Соңғы жылдары мобильді трояндар дербес компьютерлер үшін трояндарды белсенді түрде алмастыруда, сондықтан ескі жақсы «автокөліктер» үшін жаңа зиянды бағдарламалардың пайда болуы және оларды киберқылмыскерлердің белсенді пайдалануы жағымсыз болса да, әлі де оқиға болып табылады. Жақында CERT Group-IB 24/7 тәулік бойы жұмыс істейтін ақпараттық қауіпсіздік инциденттеріне жауап беру орталығы Keylogger және PasswordStealer функцияларын біріктіретін жаңа компьютерлік зиянды бағдарламаны жасырған әдеттен тыс фишингтік электрондық поштаны анықтады. Сарапшылардың назары шпиондық бағдарламаның пайдаланушының машинасына - танымал дауыстық мессенджердің көмегімен қалай түскеніне аударылды. Илья Померанцев, CERT Group-IB зиянды бағдарламаны талдау жөніндегі маманы зиянды бағдарламаның қалай жұмыс істейтінін, оның неліктен қауіпті екенін түсіндірді, тіпті оның жасаушысын алыс Иракта тапты.
Ендеше, ретімен барайық. Қосымшаның астында мұндай хатта сурет бар, оны басқаннан кейін пайдаланушы сайтқа кірді. cdn.discordapp.com, және сол жерден зиянды файл жүктелді.
Discord, тегін дауыстық және мәтіндік мессенджерді пайдалану өте дәстүрлі емес. Әдетте бұл мақсаттар үшін басқа жедел хабаршылар немесе әлеуметтік желілер пайдаланылады.
Толығырақ талдау кезінде зиянды бағдарламалар тобы анықталды. Бұл зиянды бағдарламалар нарығына жаңадан келген адам болды - 404 Keylogger.
Кейлоггерді сату туралы алғашқы хабарландыру жарияланды хакфорумдар 404 тамызда «8 Кодер» лақап атымен пайдаланушы.
Дүкен домені жақында тіркелді - 7 жылдың 2019 қыркүйегінде.
Әзірлеушілер веб-сайтта айтқандай 404жоба[.]xyz, 404 компанияларға тұтынушыларының әрекеттері туралы (олардың рұқсатымен) немесе екілік жүйесін кері инженериядан қорғағысы келетіндерге көмектесуге арналған құрал болып табылады. Алға қарай отырып, соңғы тапсырмамен айтайық 404 шыдамайтыны сөзсіз.
Біз файлдардың бірін өзгертуді және «BEST SMART KEYLOGGER» дегеннің не екенін тексеруді шештік.
Зиянды бағдарлама экожүйесі
1 жүктегіш (AtillaCrypter)
Бастапқы файл пайдалану арқылы қорғалған EaxObfuscator және екі сатылы жүктеуді орындайды AtProtect ресурстар бөлімінен. VirusTotal сайтында табылған басқа үлгілерді талдау кезінде бұл кезеңді әзірлеушінің өзі қамтамасыз етпегені, оны клиент қосқаны белгілі болды. Кейінірек бұл жүктеуші AtillaCrypter екені анықталды.
Жүктеу құралы 2 (AtProtect)
Шын мәнінде, бұл жүктеуші зиянды бағдарламаның ажырамас бөлігі болып табылады және әзірлеушінің ниетіне сәйкес талдауға қарсы әрекет ету мүмкіндігін қабылдауы керек.
Дегенмен, іс жүзінде қорғау механизмдері өте қарапайым және біздің жүйелер бұл зиянды бағдарламаны сәтті анықтайды.
Негізгі модуль арқылы жүктеледі Franchy ShellCode әртүрлі нұсқалар. Дегенмен, біз басқа опциялардың пайдаланылуы мүмкін екенін жоққа шығармаймыз, мысалы, RunPE.
Конфигурация файлы
Жүйедегі консолидация
Жүйедегі консолидация жүктеуші арқылы қамтамасыз етіледі AtProtect, сәйкес жалауша орнатылған болса.
- Файл жол бойымен көшіріледі %AppData%GFqaakZpzwm.exe.
- Файл құрылды %AppData%GFqaakWinDriv.url, іске қосу Zpzwm.exe.
- Жіпте HKCUSoftwareMicrosoftWindowsCurrentVersionRun іске қосу кілті жасалады WinDriv.url.
C&C-мен өзара әрекеттесу
Loader AtProtect
Сәйкес жалауша бар болса, зиянды бағдарлама жасырын процесті іске қоса алады зерттеуші және серверді сәтті инфекция туралы хабардар ету үшін көрсетілген сілтемені орындаңыз.
