Соңғы жылдары мобильді трояндар ДК трояндарын белсенді түрде алмастыруда, сондықтан осы сенімді құрылғыларға бағытталған жаңа зиянды бағдарламалардың пайда болуы және оларды киберқылмыскерлердің кеңінен пайдалануы, өкінішке орай, соған қарамастан даму болып табылады. Жақында Group-IB компаниясының 24/7 CERT (коммуникациялар бойынша төтенше жағдайға жауап беру орталығы) Keylogger және PasswordStealer функцияларын біріктіретін жаңа компьютерлік зиянды бағдарлама ретінде жасырылған әдеттен тыс фишингтік электрондық поштаны анықтады. Сарапшылар шпиондық бағдарламаның пайдаланушының машинасына танымал дауыстық хабаршы арқылы ену әдісіне тартылды. Илья ПомеранцевCERT Group-IB зиянды бағдарламаны талдау жөніндегі маман зиянды бағдарламаның қалай жұмыс істейтінін, оның қауіптілігін түсіндірді, тіпті оның жасаушысын алыс Иракта тапты.
Олай болса, қадам басып көрейік. Бұл электрондық пошта қосымша ретінде суретті қамтиды, ол басқан кезде пайдаланушыны веб-сайтқа апарды. cdn.discordapp.com, және сол жерден зиянды файл жүктелді.
Тегін дауыстық және мәтіндік хабар алмасу қолданбасы Discord қолданбасын пайдалану өте дәстүрлі емес. Әдетте бұл мақсаттар үшін басқа хабар алмасу қолданбалары немесе әлеуметтік желілер пайдаланылады.
Толығырақ талдау зиянды бағдарламалар тобын анықтады. Бұл зиянды бағдарламалар нарығына жаңадан келген адам болып шықты — 404 Keylogger.
Кейлоггерді сату туралы алғашқы хабарландыру жарияланды хакфорумдар 8 тамызда "404 Кодер" лақап аты бар қолданушы.
Дүкеннің домені жақында тіркелді - 2019 жылдың 7 қыркүйегінде.
Әзірлеушілер веб-сайтта сендіргендей 404жоба[.]xyz, 404 — компанияларға өз тұтынушыларының әрекеттері туралы білуге көмектесуге арналған құрал (олардың рұқсатымен) немесе екілік файлдарын кері инженериядан қорғағысы келетіндерге қажет. Алға қарай отырып, біз соңғы тапсырманы айтамыз 404 Бұл сөзсіз жұмыс істемейді.
Біз файлдардың бірін кері инженериялауды және «ЕҢ ҮЗДІК SMART KEYLOGGER» не туралы екенін тексеруді шештік.
VPO экожүйесі
1 жүктеуші (AtillaCrypter)
Түпнұсқа файлмен қорғалған EaxObfuscator және екі сатылы жүктеуді орындайды AtProtect ресурстар бөлімінен. VirusTotal сайтында табылған басқа үлгілерді талдау бұл кезеңнің әзірлеушіге арналмағанын, бірақ оны клиент қосқанын көрсетті. Кейінірек бұл жүктегіш AtillaCrypter екені анықталды.
2 жүктегіш (AtProtect)
Шын мәнінде, бұл жүктеуші зиянды бағдарламаның ажырамас бөлігі болып табылады және әзірлеушінің ниетіне сәйкес талдауға қарсы әрекет ету мүмкіндігін қабылдауы керек.
Дегенмен, іс жүзінде қорғау механизмдері өте қарапайым және біздің жүйелер бұл зиянды бағдарламаны сәтті анықтайды.
Негізгі модуль арқылы жүктеледі Franchy ShellCode әртүрлі нұсқалар. Дегенмен, біз басқа нұсқалардың пайдаланылуы мүмкін екенін жоққа шығармаймыз, мысалы, RunPE.
Конфигурация файлы
Жүйедегі консолидация
Жүктеуші жүйенің бекітілгенін қамтамасыз етеді. AtProtect, сәйкес жалауша орнатылған болса.
- Файл жол бойымен көшіріледі %AppData%GFqaakZpzwm.exe.
- Файл жасалуда %AppData%GFqaakWinDriv.url, іске қосу Zpzwm.exe.
- Жіпте HKCUSSoftwareMicrosoftWindowsCurrentVersionRun іске қосу кілті жасалады WinDriv.url.
C&C-мен өзара әрекеттесу
AtProtect Loader
Сәйкес жалауша бар болса, зиянды бағдарлама жасырын процесті іске қоса алады. iexplorer және хабарлау үшін берілген сілтемені басыңыз сервер сәтті инфекция туралы.
