Ing taun-taun pungkasan, Trojan seluler wis aktif ngganti Trojan kanggo komputer pribadi, mula munculé malware anyar kanggo "mobil" lawas sing apik lan panggunaan aktif dening cybercriminals, sanajan ora nyenengake, isih dadi acara. Bubar, pusat respon insiden keamanan informasi CERT Group-IB 24/7 ndeteksi email phishing sing ora biasa sing ndhelikake malware PC anyar sing nggabungake fungsi Keylogger lan PasswordStealer. Kawigatosan para analis ditarik babagan cara spyware mlebu ing mesin pangguna - nggunakake utusan swara sing populer. Ilya Pomerantsev, spesialis analisis malware ing CERT Group-IB, nerangake carane malware kasebut bisa digunakake, kenapa mbebayani, lan malah nemokake pangripta ing Irak sing adoh.
Dadi, ayo padha ndhisiki. Ing guise lampiran, surat kasebut ngemot gambar, nalika ngeklik pangguna digawa menyang situs kasebut. cdn.discordapp.com, lan file jahat diundhuh saka kono.
Nggunakake Discord, pesen swara lan teks gratis, cukup ora konvensional. Biasane, pesen cepet utawa jaringan sosial liyane digunakake kanggo tujuan kasebut.
Sajrone analisis sing luwih rinci, kulawarga malware diidentifikasi. Ternyata dadi wong anyar ing pasar malware - 404 Keylogger.
Iklan pisanan kanggo adol keylogger dipasang ing hackforums dening pangguna kanthi julukan "404 Coder" tanggal 8 Agustus.
Domain toko wis didaftarake bubar - tanggal 7 September 2019.
Minangka pangembang ngandika ing website 404proyek[.]xyz, 404 minangka alat sing dirancang kanggo mbantu perusahaan sinau babagan aktivitas pelanggan (kanthi ijin) utawa kanggo wong sing pengin nglindhungi binar saka reverse engineering. Nggolek ngarep, ayo ngomong karo tugas pungkasan 404 mesthi ora bisa ngatasi.
Kita mutusake kanggo mbalikke salah sawijining file lan mriksa apa "KEYLOGGER SMART BEST".
Ekosistem malware
Loader 1 (AtillaCrypter)
File sumber dilindhungi nggunakake EaxObfuscator lan nindakake loading rong langkah AtProtect saka bagean sumber. Sajrone analisis conto liyane sing ditemokake ing VirusTotal, dadi jelas yen tahap iki ora diwenehake dening pangembang dhewe, nanging ditambahake dening klien. Banjur ditemtokake manawa bootloader iki yaiku AtillaCrypter.
Bootloader 2 (AtProtect)
Nyatane, loader iki minangka bagean integral saka malware lan, miturut tujuan pangembang, kudu njupuk fungsi analisis countering.
Nanging, ing laku, mekanisme pangayoman banget primitif, lan sistem kita kasil ndeteksi malware iki.
Modul utama dimuat nggunakake Franchy ShellCode versi beda. Nanging, kita ora ngilangi manawa opsi liyane bisa digunakake, contone, RunPE.
File konfigurasi
Konsolidasi ing sistem
Konsolidasi ing sistem dijamin dening bootloader AtProtect, yen gendéra sing cocog disetel.
- File kasebut disalin ing dalan %AppData%GFqaakZpzwm.exe.
- File digawe %AppData%GFqaakWinDriv.url, diluncurake Zpzwm.exe.
- Ing thread HKCUSoftwareMicrosoftWindowsCurrentVersionRun tombol wiwitan digawe WinDriv.url.
Interaksi karo C&C
Loader AtProtect
Yen ana gendera sing cocog, malware bisa miwiti proses sing didhelikake iexplorer lan tindakake link kasebut kanggo ngabari server bab infèksi sukses.
DataStealer
Preduli saka cara sing digunakake, komunikasi jaringan diwiwiti kanthi entuk IP eksternal saka korban nggunakake sumber daya [http]://checkip[.]dyndns[.]org/.
