Keylogger bi surprîz: analîzkirina keylogger û deanonê pêşdebirê wê

Di van salên dawî de, Trojanên mobîl bi awayekî çalak şûna Trojans ji bo komputerên kesane digirin, ji ber vê yekê derketina malwareyên nû ji bo "erebeyên" baş ên kevn û karanîna wan a çalak ji hêla sûcdarên sîber ve, her çend ne xweş be jî, hîn jî bûyerek e. Di van demên dawî de, CERT Group-IB ya XNUMX/XNUMX navenda bersivdayina bûyera ewlehiya agahdariyê e-nameyek phishingek neasayî ku malwareyek PC-ya nû vedişêre ku fonksiyonên Keylogger û PasswordStealer vedişêre. Bala analîstan kişand ser ku çawa spyware ket ser makîneya bikarhêner - bi karanîna peyamberek dengek populer. Ilya Pomerantsev, pisporek analîzkirina malware li CERT Group-IB, diyar kir ku malware çawa dixebite, çima xeternak e, û tewra afirînerê xwe li Iraqa dûr jî dît.

Ji ber vê yekê, em bi rêzê biçin. Di bin navê pêvekekê de, nameyek weha wêneyek hebû, li ser tikandina ku bikarhêner li ser malperê hate birin. cdn.discordapp.com, û pelek xerab ji wir hat daxistin.

Bikaranîna Discord, peyamberek deng û nivîsê ya belaş, pir bêkêmasî ye. Bi gelemperî, peyamberên tavilê an torên civakî yên din ji bo van armancan têne bikar anîn.

Di dema analîzek berfirehtir de, malbatek malware hate nas kirin. Derket holê ku ew nûhatiyek li bazara malware ye - 404 Keylogger.

Reklama yekem ji bo firotina keylogger li ser hate şandin hackforums ji hêla bikarhênerê di bin navê "404 Koder" de di 8ê Tebaxê de.

Domaina dikanê di van demên dawî de hate tomar kirin - di 7ê Îlona 2019an de.

Wekî ku pêşdebiran li ser malperê dibêjin 404proje[.]xyz, 404 amûrek e ku ji bo alîkariya pargîdaniyan di derbarê çalakiyên xerîdarên xwe de (bi destûra wan) an jî ji bo kesên ku dixwazin binarya xwe ji endezyariya berevajî biparêzin ve hatî çêkirin, hatî çêkirin. Li pêş çavan, em bi peywira paşîn re bibêjin 404 teqez bi ser nakeve.

Me biryar da ku em yek ji pelan berevajî bikin û kontrol bikin ka "BEST SMART KEYLOGGER" çi ye.

Ekosîstema malware

Loader 1 (AtillaCrypter)

Pelê çavkaniyê bi kar tê parastin EaxObfuscator û barkirina du-gavekî pêk tîne AtProtect ji beşa çavkaniyan. Di dema analîzkirina nimûneyên din ên ku li ser VirusTotal de hatine dîtin, eşkere bû ku ev qonax ne ji hêla pêşdebir bi xwe ve hatî peyda kirin, lê ji hêla xerîdarê wî ve hatî zêdekirin. Paşê hat diyarkirin ku ev bootloader AtillaCrypter bû.

Bootloader 2 (AtProtect)

Di rastiyê de, ev barker parçeyek yekbûyî ya malware ye û, li gorî mebesta pêşdebiran, divê fonksiyona analîzkirina dijberî bigire.

Lêbelê, di pratîkê de, mekanîzmayên parastinê zehf primitive in, û pergalên me bi serfirazî vê malware nas dikin.

Modula sereke bi kar tê barkirin Franchy ShellCode versiyonên cuda. Lêbelê, em ji holê ranakin ku vebijarkên din dikaribû bihatana bikar anîn, mînakî, RunPE.

Pelê veavakirinê

Di sîstemê de yekbûn

Yekbûn di pergalê de ji hêla bootloader ve tête peyda kirin AtProtect, heke ala têkildar were danîn.

• Pelê di rê de tê kopî kirin %AppData%GFqaakZpzwm.exe.
• Pelê tê çêkirin %AppData%GFqaakWinDriv.url, destpêkirin Zpzwm.exe.
• Di nav mijarê de HKCUSoftwareMicrosoftWindowsCurrentVersionRun mifteyek destpêkê tê afirandin WinDriv.url.