DataStealer
Қолданылатын әдіске қарамастан, желілік байланыс ресурсты пайдалана отырып, жәбірленушінің сыртқы IP-ін алудан басталады [http]://checkip[.]dyndns[.]org/.
Пайдаланушы агенті: Mozilla/4.0 (үйлесімді; MSIE 6.0; Windows NT 5.2; .NET CLR1.0.3705;)
Хабарламаның жалпы құрылымы бірдей. Тақырып бар.
|——- 404 Keylogger — {Түрі} ——-|қайда {түрі} берілетін ақпарат түріне сәйкес келеді.
Төменде жүйе туралы ақпарат берілген:
_______ + ЖӘБЕР ТУРАЛЫ АҚПАРАТ + _______
IP: {Сыртқы IP}
Иесінің аты: {Компьютер аты}
ОЖ атауы: {OS атауы}
ОЖ нұсқасы: {OS нұсқасы}
ОЖ платформасы: {Платформа}
ЖЖҚ өлшемі: {RAM өлшемі}
______________________________
Ақырында, деректер жіберіледі.
SMTP
Хаттың тақырыбы мынадай: 404 К | {Хабар түрі} | Клиент аты: {User Name}.
Бір қызығы, клиентке хаттарды жеткізу үшін 404 Keylogger Әзірлеушілердің SMTP сервері пайдаланылады.
Бұл кейбір клиенттерді, сондай-ақ әзірлеушілердің бірінің электрондық поштасын анықтауға мүмкіндік берді.
FTP
Бұл әдісті пайдаланған кезде жиналған ақпарат файлға сақталады және сол жерден бірден оқылады.
Бұл әрекеттің логикасы толығымен анық емес, бірақ ол мінез-құлық ережелерін жазу үшін қосымша артефакт жасайды.
%HOMEDRIVE%%HOMEPATH%DocumentsA{Кез келген сан}.txt
Pastebin
Талдау кезінде бұл әдіс ұрланған құпия сөздерді жіберу үшін ғана қолданылады. Оның үстіне ол балама ретінде емес, алғашқы екі әдіске параллель қолданылады. Шарт - "Vavaa" тұрақты мәні, болжам бойынша клиенттің аты.
Өзара әрекеттесу API арқылы https протоколы арқылы жүзеге асады пастебин. Мағынасы api_paste_private тең Тізімнен тыс_қою, ол мұндай беттерді іздеуге тыйым салады пастебин.
Шифрлау алгоритмдері
Ресурстардан файлды шығару
Пайдалы жүктеме жүктеуші ресурстарында сақталады. AtProtect растрлық кескіндер түрінде. Экстракция бірнеше кезеңде жүреді:
- Кескіннен байт массиві шығарылады. Әрбір пиксел BGR тәртібінде үш байт тізбегі ретінде қарастырылады. Шығарғаннан кейін массивтің алғашқы төрт байты хабарлама ұзындығын сақтайды, ал келесі төрт байт хабарламаның өзін сақтайды.
- Кілт есептеледі. Ол үшін MD5 құпия сөз ретінде көрсетілген "ZpzwmjMJyfTNiRalKVrcSkxCN" мәнінен есептеледі. Алынған хэш екі рет жазылады.
- Шифрды шешу ECB режимінде AES алгоритмі арқылы орындалады.
Зиянды функция
Downloader
Жүктеушіде іске асырылды AtProtect.
- Апелляция бойынша [activelink-repalce] Сервер күйі файлды жеткізуге дайындығына қатысты сұралады. Сервер қайтарылуы керек «ҚОСУЛЫ».
- Анықтама бойынша [жүктеу сілтемесін ауыстыру] Пайдалы жүктеме жүктелуде.
- Көмегімен FranchyShellcode пайдалы жүктеме процеске енгізіледі [inj-replace].
Доменді талдау кезінде 404жоба[.]xyz VirusTotal ішінде қосымша даналар анықталды 404 Keylogger, сондай-ақ жүк тиегіштердің бірнеше түрі.
Шартты түрде олар екі түрге бөлінеді:
- Жүктеп алу ресурстан жүзеге асырылады 404жоба[.]xyz.
Деректер Base64 кодталған және AES шифрланған. - Бұл опция бірнеше кезеңнен тұрады және ең алдымен жүктеушімен бірге пайдаланылады. AtProtect.
- Бірінші кезеңде деректер келесіден жүктеледі пастебин және функцияның көмегімен декодталған HexToByte.
