Keylogger სიურპრიზით: keylogger-ის და მისი დეველოპერის დეკანის ანალიზი

ბოლო წლებში მობილური ტროასები აქტიურად ანაცვლებენ ტროასებს პერსონალური კომპიუტერებისთვის, ამიტომ ძველი კარგი „მანქანებისთვის“ ახალი მავნე პროგრამების გაჩენა და კიბერდანაშაულების მიერ მათი აქტიური გამოყენება, თუმცა არასასიამოვნო, მაინც მოვლენაა. ცოტა ხნის წინ, CERT Group-IB-ის 24/7 ინფორმაციული უსაფრთხოების ინციდენტების რეაგირების ცენტრმა აღმოაჩინა უჩვეულო ფიშინგის ელფოსტა, რომელიც მალავდა კომპიუტერის ახალ მავნე პროგრამას, რომელიც აერთიანებს Keylogger-ისა და PasswordStealer-ის ფუნქციებს. ანალიტიკოსების ყურადღება მიიპყრო იმაზე, თუ როგორ მოხვდა ჯაშუშური პროგრამა მომხმარებლის აპარატში - პოპულარული ხმოვანი მესინჯერის გამოყენებით. ილია პომერანცევიCERT Group-IB-ის მავნე პროგრამების ანალიზის სპეციალისტმა განმარტა, თუ როგორ მუშაობს მავნე პროგრამა, რატომ არის ის საშიში და მისი შემქმნელიც კი იპოვა შორეულ ერაყში.

მაშ, წავიდეთ თანმიმდევრობით. დანართის ნიღბის ქვეშ, ასეთი წერილი შეიცავდა სურათს, რომელზეც დაჭერით მომხმარებელი გადაიყვანეს საიტზე cdn.discordapp.comდა იქიდან ჩამოიტვირთა მავნე ფაილი.

უფასო ხმოვანი და ტექსტური მესინჯერის Discord-ის გამოყენება საკმაოდ არატრადიციულია. როგორც წესი, ამ მიზნებისათვის გამოიყენება სხვა მყისიერი მესინჯერები ან სოციალური ქსელები.

უფრო დეტალური ანალიზის დროს გამოვლინდა მავნე პროგრამების ოჯახი. ეს იყო ახალბედა მავნე პროგრამების ბაზარზე - 404 Keylogger.

ქეილოგერის გაყიდვის პირველი რეკლამა გამოქვეყნდა ჰაკფორუმები მომხმარებლის მიერ მეტსახელად "404 Coder" 8 აგვისტოს.

მაღაზიის დომენი სულ ახლახანს დარეგისტრირდა - 7 წლის 2019 სექტემბერს.

როგორც დეველოპერები ამბობენ ვებსაიტზე 404პროექტი[.]xyz, 404 არის ინსტრუმენტი, რომელიც შექმნილია იმისთვის, რომ კომპანიებს დაეხმაროს გაეცნონ თავიანთი მომხმარებლების აქტივობებს (მათი ნებართვით) ან მათთვის, ვისაც სურს დაიცვას თავისი ორობითი ინჟინერიისგან. წინ რომ ვიხედოთ, ვთქვათ, რომ ბოლო დავალებასთან დაკავშირებით 404 ნამდვილად არ უმკლავდება.

ჩვენ გადავწყვიტეთ შეგვებრუნებინა ერთ-ერთი ფაილი და შევამოწმოთ რა არის „BEST SMART KEYLOGGER“.

მავნე პროგრამების ეკოსისტემა

Loader 1 (AtillaCrypter)

წყაროს ფაილი დაცულია გამოყენებით EaxObfuscator და ასრულებს ორეტაპიან დატვირთვას AtProtect რესურსების განყოფილებიდან. VirusTotal-ზე ნაპოვნი სხვა ნიმუშების ანალიზის დროს ცხადი გახდა, რომ ეს ეტაპი არ იყო მოწოდებული თავად დეველოპერის მიერ, არამედ დაემატა მისმა კლიენტმა. მოგვიანებით დადგინდა, რომ ეს ჩამტვირთავი იყო AtillaCrypter.

Bootloader 2 (AtProtect)

სინამდვილეში, ეს ჩამტვირთავი არის მავნე პროგრამის განუყოფელი ნაწილი და, დეველოპერის განზრახვის მიხედვით, უნდა აიღოს კონტრასტული ანალიზის ფუნქციონირება.