Têkiliya bi C & C

Loader AtProtect

Ger ala guncan hebe, malware dikare pêvajoyek veşartî bide destpêkirin iexplorer û lînka diyarkirî bişopînin da ku serverê di derbarê enfeksiyona serfiraz de agahdar bikin.

DataStealer

Tevî rêbaza ku tê bikar anîn, pêwendiya torê bi wergirtina IP-ya derveyî ya qurbaniyê bi karanîna çavkaniyê dest pê dike [http]://checkip[.]dyndns[.]org/.

Bikarhêner-Agent: Mozilla/4.0 (lihevhatî; MSIE 6.0; Windows NT 5.2; .NET CLR1.0.3705;)

Avahiya giştî ya peyamê jî heman e. Header niha
|——- 404 Keylogger — {Tîp} ——-|ko {awa} bi celebê agahdariya ku têne şandin ve girêdayî ye.
Agahdariya jêrîn li ser pergalê ye:

_______ + AGAHIYA QURBAN + _______

IP: {IP-ya derve}
Navê Xwedî: {Navê kompîturê}
Navê OS: {OS Navê}
Guhertoya OS: {Guhertoya OS}
OS Platform: {Platform}
Mezinahiya RAM: {Mezinahiya RAM}
______________________________

Û di dawiyê de, daneyên veguhestin.

SMTP

Mijara nameyê wiha ye: 404 K | {Cûreya Peyamê} | Navê Xerîdar: {Navê bikarhêner}.

Balkêş e, ji bo gihandina nameyan ji xerîdar re 404 Keylogger Pêşkêşkara SMTP ya pêşdebiran tê bikar anîn.

Vê yekê gengaz kir ku hin xerîdar, û her weha e-nameya yek ji pêşdebiran nas bikin.

FTP

Dema ku vê rêbazê bikar bînin, agahdariya berhevkirî li pelek tê hilanîn û tavilê ji wir tê xwendin.

Mantiqa li pişt vê çalakiyê bi tevahî ne diyar e, lê ew ji bo nivîsandina qaîdeyên behrê hunerek zêde diafirîne.

%HOMEDRIVE%%HOMEPATH%DocumentsA{Hejmara keyfî}.txt

pastebin

Di dema analîzê de, ev rêbaz tenê ji bo veguheztina şîfreyên dizî tê bikar anîn. Wekî din, ew ne wekî alternatîfek ji her du yekem, lê di paralel de tê bikar anîn. Şert nirxa domdar a "Vavaa" ye. Dibe ku ev navê xerîdar e.

Têkilî bi protokola https-ê bi navgîniya API-ê pêk tê pastebin. Mane api_paste_private wek hev PASTE_UNLISTED, ku lêgerîna rûpelên weha di nav de qedexe dike pastebin.

Algorîtmayên şîfrekirinê

Vegerandina pelek ji çavkaniyan

Payload di çavkaniyên bootloader de têne hilanîn AtProtect di forma wêneyên Bitmap de. Derxistin di çend qonaxan de pêk tê:

• Rêzikek byte ji wêneyê tê derxistin. Her pîxel di rêza BGR de wekî rêzek 3 byte tê hesibandin. Piştî derxistinê, 4 baytên pêşîn ên rêzê dirêjahiya peyamê hildibijêre, yên paşîn jî peyamê bixwe.

  

• Miftê tê hesibandin. Ji bo vê yekê, MD5 ji nirxa "ZpzwmjMJyfTNiRalKVrcSkxCN" ku wekî şîfreyê hatî destnîşan kirin tê hesibandin. Haşa encam du caran tê nivîsandin.

  

• Deşîfrekirin bi karanîna algorîtmaya AES di moda ECB de tête kirin.

Fonksiyona xerab

Downloader

Di bootloader de pêk tê AtProtect.

• Bi têkilî [activelink-repalce] Rewşa serverê tê xwestin ku piştrast bike ku ew amade ye ku pelê xizmetê bike. Divê server vegere "LI".
• Girêk [girêdana daxistin-li şûna] The payload tê daxistin.
• Bi alîkariya alîkariya FranchyShellcode bargiraniya pêvajoyê tê derzîkirin [inj-replace].

Di dema analîzkirina domainê de 404proje[.]xyz Mînakên din li ser VirusTotal hatin nas kirin 404 Keylogger, û her weha çend cûreyên barkêşan.

Bi kevneşopî, ew li du celeb têne dabeş kirin:

1. Daxistin ji çavkaniyê tê kirin 404proje[.]xyz.

   
   Daneyên Base64 kodkirî û AES şîfrekirî ne.

