Pastaraisiais metais mobilieji Trojos arklys aktyviai keičia Trojos arklys asmeniniuose kompiuteriuose, todėl naujų kenkėjiškų programų atsiradimas seniems geriems „automobiliams“ ir aktyvus jų naudojimas kibernetiniams nusikaltėliams, nors ir nemalonus, bet vis dar yra įvykis. Neseniai CERT Group-IB visą parą veikiantis informacijos saugumo incidentų reagavimo centras aptiko neįprastą sukčiavimo el. laišką, kuriame slepiama nauja kompiuterio kenkėjiška programa, apjungianti Keylogger ir PasswordStealer funkcijas. Analitikų dėmesys buvo atkreiptas į tai, kaip šnipinėjimo programa pateko į vartotojo kompiuterį – naudojant populiarų balso pasiuntinį. Ilja Pomerancevas, kenkėjiškų programų analizės specialistas iš CERT Group-IB, paaiškino, kaip kenkėjiška programa veikia, kodėl ji pavojinga, ir netgi rado jos kūrėją tolimame Irake.
Taigi, eikime eilės tvarka. Prisidengiant priedu tokiame laiške buvo nuotrauka, kurią spustelėjus vartotojas buvo nukreiptas į svetainę cdn.discordapp.com, ir iš ten buvo atsisiųstas kenkėjiškas failas.
Naudoti „Discord“, nemokamą balso ir teksto pranešimų siuntimo programą, yra gana neįprasta. Paprastai šiems tikslams naudojami kiti momentiniai pasiuntiniai arba socialiniai tinklai.
Detalesnės analizės metu buvo nustatyta kenkėjiškų programų šeima. Paaiškėjo, kad tai kenkėjiškų programų rinkos naujokas - 404 Keylogger.
Buvo patalpintas pirmasis skelbimas apie parduodant klavišų kaupiklį įsilaužimo forumai vartotojas slapyvardžiu „404 Coder“ rugpjūčio 8 d.
Parduotuvės domenas užregistruotas visai neseniai – 7 m. rugsėjo 2019 d.
Kaip kūrėjai sako svetainėje 404projektai[.]xyz, 404 yra įrankis, skirtas padėti įmonėms sužinoti apie savo klientų veiklą (su jų leidimu) arba tiems, kurie nori apsaugoti savo dvejetainį kodą nuo atvirkštinės inžinerijos. Žvelgiant į priekį, tarkime, kad su paskutine užduotimi 404 tikrai nesusitvarko.
Nusprendėme pakeisti vieną iš failų ir patikrinti, kas yra „BEST SMART KEYLOGGER“.
Kenkėjiškų programų ekosistema
1 įkroviklis („AtillaCrypter“)
Šaltinio failas yra apsaugotas naudojant EaxObfuscator ir atlieka dviejų pakopų pakrovimą AtProtect iš išteklių skyriaus. Analizuojant kitus „VirusTotal“ rastus pavyzdžius paaiškėjo, kad šį etapą suteikė ne pats kūrėjas, o pridėjo jo klientas. Vėliau buvo nustatyta, kad ši įkrovos programa buvo AtillaCrypter.
Bootloader 2 („AtProtect“)
Tiesą sakant, šis įkroviklis yra neatskiriama kenkėjiškų programų dalis ir, atsižvelgiant į kūrėjo ketinimą, turėtų perimti kovos su analize funkciją.
Tačiau praktiškai apsaugos mechanizmai yra itin primityvūs, o mūsų sistemos sėkmingai aptinka šią kenkėjišką programą.
Pagrindinis modulis įkeliamas naudojant Franchy ShellCode skirtingos versijos. Tačiau neatmetame, kad galėjo būti naudojamos kitos galimybės, pvz. RunPE.
Konfigūracijos failas
Konsolidacija sistemoje
Konsolidaciją sistemoje užtikrina įkrovos įkroviklis AtProtect, jei nustatyta atitinkama vėliavėlė.
- Failas nukopijuojamas palei kelią %AppData%GFqaakZpzwm.exe.