თუმცა, პრაქტიკაში დაცვის მექანიზმები უკიდურესად პრიმიტიულია და ჩვენი სისტემები წარმატებით აღმოაჩენს ამ მავნე პროგრამას.

ძირითადი მოდული იტვირთება გამოყენებით ფრანში ShellCode სხვადასხვა ვერსიები. თუმცა, ჩვენ არ გამოვრიცხავთ სხვა ვარიანტების გამოყენებას, მაგალითად, RunPE.

კონფიგურაციის ფაილი

სისტემაში კონსოლიდაცია

სისტემაში კონსოლიდაცია უზრუნველყოფილია ჩამტვირთველით AtProtect, თუ დაყენებულია შესაბამისი დროშა.

• ფაილი კოპირებულია გზაზე %AppData%GFqaakZpzwm.exe.
• ფაილი იქმნება %AppData%GFqaakWinDriv.url, გაშვება Zpzwm.exe.
• ძაფში HKCUSoftwareMicrosoftWindowsCurrentVersionRun იქმნება გაშვების გასაღები WinDriv.url.

ურთიერთქმედება C&C-თან

ჩამტვირთავი AtProtect

თუ შესაბამისი დროშა არსებობს, მავნე პროგრამას შეუძლია ფარული პროცესის გაშვება iexplorer და მიჰყევით მითითებულ ბმულს, რომ აცნობოთ სერვერს წარმატებული ინფექციის შესახებ.

DataStealer

გამოყენებული მეთოდის მიუხედავად, ქსელური კომუნიკაცია იწყება მსხვერპლის გარე IP-ის მოპოვებით რესურსის გამოყენებით [http]://checkip[.]dyndns[.]org/.

მომხმარებლის აგენტი: Mozilla/4.0 (თავსებადი; MSIE 6.0; Windows NT 5.2; .NET CLR1.0.3705;)

შეტყობინების ზოგადი სტრუქტურა იგივეა. სათაური იმყოფება
|——- 404 Keylogger — {ტიპი} ——-|სად {ტიპი} შეესაბამება გადაცემული ინფორმაციის ტიპს.
შემდეგი არის ინფორმაცია სისტემის შესახებ:

_______ + მსხვერპლის ინფორმაცია + _______

IP: {გარე IP}
მფლობელის სახელი: {კომპიუტერის სახელი}
ოპერაციული სისტემის სახელი: {OS Name}
OS ვერსია: {OS Version}
OS PlatForm: {Platform}
RAM ზომა: {RAM size}
______________________________

და ბოლოს, გადაცემული მონაცემები.

SMTP

წერილის თემა ასეთია: 404 K | {შეტყობინებების ტიპი} | კლიენტის სახელი: {Username}.

საინტერესოა კლიენტისთვის წერილების მიწოდება 404 Keylogger გამოიყენება დეველოპერების SMTP სერვერი.

ამან შესაძლებელი გახადა ზოგიერთი კლიენტის იდენტიფიცირება, ისევე როგორც ერთ-ერთი დეველოპერის ელ.წერილი.

FTP

ამ მეთოდის გამოყენებისას, შეგროვებული ინფორმაცია ინახება ფაილში და დაუყოვნებლივ იკითხება იქიდან.

ამ მოქმედების ლოგიკა ბოლომდე არ არის ნათელი, მაგრამ ის ქმნის დამატებით არტეფაქტს ქცევის წესების დასაწერად.

%HOMEDRIVE%%HOMEPATH%DocumentsA{თვითნებური ნომერი}.txt

Pastebin

ანალიზის დროს ეს მეთოდი გამოიყენება მხოლოდ მოპარული პაროლების გადასატანად. უფრო მეტიც, იგი გამოიყენება არა როგორც პირველი ორის ალტერნატივა, არამედ პარალელურად. პირობა არის "ვავაას" ტოლი მუდმივის მნიშვნელობა. სავარაუდოდ, ეს არის კლიენტის სახელი.

ურთიერთქმედება ხდება https პროტოკოლის მეშვეობით API-ს მეშვეობით პასტაბინი. მნიშვნელობა api_paste_private ტოლია PASTE_UNLISTED, რომელიც კრძალავს ასეთი გვერდების ძიებას პასტაბინი.