Agen Panganggo: Mozilla/4.0 (kompatibel; MSIE 6.0; Windows NT 5.2; .NET CLR1.0.3705;)
Struktur umum pesen iku padha. Header saiki
|——- 404 Keylogger — {Tipe} ——-|ngendi {jinis} cocog karo jinis informasi sing dikirim.
Ing ngisor iki informasi babagan sistem:
_______ + INFO KORBAN + _______
IP: {IP Eksternal}
Jeneng Pamilik: {Computer name}
Jeneng OS: {Jeneng OS}
Versi OS: {Versi OS}
Platform OS: {Platform}
Ukuran RAM: {ukuran RAM}
______________________________
Lan pungkasane, data sing dikirim.
SMTP
Bab layang kasebut yaiku: 404 K | {Jenis Pesen} | Jeneng Klien: {Username}.
Apike, kanggo ngirim layang kanggo klien 404 Keylogger Server SMTP pangembang digunakake.
Iki ndadekake iku bisa kanggo ngenali sawetara klien, uga email saka salah siji pangembang.
FTP
Nalika nggunakake metode iki, informasi sing diklumpukake disimpen menyang file lan langsung diwaca saka kono.
Logika konco tumindak iki ora sakabehe cetha, nanging nggawe artefak tambahan kanggo nulis aturan prilaku.
%HOMEDRIVE%%HOMEPATH%DocumentsA{Nomer sembarang}.txt
Pastebin
Ing wektu analisis, cara iki mung digunakake kanggo nransfer sandhi sing dicolong. Kajaba iku, digunakake ora minangka alternatif kanggo loro pisanan, nanging ing podo karo. Kondisi kasebut minangka nilai konstanta sing padha karo "Vavaa". Mbok menawa iki jeneng klien.
Interaksi dumadi liwat protokol https liwat API pastebin. Artine api_paste_private podo karo PASTE_UNLISTED, sing nglarang nggoleki kaca kasebut ing pastebin.
Algoritma enkripsi
Njupuk file saka sumber daya
Payload disimpen ing sumber daya bootloader AtProtect ing wangun gambar Bitmap. Ekstraksi ditindakake ing sawetara tahapan:
- Array bait dijupuk saka gambar. Saben piksel dianggep minangka urutan 3 bita ing urutan BGR. Sawise ekstraksi, 4 bait pisanan saka array nyimpen dawa pesen, sing sabanjure nyimpen pesen kasebut dhewe.
- Tombol diwilang. Kanggo nindakake iki, MD5 diwilang saka nilai "ZpzwmjMJyfTNiRalKVrcSkxCN" sing ditemtokake minangka sandhi. Hash asil ditulis kaping pindho.
- Dekripsi ditindakake kanthi nggunakake algoritma AES ing mode ECB.
Fungsi angkoro
Downloader
Dilaksanakake ing bootloader AtProtect.
- Kanthi ngubungi [activelink-repalce] Status server dijaluk kanggo konfirmasi manawa wis siyap kanggo ngladeni file kasebut. Server kudu bali "ON".
- Miturut referensi [downloadlink-ganti] Payload diundhuh.
- Kanthi bantuan saka FranchyShellcode payload wis nyuntikaken menyang proses [inj-ganti].
Sajrone analisis domain 404proyek[.]xyz kedadean tambahan diidentifikasi ing VirusTotal 404 Keylogger, uga sawetara jinis loader.
Conventionally, padha dipérang dadi rong jinis:
- Ngundhuh ditindakake saka sumber daya 404proyek[.]xyz.
Data dienkode Base64 lan dienkripsi AES. - Opsi iki kalebu sawetara tahapan lan paling kamungkinan digunakake bebarengan karo bootloader AtProtect.
- Ing tataran pisanan, data dimuat saka pastebin lan decoded nggunakake fungsi HexToByte.
- Ing tahap kapindho, sumber loading yaiku 404proyek[.]xyz. Nanging, fungsi dekompresi lan dekoding padha karo sing ditemokake ing DataStealer. Mesthine wiwitane direncanakake kanggo ngetrapake fungsi bootloader ing modul utama.
