驚きのキーロガー: キーロガーの分析とその開発者の責任者

近年、パーソナル コンピュータ用のトロイの木馬に代わって、モバイル トロイの木馬が活発に使われているため、古き良き「車」用の新しいマルウェアの出現と、サイバー犯罪者によるそれらのマルウェアの積極的な使用は、不快ではありますが、依然として問題となっています。 最近、CERT Group-IB の XNUMX 時間年中無休の情報セキュリティ インシデント対応センターは、Keylogger と PasswordStealer の機能を組み合わせた新しい PC マルウェアを隠した珍しいフィッシングメールを検出しました。 アナリストの注目は、一般的な音声メッセンジャーを使用して、スパイウェアがどのようにしてユーザーのマシンに侵入したかに注目しました。 イリヤ・ポメランツェフCERT Group-IB のマルウェア分析スペシャリストである同氏は、マルウェアがどのように機能するのか、なぜ危険なのかを説明し、さらには遠く離れたイラクでその作成者を発見しました。

それでは、順番に行きましょう。 このような手紙には添付ファイルを装って画像が含まれており、クリックするとそのサイトに誘導される cdn.discordapp.com、そこから悪意のあるファイルがダウンロードされました。

無料の音声およびテキストメッセンジャーである Discord の使用は、まったく型破りです。 通常、他のインスタント メッセンジャーやソーシャル ネットワークがこれらの目的に使用されます。

より詳細な分析中に、マルウェアのファミリーが特定されました。 それはマルウェア市場の新参者であることが判明しました - 404 キーロガー.

キーロガーの販売に関する最初の広告が掲載されました。 ハックフォーラム 404月8日に「XNUMX Coder」というニックネームでユーザーによって投稿されました。

ストアのドメインはごく最近、7 年 2019 月 XNUMX 日に登録されました。

開発者がウェブサイトで述べているように、 404プロジェクト[.]xyz, 404 は、企業が (許可を得て) 顧客のアクティビティを把握できるようにするため、またはリバース エンジニアリングからバイナリを保護したい企業向けに設計されたツールです。 先を見据えて、最後のタスクでそれを言ってみましょう 404 間違いなく対応しません。

ファイルの XNUMX つを逆にして、「BEST SMART KEYLOGGER」が何であるかを確認することにしました。

マルウェアのエコシステム

ローダー 1 (AtillaCrypter)

ソースファイルは次を使用して保護されています EaxObfuscator XNUMX 段階のロードを実行します アットプロテクト リソースセクションから。 VirusTotal で見つかった他のサンプルの分析中に、このステージは開発者自身によって提供されたものではなく、クライアントによって追加されたことが明らかになりました。 後に、このブートローダーは AtillaCrypter であることが判明しました。

ブートローダー 2 (AtProtect)

実際、このローダーはマルウェアの不可欠な部分であり、開発者の意図に従って、分析に対抗する機能を担う必要があります。

ただし、実際には、保護メカニズムは非常に原始的であり、当社のシステムはこのマルウェアを正常に検出します。

メインモジュールは次を使用してロードされます フランシー・シェルコード 異なるバージョン。 ただし、次のような他のオプションが使用された可能性を排除するものではありません。 RunPE.

構成ファイル

システム内での統合

システム内の統合はブートローダーによって保証されます アットプロテクト、対応するフラグが設定されている場合。

• ファイルはパスに沿ってコピーされます %AppData%GFqaakZpzwm.exe.
• ファイルが作成されました %AppData%GFqaakWinDriv.url、起動 Zpzwm.exe.
• スレッド内で HKCUソフトウェアMicrosoftWindows現在のバージョン実行 スタートアップキーが作成される WinDrive.url.

C&C との対話

ローダーアットプロテクト

適切なフラグが存在する場合、マルウェアは隠しプロセスを起動できます。 アイエクスプローラー 指定されたリンクをクリックして、感染の成功をサーバーに通知します。

データスティーラー

使用する方法に関係なく、ネットワーク通信は、リソースを使用して被害者の外部 IP を取得することから始まります。 [http]://checkip[.]dyndns[.]org/.