დაშიფვრის ალგორითმები

ფაილის აღდგენა რესურსებიდან

დატვირთვა ინახება bootloader რესურსებში AtProtect Bitmap სურათების სახით. მოპოვება ხორციელდება რამდენიმე ეტაპად:

• სურათიდან ამოღებულია ბაიტების მასივი. თითოეული პიქსელი განიხილება, როგორც 3 ბაიტის თანმიმდევრობა BGR თანმიმდევრობით. ამოღების შემდეგ, მასივის პირველი 4 ბაიტი ინახავს შეტყობინების სიგრძეს, შემდგომში ინახავს თავად შეტყობინებას.

  

• გასაღები გამოითვლება. ამისათვის MD5 გამოითვლება პაროლად მითითებული მნიშვნელობიდან „ZpzwmjMJyfTNiRalKVrcSkxCN“. მიღებული ჰეში ორჯერ იწერება.

  

• გაშიფვრა ხორციელდება AES ალგორითმის გამოყენებით ECB რეჟიმში.

მავნე ფუნქციონირება

Downloader

დანერგილი ჩამტვირთველში AtProtect.

• კონტაქტით [activelink-repalce] სერვერის სტატუსი მოთხოვნილია იმის დასადასტურებლად, რომ ის მზად არის ფაილის გამოსაყენებლად. სერვერი უნდა დაბრუნდეს "ჩართვა".
• მითითებით [ჩამოტვირთვა-ბმულის ჩანაცვლება] დატვირთვა ჩამოტვირთულია.
• ერთად FranchyShellcode დატვირთვა შედის პროცესში [inj-ჩანაცვლება].

დომენის ანალიზის დროს 404პროექტი[.]xyz დამატებითი შემთხვევები გამოვლინდა VirusTotal-ზე 404 Keylogger, ასევე რამდენიმე სახის მტვირთავი.

პირობითად, ისინი იყოფა ორ ტიპად:

1. ჩამოტვირთვა ხორციელდება რესურსიდან 404პროექტი[.]xyz.

   
   მონაცემები არის Base64 კოდირებული და AES დაშიფრული.

2. ეს ვარიანტი შედგება რამდენიმე ეტაპისგან და, სავარაუდოდ, გამოიყენება ჩამტვირთველთან ერთად AtProtect.

• პირველ ეტაპზე მონაცემები იტვირთება პასტაბინი და გაშიფრულია ფუნქციის გამოყენებით HexToByte.

  

• მეორე ეტაპზე დატვირთვის წყაროა 404პროექტი[.]xyz. თუმცა, დეკომპრესიის და დეკოდირების ფუნქციები მსგავსია DataStealer-ში ნაპოვნი. სავარაუდოდ, თავდაპირველად იგეგმებოდა ჩამტვირთველის ფუნქციონირების დანერგვა მთავარ მოდულში.

  

• ამ ეტაპზე, დატვირთვა უკვე არის რესურსის მანიფესტში შეკუმშული ფორმით. მსგავსი ამოღების ფუნქციები ასევე იქნა ნაპოვნი მთავარ მოდულში.

გაანალიზებულ ფაილებს შორის აღმოჩნდა ჩამოტვირთვები njRat, SpyGate და სხვა ვირთხები.

Keylogger

ჟურნალის გაგზავნის პერიოდი: 30 წუთი.

ყველა პერსონაჟი მხარდაჭერილია. სპეციალური პერსონაჟები გაურბიან. არსებობს BackSpace და Delete გასაღებების დამუშავება. საქმეს მგრძნობიარე.

ClipboardLogger

ჟურნალის გაგზავნის პერიოდი: 30 წუთი.

ბუფერული გამოკითხვის პერიოდი: 0,1 წამი.

განხორციელებული ბმული გაქცევა.

ScreenLogger

ჟურნალის გაგზავნის პერიოდი: 60 წუთი.

ეკრანის ანაბეჭდები შენახულია %HOMEDRIVE%%HOMEPATH%Documents404k404pic.png.

საქაღალდის გაგზავნის შემდეგ 404k წაშლილია.