- Ing tataran iki, payload wis ana ing manifest sumber daya ing wangun kompres. Fungsi ekstraksi sing padha uga ditemokake ing modul utama.
Downloaders ditemokake ing antarane file sing dianalisis njRat, SpyGate lan RAT liyane.
Keylogger
Wektu ngirim log: 30 menit.
Kabeh karakter didhukung. Karakter khusus sing oncat. Ana pangolahan kanggo tombol BackSpace lan Busak. Huruf kapital digatekke.
ClipboardLogger
Wektu ngirim log: 30 menit.
Periode polling buffer: 0,1 detik.
Dilaksanakake link uwal.
ScreenLogger
Wektu ngirim log: 60 menit.
Gambar disimpen ing %HOMEDRIVE%%HOMEPATH%Dokumen404k404pic.png.
Sawise ngirim folder 404k wis dibusak.
SandiStealer
| BRAUZER | Klien layang | klien FTP |
|---|---|---|
| Chrome | Outlook | FileZilla |
| Firefox | Thunderbird | |
| SeaMonkey | foxmail | |
| es naga | ||
| Palemoon | ||
| Cyberhio | ||
| Chrome | ||
| BraveBrowser | ||
| QQBrowser | ||
| IridiumBrowser | ||
| XvastBrowser | ||
| Chedot | ||
| 360 Browser | ||
| ComodoNaga | ||
| 360 Chrome | ||
| SuperBird | ||
| CentBrowser | ||
| GhostBrowser | ||
| IronBrowser | ||
| krom | ||
| Vivaldi | ||
| SlimjetBrowser | ||
| orbitum | ||
| CokCoc | ||
| Torch | ||
| UCBrowser | ||
| EpicBrowser | ||
| BliskBrowser | ||
| Opera |
Kontraksi kanggo analisis dinamis
- Priksa manawa proses ana ing analisis
Dilaksanakake kanthi nggunakake proses telusuran taskmgr, ProsesHacker, procexp64, procexp, procmon. Yen paling ora ana siji sing ditemokake, malware bakal metu.
- Priksa manawa sampeyan ana ing lingkungan virtual
Dilaksanakake kanthi nggunakake proses telusuran vmtoolsd, VGAuthService, vmacthlp, VBoxService, VBoxTray. Yen paling ora ana siji sing ditemokake, malware bakal metu.
- Ngantuk 5 detik
- Demonstrasi macem-macem jinis kothak dialog
Bisa digunakake kanggo ngliwati sawetara kothak wedhi.
- Bypass UAC
Dilaksanakake kanthi nyunting kunci registri EnableLUA ing setelan Kebijakan Grup.
- Aplikasi atribut "Hidden" menyang file saiki.
- Kemampuan kanggo mbusak file saiki.
Fitur ora aktif
Sajrone analisis bootloader lan modul utama, fungsi ditemokake sing tanggung jawab kanggo fungsi tambahan, nanging ora digunakake ing ngendi wae. Iki mbokmenawa amarga kasunyatan sing malware isih ing pembangunan lan fungsi bakal ditambahi rauh.
Loader AtProtect
A fungsi ditemokake sing tanggung jawab kanggo loading lan nyuntikaken menyang proses msiexec.exe modul sembarang.