- Failas kuriamas %AppData%GFqaakWinDriv.url, paleidimas Zpzwm.exe.
- Gijoje HKCUSoftwareMicrosoftWindowsCurrentVersionRun sukuriamas paleidimo raktas WinDriv.url.
Sąveika su C&C
Krautuvas AtProtect
Jei yra atitinkama vėliavėlė, kenkėjiška programa gali paleisti paslėptą procesą iexplorer ir spustelėkite nurodytą nuorodą, kad praneštumėte serveriui apie sėkmingą užkrėtimą.
DataStealer
Nepriklausomai nuo naudojamo metodo, tinklo ryšys prasideda nuo išorinio aukos IP gavimo naudojant šaltinį [http]://checkip[.]dyndns[.]org/.
Vartotojo agentas: Mozilla/4.0 (suderinamas; MSIE 6.0; Windows NT 5.2; .NET CLR1.0.3705;)
Bendra pranešimo struktūra yra tokia pati. Antraštė yra
|——- 404 Keylogger — {Type} ——-|Kur {type} atitinka perduodamos informacijos tipą.
Toliau pateikiama informacija apie sistemą:
_______ + INFORMACIJA APIE AUKĄ + _______
IP: {Išorinis IP}
Savininko vardas: {kompiuterio pavadinimas}
OS pavadinimas: {OS pavadinimas}
OS versija: {OS versija}
OS platforma: {Platform}
RAM dydis: {RAM dydis}
______________________________
Ir galiausiai, perduoti duomenys.
SMTP
Laiško tema yra tokia: 404 K | {Pranešimo tipas} | Kliento vardas: {Username}.
Įdomu tai, kad pristatyti klientui laiškus 404 Keylogger Naudojamas kūrėjų SMTP serveris.
Tai leido identifikuoti kai kuriuos klientus, taip pat vieno iš kūrėjų el.
FTP
Naudojant šį metodą, surinkta informacija išsaugoma faile ir iš karto skaitoma iš ten.
Šio veiksmo logika nėra visiškai aiški, tačiau tai sukuria papildomą elgesio taisyklių rašymo artefaktą.
%HOMEDRIVE%%HOMEPATH%DocumentsA{Savavališkas numeris}.txt
pastebin
Analizės metu šis metodas naudojamas tik pavogtiems slaptažodžiams perduoti. Be to, jis naudojamas ne kaip alternatyva pirmiesiems dviems, o lygiagrečiai. Sąlyga yra konstantos reikšmė, lygi „Vavaa“. Tikriausiai tai yra kliento vardas.
Sąveika vyksta per https protokolą per API pastebin. Reikšmė api_paste_private lygus PASTE_UNLISTED, kuri draudžia ieškoti tokių puslapių pastebin.
Šifravimo algoritmai
Failo nuskaitymas iš išteklių
Naudinga apkrova saugoma įkrovos įkrovos ištekliai AtProtect Bitmap vaizdų pavidalu. Ekstrahavimas atliekamas keliais etapais:
- Iš vaizdo išgaunamas baitų masyvas. Kiekvienas pikselis traktuojamas kaip 3 baitų seka BGR tvarka. Po ištraukimo pirmuose 4 masyvo baituose saugomas pranešimo ilgis, o paskesniuose – pats pranešimas.
- Raktas apskaičiuojamas. Norėdami tai padaryti, MD5 apskaičiuojamas iš reikšmės „ZpzwmjMJyfTNiRalKVrcSkxCN“, nurodytos kaip slaptažodis. Gauta maiša rašoma du kartus.
- Iššifravimas atliekamas naudojant AES algoritmą ECB režimu.
Kenkėjiška funkcija
Downloader
Įdiegta įkrovos programoje AtProtect.
- Susisiekus [aktyvi nuoroda-repalce] Serverio būsenos prašoma patvirtinti, kad jis pasirengęs aptarnauti failą. Serveris turėtų grįžti „ĮJUNGTA“.