PasswordStealer

ბრაუზერები	ფოსტის კლიენტები	FTP კლიენტები
Chrome	Outlook	FileZilla
Firefox	Thunderbird
SeaMonkey	ფოქსმაილი
Ყინულის დრაკონი
ფერმკრთალი
კიბერფექსი
Chrome
BraveBrowser
QQBrowser
ირიდიუმის ბრაუზერი
XvastBrowser
ჩედოტი
360 ბრაუზერი
ComodoDragon
360 Chrome
სუპერფრინველი
CentBrowser
GhostBrowser
IronBrowser
ქრომის
ვივალდი
SlimjetBrowser
ორბიტი
CocCoc
ჩირაღდნის
UCBrowser
EpicBrowser
BliskBrowser
ოპერისა

დინამიური ანალიზის წინააღმდეგობა

• შემოწმება მიმდინარეობს თუ არა პროცესი ანალიზის პროცესში

  განხორციელდა პროცესის ძიების გამოყენებით ამოცანა, ProcessHacker, procexp64, procexp, პროკმონი. თუ ერთი მაინც იქნა ნაპოვნი, მავნე პროგრამა გადის.

• შეამოწმეთ, ხართ თუ არა ვირტუალურ გარემოში

  განხორციელდა პროცესის ძიების გამოყენებით vmtoolsd, VGAuthService, vmacthlp, VBoxService, VBoxTray. თუ ერთი მაინც იქნა ნაპოვნი, მავნე პროგრამა გადის.

• იძინებს 5 წამის განმავლობაში
• სხვადასხვა ტიპის დიალოგების დემონსტრირება

  შეიძლება გამოყენებულ იქნას ზოგიერთი ქვიშის ყუთის გვერდის ავლით.

• UAC-ის გვერდის ავლით

  შესრულებულია რეესტრის გასაღების რედაქტირებით ჩართეთLUA ჯგუფის პოლიტიკის პარამეტრებში.

• იყენებს "დამალული" ატრიბუტს მიმდინარე ფაილზე.
• მიმდინარე ფაილის წაშლის შესაძლებლობა.

არააქტიური ფუნქციები

ჩამტვირთველისა და ძირითადი მოდულის ანალიზის დროს აღმოჩნდა ფუნქციები, რომლებიც პასუხისმგებელნი იყვნენ დამატებით ფუნქციონირებაზე, მაგრამ ისინი არსად გამოიყენება. ეს ალბათ გამოწვეულია იმით, რომ მავნე პროგრამა ჯერ კიდევ დამუშავების პროცესშია და ფუნქციონალობა მალე გაფართოვდება.

ჩამტვირთავი AtProtect

ნაპოვნია ფუნქცია, რომელიც პასუხისმგებელია პროცესში ჩატვირთვაზე და ინექციაზე msiexec.exe თვითნებური მოდული.

DataStealer

• სისტემაში კონსოლიდაცია

  

• დეკომპრესიის და გაშიფვრის ფუნქციები

  
  
  სავარაუდოა, რომ ქსელური კომუნიკაციის დროს მონაცემთა დაშიფვრა მალე განხორციელდება.