- Екінші кезеңде жүктеу көзі өзі болып табылады 404жоба[.]xyzДекомпрессия және декодтау функциялары DataStealer ішінде табылғандарға ұқсас. Бастапқы жоспар негізгі модульде жүктеуші функционалдығын енгізу болған болуы мүмкін.
- Бұл кезеңде пайдалы жүктеме қысылған пішіндегі ресурс манифестінде әлдеқашан бар. Ұқсас экстракция функциялары негізгі модульде де табылды.
Талдалған файлдардың арасынан жүктеушілер табылды. njRat, SpyGate және басқа РАТ.
Keylogger
Журналды жіберу уақыты: 30 минут.
Барлық кейіпкерлерге қолдау көрсетіледі. Арнайы кейіпкерлер қашып құтылады. BackSpace және Delete пернелеріне қолдау көрсетіледі. Регистрге сезімтал.
ClipboardLogger
Журналды жіберу уақыты: 30 минут.
Буферді сұрау кезеңі: 0,1 секунд.
Сілтемеден қашу жүзеге асырылды.
ScreenLogger
Журналды жіберу уақыты: 60 минут.
Скриншоттар сақталады %HOMEDRIVE%%HOMEPATH%Құжаттар404k404pic.png.
Қалтаны жібергеннен кейін 404k жойылады.
PasswordStealer
| Браузерлер | Пошта клиенттері | FTP клиенттері |
|---|---|---|
| Chrome | көзқарас | FileZilla |
| Firefox | Thunderbird | |
| SeaMonkey | Foxmail | |
| мұз айдаһар | ||
| PaleMoon | ||
| Киберфокс | ||
| Chrome | ||
| BraveBrowser | ||
| QQBrowser | ||
| IridiumBrowser | ||
| XvastBrowser | ||
| Чедот | ||
| 360Browser | ||
| ComodoDragon | ||
| 360Chrome | ||
| SuperBird | ||
| CentBrowser | ||
| GhostBrowser | ||
| IronBrowser | ||
| хром | ||
| Вивальди | ||
| SlimjetBrowser | ||
| Орбитум | ||
| CocCoc | ||
| Қолжазба | ||
| UCBrowser | ||
| EpicBrowser | ||
| BliskBrowser | ||
| опера |
Динамикалық талдауға қарсы әрекет
- Процестің талданып жатқанын тексеру
Ол процесті іздеу арқылы жүзеге асырылады taskmgr, ProcessHacker, procexp64, procexp, прокмонКем дегенде біреуі табылса, зиянды бағдарлама жұмысын тоқтатады.
- Виртуалды ортада екеніңізді тексеру
Ол процесті іздеу арқылы жүзеге асырылады vmtoolsd, VGAuthService, vmacthlp, VBoxService, VBoxTrayКем дегенде біреуі табылса, зиянды бағдарлама жұмысын тоқтатады.
- 5 секунд ұйықтап қалу
- Диалогтық терезелердің әртүрлі түрлерін көрсету
Кейбір құм жәшіктерін айналып өту үшін пайдалануға болады.
- UAC айналып өту
Ол тізілім кілтін өңдеу арқылы орындалады. LUA қосыңыз Топтық саясат параметрлерінде.
- Ағымдағы файлға Жасырын төлсипатты қолданыңыз.
- Ағымдағы файлды жою мүмкіндігі.
Белсенді емес мүмкіндіктер
Жүктеуші мен негізгі модульді талдау қосымша функционалдылыққа жауапты функцияларды анықтады, бірақ олар еш жерде қолданылмайды. Бұл зиянды бағдарлама әлі де әзірлену үстінде және оның функционалдығы жақын арада кеңейтілетіндіктен болуы мүмкін.
AtProtect Loader
Процесске жүктеуге және енгізуге жауапты функция табылды msiexec.exe ерікті модуль.