2. Ev vebijark ji çend qonaxan pêk tê û bi îhtîmalek mezin bi bootloader re tê bikar anîn AtProtect.

• Di qonaxa yekem de, dane ji barkirin pastebin û bi karanîna fonksiyonê deşîfre kirin HexToByte.

  

• Di qonaxa duyemîn de, çavkaniya barkirinê ev e 404proje[.]xyz. Lêbelê, fonksiyonên dekompresyon û dekodkirinê mîna yên ku di DataStealer de têne dîtin in. Dibe ku di destpêkê de hate plan kirin ku fonksiyona bootloader di modula sereke de bicîh bike.

  

• Di vê qonaxê de, bargiran jixwe di forma pêvekirî de di diyardeya çavkaniyê de ye. Di modula sereke de fonksiyonên derxistina wekhev jî hatin dîtin.

Dakêşker di nav pelên analîzkirî de hatin dîtin njRat, SpyGate û RATên din.

Keylogger

Dema şandina têketinê: 30 hûrdem.

Hemî karakter têne piştgirî kirin. Karakterên taybet direvin. Ji bo bişkojkên BackSpace û Delete pêvajoyek heye. Case hesas.

ClipboardLogger

Dema şandina têketinê: 30 hûrdem.

Dema dengdanê ya tampon: 0,1 çirke.

Reva girêdanê hate pêkanîn.

ScreenLogger

Dema şandina têketinê: 60 hûrdem.

Wêneyên dîmenan tê de têne tomar kirin %HOMEDRIVE%%HOMEPATH%Documents404k404pic.png.

Piştî şandina peldankê 404k tê jêbirin.

PasswordStealer

Bûrûndî	mişteriyên Mail	xerîdarên FTP
chrome	Nîr	FileZilla
Firefox	Thunderbird
SeaMonkey	Foxmail
icedragon
Palîmoon
cyberfox
chrome
BraveBrowser
QQBrowser
IridiumBrowser
XvastBrowser
Chedot
360 Gerok
ComodoDragon
360Chrome
SuperBird
CentBrowser
GhostBrowser
IronBrowser
Chromium
Vivaldi
SlimjetBrowser
orbitum
CocCoc
Finddar
UCBrowser
EpicBrowser
BliskBrowser
Opîra

Berevajîkirina analîza dînamîkî

• Kontrol bikin ka pêvajoyek di bin analîzê de ye

  Bi karanîna lêgerîna pêvajoyê pêk tê taskmgr, ProcessHacker, procexp64, procexp, procmon. Ger bi kêmanî yek were dîtin, malware derdikeve.

• Kontrol bikin ka hûn di hawîrdorek virtual de ne

  Bi karanîna lêgerîna pêvajoyê pêk tê vmtoolsd, VGAuthService, vmacthlp, VBoxService, VBoxTray. Ger bi kêmanî yek were dîtin, malware derdikeve.

• Ji bo 5 saniyeyan di xew de diçe
• Xwenîşandana cûreyên cûda yên qutiyên diyalogê

  Dikare ji bo derbaskirina hin sandboxan were bikar anîn.

• UAC derbas bikin

  Bi guherandina mifteya qeydê tê kirin EnableLUA di mîhengên Polîtîkaya Komê de.

• Taybetmendiya "Veşartî" li pelê heyî sepand.
• Kapasîteya jêbirina pelê heyî.

Taybetmendiyên Neçalak

Di dema analîzkirina bootloader û modula sereke de, fonksiyonên ku ji fonksiyonên zêde berpirsiyar bûn hatin dîtin, lê ew li ti deran nayên bikar anîn. Ev belkî ji ber vê yekê ye ku malware hîn di pêşkeftinê de ye û fonksiyon dê di demek nêzîk de were berfireh kirin.

Loader AtProtect

Fonksiyonek hate dîtin ku berpirsiyariya barkirin û derzîlêdana pêvajoyê ye msiexec.exe module keyfî.

DataStealer

• Di sîstemê de yekbûn

  

• Dekompresyon û fonksiyonên deşîfrekirinê

  
  
  Îhtîmal e ku şîfrekirina daneyê di dema ragihandina torê de dê di demek nêzîk de were bicîh kirin.

