Navwnt | Wfindv32 | vsstat |
Svartur ís | NeoWatch | ZoneAlarm | avsynmgr |
Cfiadmin | NISSERV | LOCKDOWN2000 | avcmd |
Cfiendurskoðun | Nisum | BJÖRGUN 32 | avconfig |
Cfinet | Nmain | LUCOMSERVER | licmgr |
Cfinet32 | Normist | avgcc | tímaáætlun |
Kló95 | NORTON | avgcc | preupd |
Kló95sbr | Uppfærsla | avgamsvr | MsMpEng |
Cleaner | Nvc95 | avgupsvc | MSASCui |
Hreinsiefni 3 | Útvarðarstöð | afgw | Avira.Systray |
Defwatch | Padmin | avgcc32 | |
Dvp95 | Pavcl | avgserv |
- Sjálfseyðing
- Hleður gögnum úr tilgreindri tilfangaskrá
- Að afrita skrá eftir slóð %Temp%tmpG[Núverandi dagsetning og tími í millisekúndum].tmp
Athyglisvert er að sams konar aðgerð er til staðar í AgentTesla malware. - Ormavirkni
Spilliforritið fær lista yfir færanlegan miðla. Afrit af spilliforritinu er búið til í rót fjölmiðlaskráakerfisins með nafninu Sys.exe. Sjálfvirk keyrsla er útfærð með því að nota skrá autorun.inf.
Árásarprófíll
Við greiningu á stjórnstöðinni var hægt að koma á netfangi og gælunafni þróunaraðila - Razer, aka Brwa, Brwa65, HiDDen PerSOn, 404 Coder. Næst fundum við áhugavert myndband á YouTube sem sýnir vinnu með byggingaraðilanum.
Þetta gerði það mögulegt að finna upprunalegu þróunarrásina.
Það varð ljóst að hann hafði reynslu af ritun dulritunarfræðinga. Það eru einnig tenglar á síður á samfélagsmiðlum, svo og raunverulegt nafn höfundar. Hann reyndist vera íbúi í Írak.
Svona lítur 404 Keylogger forritari út. Mynd af persónulegum Facebook prófíl hans.
CERT Group-IB hefur tilkynnt um nýja ógn - 404 Keylogger - XNUMX tíma eftirlits- og viðbragðsmiðstöð fyrir netógnir (SOC) í Barein.
Heimild: www.habr.com