DataStealer
Қолданылатын әдіске қарамастан, желілік байланыс ресурсты пайдалана отырып, жәбірленушінің сыртқы IP-ін алудан басталады [http]://checkip[.]dyndns[.]org/.
Пайдаланушы агенті: Mozilla/4.0 (үйлесімді; MSIE 6.0; Windows NT 5.2; .NET CLR1.0.3705;)
Хабарламаның жалпы құрылымы бірдей. Тақырып бар
|——- 404 Keylogger — {Type} ——-|қайда {түрі} берілетін ақпарат түріне сәйкес келеді.
Төменде жүйе туралы ақпарат берілген:
_______ + ЖӘБЕР ТУРАЛЫ АҚПАРАТ + _______
IP: {Сыртқы IP}
Иесінің аты: {Компьютер аты}
ОЖ атауы: {OS атауы}
ОЖ нұсқасы: {OS нұсқасы}
ОЖ платформасы: {Платформа}
ЖЖҚ өлшемі: {RAM өлшемі}
______________________________
Және, ақырында, жіберілген деректер.
SMTP
Хаттың тақырыбы мынадай: 404 К | {Хабар түрі} | Клиент аты: {Username}.
Бір қызығы, хаттарды клиентке жеткізу 404 Keylogger Әзірлеушілердің SMTP сервері пайдаланылады.
Бұл кейбір клиенттерді, сондай-ақ әзірлеушілердің бірінің электрондық поштасын анықтауға мүмкіндік берді.
FTP
Бұл әдісті пайдаланған кезде жиналған ақпарат файлға сақталады және сол жерден бірден оқылады.
Бұл әрекеттің логикасы толығымен анық емес, бірақ ол мінез-құлық ережелерін жазу үшін қосымша артефакт жасайды.
%HOMEDRIVE%%HOMEPATH%DocumentsA{Еркін сан}.txt
Pastebin
Талдау кезінде бұл әдіс ұрланған құпия сөздерді тасымалдау үшін ғана қолданылады. Оның үстіне ол алғашқы екеуіне балама ретінде емес, параллель қолданылады. Шарт – «Vavaa» тең тұрақтының мәні. Бұл клиенттің аты болуы мүмкін.
Өзара әрекеттесу API арқылы https протоколы арқылы жүзеге асады пастебин. Мағынасы api_paste_private тең PASTE_UNLISTED, ол мұндай беттерді іздеуге тыйым салады пастебин.
Шифрлау алгоритмдері
Ресурстардан файлды шығарып алу
Пайдалы жүктеме жүктеуші ресурстарында сақталады AtProtect нүктелік кескіндер түрінде. Экстракция бірнеше кезеңде жүзеге асырылады:
- Кескіннен байт массиві шығарылады. Әрбір пиксел BGR тәртібінде 3 байт тізбегі ретінде қарастырылады. Экстракциядан кейін массивтің алғашқы 4 байты хабарламаның ұзындығын сақтайды, одан кейінгілері хабарламаның өзін сақтайды.
- Кілт есептеледі. Ол үшін MD5 құпия сөз ретінде көрсетілген «ZpzwmjMJyfTNiRalKVrcSkxCN» мәнінен есептеледі. Алынған хэш екі рет жазылады.
- Шифрды шешу ECB режимінде AES алгоритмі арқылы орындалады.
Зиянды функция
Downloader
Жүктеушіде іске асырылды AtProtect.
- Байланыс арқылы [activelink-repalce] Сервердің күйі файлға қызмет көрсетуге дайын екенін растау үшін сұралады. Сервер қайтарылуы керек «ҚОСУЛЫ».
- Анықтама бойынша [жүктеу сілтемесін ауыстыру] Пайдалы жүк жүктелді.
- Көмегімен FranchyShellcode пайдалы жүктеме процеске енгізіледі [inj-replace].
Доменді талдау кезінде 404жоба[.]xyz VirusTotal ішінде қосымша даналар анықталды 404 Keylogger, сондай-ақ жүк тиегіштердің бірнеше түрі.
Шартты түрде олар екі түрге бөлінеді:
- Жүктеп алу ресурстан жүзеге асырылады 404жоба[.]xyz.
Деректер Base64 кодталған және AES шифрланған. - Бұл опция бірнеше кезеңнен тұрады және ең алдымен жүктеушімен бірге пайдаланылады AtProtect.