• Bi dawîkirina pêvajoyên antivirus

zlclient	Dvp95_0	Pavsched	avgserv9
egui	Ecengine	Pavw	avgserv9schedapp
bdagent	Esafe	PCCIOMON	avgemc
npfmsg	Espwatch	PCCMAIN	ashwebsv
olydbg	F-Agnt95	Pccwin98	ashdisp
Anubis	Findvir	Pcfwallicon	ashmaisv
wireshark	Fprot	Persfw	ashserv
avastui	F-prot	POP3TRAP	aswUpdSv
_Avp32	F-Prot95	PVIEW95	symwsc
vsmon	Fp-Win	Rav7	norton
mbam	Frw	Rav7win	Norton Auto-Protect
keyscrambler	F-Stopw	Rizgarî	norton_av
_Avpcc	Iamapp	Safeweb	nortonav
_Avpm	Iamserv	Scan32	ccsetmgr
Ackwin32	Ibmasn	Scan95	ccevtmgr
Outpost	Ibmavsp	Scanpm	avadmin
Anti-Trojan	Icload95	Scrscan	avcenter
AntiVir	Icloadnt	Serv95	avgnt
Apvxdwin	Icmon	smc	avguard
ATRACK	Icsupp95	SMCSERVICE	avnotify
Autodown	Icsuppnt	Snort	avscan
Avconsol	Iface	Ew Gioconda	guardgui
Ave32	Iomon98	Sweep95	nod32krn
Avgctrl	Jedi	SYMPROXYSVC	nod32kui
Avkserv	Lockdown2000	Tbscan	clamscan
Avnt	Derve binêre	Tca	clamTray
Avp	Luall	Tds2-98	clamWin
Avp32	mcafee	Tds2-Nt	tirşikê
Avpcc	Moolive	TermiNET	oladdin
Avpdos32	MPftray	Vet95	sigtool
Avpm	N32scanw	Vettray	w9xvebe
Avptc32	NAVAPSVC	Vscan40	W nêzîk
Avpupd	NAVAPW32	Vsecomr	cmgrdian
Avsched32	NAVLU32	Vshwin32	alogserv
AVSYNMGR	Navnt	Vsstat	mcshield
Avwin95	NAVRUNR	Webscanx	vshwin32
Avwupd32	Navw32	WEBTRAP	avconsol
Blackd	Navwnt	Wfindv32	vsstat
Blackice	NeoWatch	zonealarm	avsynmgr
Cfiadmin	NISSERV	LOCKDOWN2000	avcmd
Cfiaudit	Nisum	RESCUE32	avconfig
Cfinet	Nmain	LUCOMSERVER	licmgr
Cfinet32	Normist	avgcc	sched
Claw95	NORTON	avgcc	preupd
Claw95cf	Nûvekirin	avgamsvr	MsMpEng
Dermanê paqijîyê	Nvc95	avgupsvc	MSASCui
Paqijker3	Outpost	avgw	Avira.Systray
Defwatch	Padmin	avgcc32
Dvp95	Pavcl	avgserv

• Xwe hilweşandin
• Daneyên ji manîfestoya çavkaniya diyarkirî bar dike

  

• Kopîkirina pelek li ser rêyekê %Temp%tmpG[Dîrok û dema niha bi milî çirkeyan].tmp

  
  Balkêş e, fonksiyonek wekhev di malwareya AgentTesla de heye.

• Fonksiyona kurmê

  Malware navnîşek medyaya jêbirinê distîne. Kopiyek malware di koka pergala pelê ya medyayê de bi navî tê afirandin Sys.exe. Autorun bi karanîna pelek tête bicîh kirin autorun.inf.

  

Profîla êrîşkar

Di dema analîzkirina navenda fermandariyê de, gengaz bû ku e-name û paşnavê pêşdebir - Razer, ango Brwa, Brwa65, HiDDen PerSOn, 404 Coder were saz kirin. Dûv re, me vîdyoyek balkêş li ser YouTube dît ku xebata bi çêker re destnîşan dike.

Vê yekê gengaz kir ku kanala pêşdebirê orjînal bibînin.

Eşkere bû ku ezmûna wî di nivîsandina krîptografan de hebû. Her weha lînkên rûpelên li ser torên civakî, û her weha navê rastîn ê nivîskar jî hene. Derket holê ku ew niştecihê Iraqê ye.

Ya ku pêşdebirek 404 Keylogger qaşo xuya dike ev e. Wêne ji profîla wî ya kesane ya Facebookê.

CERT Group-IB gefek nû ragihand - 404 Keylogger - navendek çavdêrî û bersivdayînê ya XNUMX demjimêran ji bo gefên sîber (SOC) li Bahreyn.

Source: www.habr.com