ユーザーエージェント: Mozilla/4.0 (互換性; MSIE 6.0; Windows NT 5.2; .NET CLR1.0.3705;)

メッセージの一般的な構造は同じです。 ヘッダーの存在
|——- 404 キーロガー — {タイプ} ——-|どこ {タイプ} 送信される情報の種類に対応します。
システムに関する情報は次のとおりです。

_______ + 被害者の情報 + _______

IP: {外部IP}
所有者名: {コンピュータ名}
OS名: {OS名}
OS バージョン: {OS バージョン}
OS プラットフォーム: {プラットフォーム}
RAM サイズ: {RAM サイズ}
______________________________

そして最後に、送信されたデータです。

SMTP

手紙の件名は次のとおりです。 404K | {メッセージタイプ} | クライアント名: {ユーザー名}.

興味深いことに、クライアントに手紙を届けるために 404 キーロガー 開発者の SMTP サーバーが使用されます。

これにより、一部のクライアントと開発者の XNUMX 人の電子メールを特定することが可能になりました。

FTP

この方法を使用すると、収集された情報はファイルに保存され、そこからすぐに読み取られます。

このアクションの背後にあるロジックは完全には明確ではありませんが、動作ルールを記述するための追加のアーティファクトが作成されます。

%HOMEDRIVE%%HOMEPATH%DocumentsA{任意の番号}.txt

ペーストビン

分析時点では、この方法は盗まれたパスワードを転送するためにのみ使用されます。 さらに、これは最初の XNUMX つの代替としてではなく、並行して使用されます。 条件は、定数の値が「Vavaa」であることです。 おそらくこれはクライアントの名前です。

API を介して https プロトコル経由で対話が行われます。 ペーストビン..。 Значение値 api_paste_private 等しい PASTE_UNLISTEDでそのようなページを検索することを禁止します。 ペーストビン.

暗号化アルゴリズム

リソースからファイルを取得する

ペイロードはブートローダー リソースに保存されます アットプロテクト ビットマップ画像の形式で。 抽出はいくつかの段階で実行されます。

• バイト配列が画像から抽出されます。 各ピクセルは、BGR 順の 3 バイトのシーケンスとして扱われます。 抽出後、配列の最初の 4 バイトにはメッセージの長さが格納され、後続のバイトにはメッセージ自体が格納されます。

  

• キーは計算されます。 これを行うために、パスワードとして指定された値「ZpzwmjMJyfTNiRalKVrcSkxCN」から MD5 が計算されます。 結果のハッシュは XNUMX 回書き込まれます。

  

• 復号化は、ECB モードの AES アルゴリズムを使用して実行されます。

悪意のある機能

ダウンローダー

ブートローダーに実装される アットプロテクト.

• 連絡することで [アクティブリンク-置換] ファイルを提供する準備ができているかどうかを確認するために、サーバーのステータスが要求されます。 サーバーが戻るはずです "オン".
• リンク [ダウンロードリンク-置換] ペイロードがダウンロードされます。
• ととも​​に Franchyシェルコード ペイロードがプロセスに挿入される [inj-replace].

ドメイン分析中 404プロジェクト[.]xyz VirusTotal で追加のインスタンスが特定されました 404 キーロガー、いくつかのタイプのローダーと同様に。

従来、それらは次の XNUMX つのタイプに分類されます。

1. ダウンロードはリソースから実行されます 404プロジェクト[.]xyz.

   
   データは Base64 でエンコードされ、AES で暗号化されます。

2. このオプションはいくつかの段階で構成されており、ブートローダーと組み合わせて使用​​される可能性が最も高くなります。 アットプロテクト.

• 最初の段階では、データは次からロードされます。 ペーストビン 関数を使用してデコードします HexToByte.