DataStealer
- Konsolidasi ing sistem
- Fungsi dekompresi lan dekripsi
Kemungkinan enkripsi data sajrone komunikasi jaringan bakal ditindakake. - Mungkasi pangolahan antivirus
| zlclient | Dvp95_0 | Pavsched | avgserv9 |
| egui | Ecengine | Pavw | avgserv9schedapp |
| bdagent | Esafe | PCCIOMON | avgemc |
| npfmsg | Espwatch | PCCMAIN | ashwebsv |
| olydbg | F-Agnt95 | Pccwin98 | ashdisp |
| Anubis | Findvir | Pcfwallicon | ashmaisv |
| wireshark | Fprot | Persfw | ashserv |
| avastui | F-Prot | POP3TRAP | aswUpdSv |
| _Avp32 | F-Prot95 | PVIEW95 | symwsc |
| vsmon | Fp-Win | Rav7 | norton |
| mbak | Frw | Rav7win | Norton Auto-Protect |
| keyscrambler | F-Stopw | rescue | norton_av |
| _Avpcc | Iamapp | Safeweb | nortonav |
| _Avpm | Iamserv | Pindai32 | ccsetmgr |
| Ackwin32 | Ibmasn | Pindai95 | ccevtmgr |
| Outpost | Ibmavsp | Scanpm | avadmin |
| Anti-Trojan | Icload95 | Scrscan | avcenter |
| Antivir | Icloadnt | Serv95 | avgnt |
| Apvxdwin | Icmon | Smc | avguard |
| ATRACK | Icsupp95 | SMCSERVICE | avnotify |
| Mudhun otomatis | Icsuppnt | Ngorok | avscan |
| Avconsol | Iface | sphinx | guardgui |
| Ave32 | Iomon98 | Nyapu95 | nod32krn |
| Avgctrl | Jedi | SYMPROXYSVC | nod32kui |
| Avkserv | Lockdown 2000 | Tbscan | clamscan |
| Avnt | Awas | Tca | clamTray |
| Avp | Luall | Tds2-98 | clamWin |
| Avp32 | mcafee | Tds2-Nt | freshclam |
| Avpcc | Moolive | TermiNET | oladdin |
| Avpdos32 | MPftray | Vet95 | sigtool |
| Avpm | N32scanw | Vetray | w9xpopen |
| Avptc32 | NAVAPSVC | Vscan40 | Nutup |
| Avpupd | NAVAPW32 | Vsecomr | cmgrdian |
| Avsched32 | NAVLU32 | Vshwin32 | alogserv |
| AVSYNMGR | Navnt | Vsstat | mcshield |
| Avwin95 | NAVRUNR | Webscanx | vshwin32 |
| Avwupd32 | Navw32 | WEBTRAP | avconsol |
| Blackd | Navwnt | Wfindv32 | vsstat |
| Blackice | NeoWatch | Zonealarm | avsynmgr |
| Cfiadmin | NISSERV | LOCKDOWN2000 | avcmd |
| Cfiaudit | Nisum | ngluwari32 | avconfig |
| Cfinet | Nmain | LUCOMSERVER | licmgr |
| Cfinet32 | Normist | avgcc | jadwal |
| Cakar95 | NORTON | avgcc | preupd |
| Cakar95cf | Nupgrade | avgamsvr | MsMpEng |
| Cleaner | Nvc95 | avgupsvc | MSASCui |
| Resik3 | Outpost | avgw | Avira.Systray |
| Defwatch | Padmin | avgcc32 | |
| Dvp95 | Pavcl | avgserv |
- ngrusak dhiri
- Loading data saka manifest sumber daya tartamtu
- Nyalin file ing sadawane path %Temp%tmpG[Tanggal lan wektu saiki ing milidetik].tmp
Apike, fungsi sing padha ana ing malware AgentTesla. - Fungsi cacing
Malware nampa dhaptar media sing bisa dicopot. Salinan malware digawe ing root sistem file media kanthi jeneng kasebut Sys.exe. Autorun dileksanakake nggunakake file singkong.inf.
Profil penyerang
Sajrone analisis pusat komando, sampeyan bisa nggawe email lan julukan pangembang - Razer, aka Brwa, Brwa65, HiDDen PerSOn, 404 Coder. Sabanjure, kita nemokake video sing menarik ing YouTube sing nuduhake kerja bareng karo pembangun.
Iki nggawe sampeyan bisa nemokake saluran pangembang asli.
Dadi cetha yen dheweke duwe pengalaman nulis cryptographers. Ana uga pranala menyang kaca ing jaringan sosial, uga jeneng asli penulis. Dheweke dadi warga Irak.
Iki minangka pangembang 404 Keylogger sing mesthine katon. Foto saka profil Facebook pribadine.
CERT Group-IB wis ngumumake ancaman anyar - 404 Keylogger - pusat pemantauan lan respon XNUMX jam kanggo ancaman cyber (SOC) ing Bahrain.
Source: www.habr.com