• ანტივირუსული პროცესების შეწყვეტა

zlclient	Dvp95_0	პავშედი	avgserv9
ეგუი	ეკენგინი	პავვ	avgserv9schedapp
ბდაგენტი	ესეფე	პციომონი	avgemc
npfmsg	Espwatch	PCCMAIN	აშვებსვ
olydbg	F-Agnt95	Pccwin98	ეშდისპ
ანბისი	ფინდვირი	Pcfwallicon	აშმაისვ
wireshark	Fprot	პერსფვ	ეშსერვი
ავასტუი	F-Prot	POP3TRAP	aswUpdSv
_Avp32	F-Prot95	PVIEW95	symwsc
ვსმონ	Fp-Win	რავ 7	ჩრდილოეთით
ბამბამ	Frw	Rav7win	Norton Auto-Protect
კლავიშების დამჭერი	F-Stopw	გადარჩენა	ნორტონი_ავ
_Avpcc	Iamapp	Safeweb	ნორტონავ
_Avpm	იამსერვი	სკანირება 32	ccsetmgr
Ackwin32	იბმასნი	სკანირება 95	ccevtmgr
Outpost	იბმავსპ	Scanpm	ავადმინ
ანტიტროას	იკლოდი95	სკანირება	avcenter
AntiVir	იკლოდენტი	Serv95	ავგნტ
Apvxdwin	ხატი	სმკ	ავგარდი
ATRACK	Icsupp95	SMCSERVICE	შეატყობინეთ
Autodown	Icsuppnt	სნორტი	ავსკანი
ავკონსოლი	Ჩემი სახე	სფინქსის	მცველი
გამზ .32	იომონ98	Sweep95	nod32krn
Avgctrl	Jedi	SYMPROXYSVC	nod32kui
ავქსერვი	ჩაკეტვა2000	Tbscan	კლამსკანი
ავტ	ფრთხილად	Tca	clamTray
Avp	ლუალ	Tds2-98	clamWin
Avp32	მაკაფი	Tds2-Nt	სუფთა
Avpcc	მოლივი	TermiNET	ოლადინი
Avpdos32	MPftray	Vet95	sigtool
Avpm	N32scanw	ვეტრეი	w9x გახსენით
Avptc32	NAVAPSVC	Vscan40	დახურვა
Avpupd	NAVAPW32	ვსეკომრ	სმ გრდიანი
Avsched32	NAVLU32	ვშვინი32	alogserv
AVSYNMGR	ნავნტ	Vsstat	mcshield
Avwin95	NAVRUNR	Webscanx	vshwin32
Avwupd32	Navw32	WEBTRAP	ავკონსოლი
გაშავებული	ნავნტ	Wfindv32	vsstat
Შავი ყინული	NeoWatch	ზონაალარმი	avsynmgr
Cfiadmin	NISSERV	LOCKDOWN2000	avcmd
Cfiaudit	ნისუმი	გადარჩენა32	avconfig
Cfinet	ნმაინი	ლუკომსერვერი	licmgr
Cfinet32	ნორმატიკოსი	avgcc	სქემის
Claw95	NORTON	avgcc	წინასწარი
Claw95cf	განახლება	ავგამსვრ	MsMpEng
Cleaner	Nvc95	avgupsvc	MSASCui
გამწმენდი 3	Outpost	საშ	ავირა.სისტრაი
Defwatch	პადმინი	avgcc32
Dvp95	პავკლ	avgserv

• Თვითგანადგურება
• მონაცემების ჩატვირთვა მითითებული რესურსის მანიფესტიდან

  

• ფაილის კოპირება გზაზე %Temp%tmpG[მიმდინარე თარიღი და დრო მილიწამებში].tmp

  
  საინტერესოა, რომ იდენტური ფუნქციაა AgentTesla მავნე პროგრამაში.

• ჭიის ფუნქციონირება

  მავნე პროგრამა იღებს მოსახსნელი მედიის სიას. მავნე პროგრამის ასლი იქმნება მედია ფაილური სისტემის ძირში სახელით Sys.exe. ავტომატური გაშვება ხორციელდება ფაილის გამოყენებით autorun.inf.

  

თავდამსხმელის პროფილი

ბრძანების ცენტრის ანალიზის დროს შესაძლებელი გახდა დეველოპერის ელექტრონული ფოსტისა და მეტსახელის დადგენა - Razer, aka Brwa, Brwa65, HiDDen PerSOn, 404 Coder. შემდეგი, ჩვენ ვიპოვეთ საინტერესო ვიდეო YouTube-ზე, რომელიც აჩვენებს მშენებელთან მუშაობას.

ამან შესაძლებელი გახადა დეველოპერის ორიგინალური არხის პოვნა.

გაირკვა, რომ მას ჰქონდა კრიპტოგრაფების წერის გამოცდილება. ასევე არის სოციალური ქსელების გვერდების ბმულები, ასევე ავტორის ნამდვილი სახელი. ის ერაყის მკვიდრი აღმოჩნდა.

ასე გამოიყურება 404 Keylogger-ის დეველოპერი. ფოტო მისი პირადი ფეისბუქის პროფილიდან.

CERT Group-IB-მა გამოაცხადა ახალი საფრთხე - 404 Keylogger - XNUMX-საათიანი მონიტორინგისა და რეაგირების ცენტრი კიბერ საფრთხეებზე (SOC) ბაჰრეინში.

წყარო: www.habr.com