  

• 第 XNUMX 段階では、読み込みのソースは 404プロジェクト[.]xyz。 ただし、解凍およびデコード機能は DataStealer にあるものと似ています。 おそらく当初はメイン モジュールにブートローダー機能を実装することが計画されていました。

  

• この段階で、ペイロードはすでに圧縮形式でリソース マニフェストに存在します。 同様の抽出関数がメインモジュールにもありました。

解析されたファイルの中にダウンローダーが見つかりました njラット, スパイゲート および他の RAT。

キーロガー

ログ送信期間：30分。

すべての文字がサポートされています。 特殊文字はエスケープされます。 BackSpace キーと Delete キーの処理があります。 大文字と小文字を区別。

クリップボードロガー

ログ送信期間：30分。

バッファポーリング期間: 0,1 秒。

リンクエスケープを実装しました。

スクリーンロガー

ログ送信期間：60分。

スクリーンショットは次の場所に保存されます %HOMEDRIVE%%HOMEPATH%Documents404k404pic.png.

フォルダーを送信した後 404k 削除されます。

パスワードスティーラー

ブラウザ	メールクライアント	FTPクライアント
クロム	Outlook	FileZillaを
Firefoxの	サンダーバード
SeaMonkeyの	Foxmailの
Icedragon
ペールムーン
サイバーフォックス
クロム
ブレイブブラウザ
QQブラウザ
イリジウムブラウザ
Xvastブラウザ
チェドット
360ブラウザ
コモドドラゴン
360Chrome
スーパーバード
セントブラウザ
ゴーストブラウザ
アイアンブラウザ
クロム
ビバルディ
スリムジェットブラウザ
軌道
コッコク
トーチ
UCブラウザ
エピックブラウザ
ブリスクブラウザ
Opera

動的解析への対抗

• プロセスが分析中かどうかを確認する

  プロセス検索を使用して実行 TASKMGR, プロセスハッカー, プロシージャ64, プロシージャ, プロモン。 少なくとも XNUMX つ見つかった場合、マルウェアは終了します。

• 仮想環境にいるかどうかを確認する

  プロセス検索を使用して実行 vmtoolsd, VGAuthサービス, vmacthlp, VBoxサービス, Vボックストレイ。 少なくとも XNUMX つ見つかった場合、マルウェアは終了します。

• 5秒間眠りに落ちる
• さまざまな種類のダイアログ ボックスのデモンストレーション

  一部のサンドボックスをバイパスするために使用できます。

• UAC をバイパスする

  レジストリキーを編集して実行します EnableLUA グループポリシー設定で。

• 現在のファイルに「非表示」属性を適用します。
• 現在のファイルを削除する機能。

非アクティブな機能

ブートローダーとメイン モジュールの分析中に、追加機能を担う関数が見つかりましたが、それらはどこにも使用されていません。 これはおそらく、マルウェアがまだ開発中であり、機能がすぐに拡張されるためです。

ローダーアットプロテクト

プロセスへのロードと注入を担当する関数が見つかりました msiexec.exeの 任意のモジュール。

データスティーラー

• システム内での統合

  

• 解凍および復号化機能

  
  