- Бірінші кезеңде деректер келесіден жүктеледі пастебин және функцияның көмегімен декодталған HexToByte.
- Екінші кезеңде жүктеме көзі болып табылады 404жоба[.]xyz. Дегенмен, декомпрессия және декодтау функциялары DataStealer ішінде табылғандарға ұқсас. Бастапқыда негізгі модульде жүктеуші функциясын енгізу жоспарланған болуы мүмкін.
- Бұл кезеңде пайдалы жүктеме қысылған пішіндегі ресурс манифестінде әлдеқашан бар. Ұқсас экстракция функциялары негізгі модульде де табылды.
Талдалған файлдар арасында жүктеп алушылар табылды njRat, SpyGate және басқа РАТ.
Keylogger
Журналды жіберу уақыты: 30 минут.
Барлық кейіпкерлерге қолдау көрсетіледі. Арнайы кейіпкерлер қашып құтылады. BackSpace және Delete пернелері үшін өңдеу бар. Регистрге сезгіш.
ClipboardLogger
Журналды жіберу уақыты: 30 минут.
Буферді сұрау кезеңі: 0,1 секунд.
Орнатылған сілтеме қашу.
ScreenLogger
Журналды жіберу уақыты: 60 минут.
Скриншоттар сақталады %HOMEDRIVE%%HOMEPATH%Құжаттар404k404pic.png.
Қалтаны жібергеннен кейін 404k жойылады.
PasswordStealer
Браузерлер | Пошта клиенттері | FTP клиенттері |
---|---|---|
Chrome | көзқарас | FileZilla |
Firefox | Thunderbird | |
SeaMonkey | Foxmail | |
мұз айдаһар | ||
PaleMoon | ||
Киберфокс | ||
Chrome | ||
BraveBrowser | ||
QQBrowser | ||
IridiumBrowser | ||
XvastBrowser | ||
Чедот | ||
360 Браузер | ||
ComodoDragon | ||
360Chrome | ||
SuperBird | ||
CentBrowser | ||
GhostBrowser | ||
IronBrowser | ||
хром | ||
Вивальди | ||
SlimjetBrowser | ||
Орбитум | ||
CocCoc | ||
Қолжазба | ||
UCBrowser | ||
EpicBrowser | ||
BliskBrowser | ||
опера |
Динамикалық талдауға қарсы әрекет
- Процестің талдауда екенін тексеру
Процесті іздеу арқылы жүзеге асырылады taskmgr, ProcessHacker, procexp64, procexp, прокмон. Кем дегенде біреуі табылса, зиянды бағдарлама шығады.
- Виртуалды ортада екеніңізді тексеру
Процесті іздеу арқылы жүзеге асырылады vmtoolsd, VGAuthService, vmacthlp, VBoxService, VBoxTray. Кем дегенде біреуі табылса, зиянды бағдарлама шығады.
- 5 секунд ұйықтап қалу
- Диалогтық терезелердің әртүрлі түрлерін көрсету
Кейбір құм жәшіктерін айналып өту үшін пайдалануға болады.
- UAC айналып өту
Тіркеу кілтін өңдеу арқылы орындалады LUA қосыңыз Топтық саясат параметрлерінде.
- Ағымдағы файлға «Жасырын» төлсипатын қолданады.
- Ағымдағы файлды жою мүмкіндігі.
Белсенді емес мүмкіндіктер
Жүктеуші мен негізгі модульді талдау барысында қосымша функционалдылыққа жауап беретін функциялар табылды, бірақ олар еш жерде қолданылмайды. Бұл зиянды бағдарлама әлі де әзірленуде және функционалдық жақын арада кеңейтілетініне байланысты болуы мүмкін.
Loader AtProtect
Процесске жүктеуге және енгізуге жауап беретін функция табылды msiexec.exe ерікті модуль.