DataStealer
- Жүйедегі консолидация
- Декомпрессия және шифрды ашу функциялары
Желі байланыстары үшін деректерді шифрлау жақын арада жүзеге асырылуы мүмкін. - Вирусқа қарсы процестерді тоқтату
| zlclient | Dvp95_0 | Павшед | avgserv9 |
| egui | Ecengine | Павв | avgserv9schedapp |
| бдагент | Эсафе | PCCIOMON | avgemc |
| npfmsg | Espwatch | PCCMAIN | ashwebsv |
| olydbg | F-Agnt95 | Pccwin98 | ашдисп |
| анубис | Findviru | Pcfwallicon | ашмаисв |
| сымдар | Fprot | Persfw | ашсерв |
| авастуи | F-Prot | POP3TRAP | aswUpdSv |
| _Avp32 | F-Prot95 | PVIEW95 | symwsc |
| vsmon | Fp-Жеңіс | Рав7 | солтүстік |
| mbam | Frw | Rav7win | Norton Auto-Protect |
| перне скраблер | F-Stopw | құтқару | norton_av |
| _Авпк | Iamapp | Safeweb | Нортонав |
| _Орт | Iamserv | Сканерлеу32 | ccsetmgr |
| Ackwin32 | Ибмасн | Сканерлеу95 | ccevtmgr |
| Форпост | Ibmavsp | Scanpm | авадмин |
| Троянға қарсы | Icload95 | Сканерлеу | avcenter |
| АНТИВИР | Жүктеме | Серв95 | авгнт |
| Apvxdwin | Icmon | SMC | avguard |
| ATRACK | Icsupp95 | SMCSERVICE | ескерту |
| Автоматты түрде төмендету | Icsuppnt | Снорт | avscan |
| Avconsol | Iface | Сфинкс | күзетші |
| Авен32 | Iomon98 | Тазалау95 | nod32krn |
| Avgctrl | Jedi | SYMPROXYSVC | nod32kui |
| Avkserv | Құлыптау2000 | Tbscan | балдыркөк |
| Avnt | Абайлау | Тка | clamTray |
| Avp | Луалл | Tds2-98 | clamWin |
| AVP32 | MCAFEE | Tds2-Nt | балғын балдыркөк |
| Avpcc | Моолив | TermiNET | оладдин |
| Avpdos32 | Mpftray | Вет 95 | сигтул |
| Avpm | N32scanw | Веттрей | w9xpopen |
| Avptc32 | NAVAPSVC | Vscan40 | Жабу |
| Avpupd | NAVAPW32 | Vsecomr | cmgrdian |
| Avsched32 | NAVLU32 | Vshwin32 | alogserv |
| AVSYNMGR | Navnt | Vsstat | mcshield |
| Avwin95 | NAVRUNR | Webscanx | vshwin32 |
| Avwupd32 | Navw32 | WEBTRAP | avconsol |
| Блэкд | Наввнт | Wfindv32 | vsstat |
| Blackice | NeoWatch | Аймақтық дабыл | avsynmgr |
| Cfiadmin | NISSERV | ҚҰЛЫПТАУ2000 | avcmd |
| Cfiaudit | Нисум | ҚҰТҚАРУ32 | avconfig |
| Cfinet | Nmain | LUCOMSERVER | licmgr |
| Cfinet32 | Нормист | орт | тіреуішті |
| Claw95 | Нортон | орт | алдын ала дайындалған |
| Claw95cf | Жаңарту | avgamsvr | MsMpEng |
| Таза | Nvc95 | avgupsvc | MSASCui |
| Тазартқыш3 | Форпост | орт | Avira.Systray |
| Қараусыз | Падмин | avgcc32 | |
| Dvp95 | Pavcl | avgserv |
- Өзін-өзі жою
- Көрсетілген ресурс манифестінен деректер жүктелуде
- Файлды жолға көшіру %Temp%tmpG[Ағымдағы күн мен уақыт миллисекундпен].tmp
Бір қызығы, AgentTesla бағдарламалық жасақтамасында бірдей функция бар. - Құрттың функционалдығы
Зиянды бағдарлама алынбалы тасымалдағыштардың тізімін алады. Зиянды бағдарламаның көшірмесі медиа файлдық жүйесінің түбірінде атымен жасалады Sys.exeАвтоматты іске қосу файл арқылы жүзеге асырылады autorun.inf.
Шабуылшы профилі
Командалық орталықты талдай отырып, біз әзірлеушінің электрондық пошта мекенжайы мен пайдаланушы атын анықтай алдық: Razer, aka Brwa, Brwa65, HiDDen PerSON, 404 Coder. Содан кейін біз құрылысшыны көрсететін қызықты YouTube бейнесін таптық.
Бұл бастапқы әзірлеуші арнасын табуға мүмкіндік берді.
Оның криптовалюта жазу тәжірибесі бар екені белгілі болды. Сондай-ақ әлеуметтік желідегі парақшаларға сілтемелер, автордың шын аты-жөні де болды. Ол ирактық болып шықты.
404 Keylogger әзірлеушісі осылай көрінеді. Фото оның жеке Facebook профилінен алынған.
Group-IB CERT, Бахрейндегі тәулік бойы жұмыс істейтін киберқауіпсіздікті бақылау және әрекет ету орталығы (SOC) 404 Keylogger жаңа ескертуін шығарды.
Ақпарат көзі: www.habr.com