  ネットワーク通信時のデータ暗号化が間もなく実装される可能性があります。

• ウイルス対策プロセスの終了

zlclient	Dvp95_0	パブシュド	avgserv9
エグイ	エチェンジン	パブ	avgserv9schedapp
悪い	エセーフ	ＰＣＣＩＯＭＯＮ	avgemc
npfmsg	エスプウォッチ	PCCMAIN	アッシュウェブ
olydbg	F-Agnt95	Pccwin98	アッシュディスプ
アヌビス	Findvir	パソコンウォールリコン	アシュマイヴ
wireshark	フプロト	パースソフトウェア	アッシュサーブ
アヴァストゥイ	F-Protの	ポップ3トラップ	aswUpdSv
_Avp32	F-Prot95	PVIEW95	symwsc
VSモン	FP-Win	Rav7	ノートン
ムバム	前者	Rav7win	ノートン オートプロテクト
キースクランブラー	F-ストップ	レスキュー用機材	ノートン_av
_Avpcc	アイマップ	セーフウェブ	ノートナフ
_Avpm	イアムサーブ	Scan32	ccsetmgr
アックウィン32	イブマン	Scan95	ccevtmgr
前哨	Ibmavsp	スキャン午後	アバドミン
アンチトロイの木馬	Icload95	スクスキャン	アヴセンター
抗ウイルス剤	イロードント	サーブ95	平均
APVxdwin	イクモン	SMC	アヴガード
アトラック	icsupp95	SMCSサービス	avnotify
オートダウン	サポートされていません	鼻を鳴らす	アヴスキャン
アヴコンソール	イフェイス	スフィンクス	ガードギ
アベニュー32	イオモン98	スイープ95	うなずき32krn
平均制御	ジェダイ	SYMPROXYSVC	nod32kui
アヴクサーブ	ロックダウン2000	TBSスキャン	クラムスキャン
アヴァント	外を見る	Tca	ハマグリトレイ
平均	ルオール	TDS2-98	クラムウィン
Avp32	マカフィー	Tds2-NT	フレッシュクラム
Avpcc	ムーリブ	テルミネット	オラディン
Avpdos32	MPftray	獣医95	シグツール
Avpm	N32スキャン	ヴェットレー	w9xpopen
Avptc32	NAVAPSVC	Vscan40	近い
アヴプド	NAVAPW32	ヴセコム	cmgrdian
アヴシュド32	ナブル32	Vshwin32	アログサーブ
AVSYNMGR	ナビント	VSstat	マクシールド
アヴウィン95	ナヴランル	ウェブスキャンクス	vshwin32
Avwupd32	Navw32	ウェブトラップ	avコンソール
ブラック	ナヴント	Wfindv32	vsstat
ブラックアイス	ネオウォッチ	ZoneAlarmの	avsynmgr
Cfiadmin	ニッセルフ	ロックダウン2000	avcmd
認証	ニサム	レスキュー32	avconfig
フィネット	ンメイン	ルコムサーバー	licmgr
Cfinet32	規範主義者	avgcc	予定
爪95	NORTON	avgcc	準備中
クロー95cf	アップグレード	avgamsvr	さん
クリーナー	Nvc95	avgupsvc	MSASCui
クリーナー3	前哨	平均	Avira.Systray
デフウォッチ	パドミン	avgcc32
Dvp95	Pavcl	平均サービス

• 自己破壊
• 指定されたリソースマニフェストからのデータのロード

  

• パスに沿ってファイルをコピーする %Temp%tmpG[現在の日付と時刻 (ミリ秒単位)].tmp

  
  興味深いことに、AgentTesla マルウェアにも同じ機能が存在します。

• ワームの機能

  マルウェアはリムーバブル メディアのリストを受け取ります。 マルウェアのコピーは、次の名前でメディア ファイル システムのルートに作成されます。 Sys.exe。 自動実行はファイルを使用して実装されます AUTORUN.INF.

  

攻撃者のプロフィール

コマンド センターの分析中に、開発者の電子メールとニックネーム、Razer (別名 Brwa、Brwa65、HiDDen PerSOn、404 Coder) を特定することができました。 次に、ビルダーの操作を示す興味深いビデオを YouTube で見つけました。

これにより、元の開発者チャネルを見つけることが可能になりました。

彼が暗号学者を書いた経験があることが明らかになりました。 ソーシャルネットワーク上のページへのリンクや、著者の実名も掲載されています。 彼はイラクの居住者であることが判明した。

これは、404 キーロガーの開発者がどのように見えるかです。 写真は彼の個人的な Facebook プロフィールから。

CERT Group-IB は、バーレーンにあるサイバー脅威 (SOC) の 404 時間監視および対応センターである新しい脅威 XNUMX キーロガーを発表しました。

出所： habr.com