DataStealer
- Жүйедегі консолидация
- Декомпрессия және шифрды ашу функциялары
Жақында желілік байланыс кезінде деректерді шифрлау жүзеге асырылуы мүмкін. - Вирусқа қарсы процестерді тоқтату
zlclient | Dvp95_0 | Павшед | avgserv9 |
egui | Ecengine | Павв | avgserv9schedapp |
бдагент | Эсафе | PCCIOMON | avgemc |
npfmsg | Espwatch | PCCMAIN | ashwebsv |
olydbg | F-Agnt95 | Pccwin98 | ашдисп |
анубис | Findvir | Pcfwallicon | ашмаисв |
сымдар | Fprot | Persfw | ашсерв |
авастуи | F-Prot | POP3TRAP | aswUpdSv |
_Avp32 | F-Prot95 | PVIEW95 | symwsc |
vsmon | Fp-Жеңіс | Рав7 | солтүстік |
mbam | Frw | Rav7win | Norton Auto-Protect |
перне скраблер | F-Stopw | құтқару | norton_av |
_Қосымша деректер | Iamapp | Safeweb | Нортонав |
_Орт | Iamserv | Сканерлеу32 | ccsetmgr |
Ackwin32 | Ибмасн | Сканерлеу95 | ccevtmgr |
Форпост | Ibmavsp | Scanpm | авадмин |
Троянға қарсы | Icload95 | Сканерлеу | avcenter |
AntiVir | Жүктеме | Серв95 | авгнт |
Apvxdwin | Icmon | SMC | avguard |
ATRACK | Icsupp95 | SMCSERVICE | ескерту |
Автотөмендеу | Icsuppnt | Снорт | avscan |
Avconsol | Iface | Сфинкс | күзетші |
Авен32 | Iomon98 | Тазалау95 | nod32krn |
Avgctrl | Jedi | SYMPROXYSVC | nod32kui |
Avkserv | Құлыптау2000 | Tbscan | балдыркөк |
Avnt | Абайлау | Тка | clamTray |
Avp | Луалл | Tds2-98 | clamWin |
Avp32 | МӘЛІМЕТ | Tds2-Nt | freshclam |
Avpcc | Моолив | TermiNET | оладдин |
Avpdos32 | MPftray | Вет 95 | сигтул |
Avpm | N32scanw | Веттрей | w9xpopen |
Avptc32 | NAVAPSVC | Vscan40 | Жабық |
Avpupd | NAVAPW32 | Vsecomr | cmgrdian |
Avsched32 | NAVLU32 | Vshwin32 | alogserv |
AVSYNMGR | Navnt | Vsstat | mcshield |
Avwin95 | NAVRUNR | Webscanx | vshwin32 |
Avwupd32 | Navw32 | WEBTRAP | avconsol |
Блэкд | Наввнт | Wfindv32 | vsstat |
Blackice | NeoWatch | Аймақтық дабыл | avsynmgr |
Cfiadmin | NISSERV | ҚҰЛЫПТАУ2000 | avcmd |
Cfiaudit | Нисум | ҚҰТҚАРУ32 | avconfig |
Cfinet | Nmain | LUCOMSERVER | licmgr |
Cfinet32 | Нормист | орт | тіреуішті |
Claw95 | Нортон | орт | алдын ала дайындалған |
Claw95cf | Жаңарту | avgamsvr | MsMpEng |
Таза | Nvc95 | avgupsvc | MSASCui |
Тазартқыш3 | Форпост | орт | Avira.Systray |
Қараусыз | Падмин | avgcc32 | |
Dvp95 | Pavcl | avgserv |
- Өзін-өзі жою
- Көрсетілген ресурс манифестінен деректер жүктелуде
- Файлды жол бойымен көшіру %Temp%tmpG[Ағымдағы күн мен уақыт миллисекундпен].tmp
Бір қызығы, AgentTesla зиянды бағдарламалық құралында бірдей функция бар. - Құрттың функционалдығы
Зиянды бағдарлама алынбалы тасымалдағыштардың тізімін алады. Зиянды бағдарламаның көшірмесі медиа файлдық жүйенің түбірінде атымен жасалады Sys.exe. Автоматты іске қосу файл арқылы жүзеге асырылады autorun.inf.
Шабуылшы профилі
Командалық орталықты талдау барысында әзірлеушінің электрондық поштасы мен лақап атын анықтау мүмкін болды - Razer, aka Brwa, Brwa65, HiDDen PerSON, 404 Coder. Содан кейін біз YouTube сайтында құрылысшымен жұмыс істеуді көрсететін қызықты бейне таптық.
Бұл бастапқы әзірлеуші арнасын табуға мүмкіндік берді.
Оның криптограф жазу тәжірибесі бар екені белгілі болды. Сондай-ақ, әлеуметтік желілердегі парақшаларға сілтемелер, автордың шын аты-жөні де бар. Ол Ирактың тұрғыны болып шықты.
404 Keylogger әзірлеушісі осылай көрінеді. Фото оның жеке Facebook профилінен.
CERT Group-IB жаңа қауіп туралы жариялады - 404 Keylogger - Бахрейндегі киберқауіптерге (SOC) тәулік бойы мониторинг және әрекет ету орталығы.
Ақпарат көзі: www.habr.com