- Pagal nuorodą [atsisiųsti nuorodą-pakeisti] Naudingasis krovinys atsisiunčiamas.
- naudojant „FranchyShellcode“. naudingoji apkrova įpurškiama į procesą [inj-pakeisti].
Domeno analizės metu 404projektai[.]xyz VirusTotal buvo nustatyti papildomi atvejai 404 Keylogger, taip pat kelių tipų krautuvai.
Tradiciškai jie skirstomi į du tipus:
- Atsisiuntimas atliekamas iš šaltinio 404projektai[.]xyz.
Duomenys yra užkoduoti Base64 ir AES užšifruoti. - Ši parinktis susideda iš kelių etapų ir greičiausiai naudojama kartu su įkrovos įkrovikliu AtProtect.
- Pirmajame etape duomenys įkeliami iš pastebin ir iššifruoti naudojant funkciją HexToByte.
- Antrame etape pakrovimo šaltinis yra 404projektai[.]xyz. Tačiau išskleidimo ir dekodavimo funkcijos yra panašios į tas, kurios yra „DataStealer“. Tikriausiai iš pradžių buvo planuota pagrindiniame modulyje įdiegti įkrovos įkrovos funkciją.
- Šiame etape naudingoji apkrova jau yra ištekliaus apraše suglaudinta forma. Panašios ištraukimo funkcijos buvo rastos ir pagrindiniame modulyje.
Tarp analizuojamų failų buvo rasta siuntėjų njRat, SpyGate ir kiti žiurkės.
keylogger
Žurnalo siuntimo laikotarpis: 30 minučių.
Visi simboliai palaikomi. Specialieji simboliai yra pabėgę. Apdorojami „BackSpace“ ir „Delete“ klavišai. Skirta didžiosioms ir mažosioms raidėms.
ClipboardLogger
Žurnalo siuntimo laikotarpis: 30 minučių.
Buferio apklausos laikotarpis: 0,1 sekundės.
Įdiegtas nuorodos pabėgimas.
ScreenLogger
Žurnalo siuntimo laikotarpis: 60 minučių.
Ekrano nuotraukos išsaugomos %HOMEDRIVE%%HOMEPATH%Documents404k404pic.png.
Išsiuntus aplanką 404k yra pašalintas.
PasswordStealer
Naršyklės | Pašto klientai | FTP klientai |
---|---|---|
chromas | Outlook | FileZilla |
"Firefox" | "Thunderbird" | |
SeaMonkey | Foxmail | |
Icedragon | ||
Blyškus mėnuo | ||
Cyberfox | ||
chromas | ||
BraveBrowser | ||
QQBrowser | ||
IridiumBrowser | ||
XvastBrowser | ||
Chedot | ||
360 Naršyklė | ||
ComodoDragon | ||
360 Chrome | ||
SuperBird | ||
CentBrowser | ||
GhostBrowser | ||
IronBrowser | ||
chromas | ||
Vivaldi | ||
SlimjetBrowser | ||
Orbitumas | ||
CocCoc | ||
Deglas | ||
UCB naršyklė | ||
EpicBrowser | ||
BliskBrowser | ||
Opera |
Priešprieša dinaminei analizei
- Tikrinama, ar procesas yra analizuojamas
Atliekama naudojant procesų paiešką taskmgr, ProcessHacker, procexp64, procexp, procmon. Jei randama bent viena, kenkėjiška programa išjungiama.
- Tikrinama, ar esate virtualioje aplinkoje
Atliekama naudojant procesų paiešką vmtoolsd, VGAuthService, vmacthlp, VBoxService, VBoxTray. Jei randama bent viena, kenkėjiška programa išjungiama.
- Užmigti 5 sekundes
- Įvairių tipų dialogo langų demonstravimas
Galima naudoti kai kurioms smėlio dėžėms apeiti.
- Apeiti UAC
Atliekama redaguojant registro raktą EnableLUA grupės strategijos nustatymuose.
- Taiko atributą „Paslėptas“ dabartiniam failui.
- Galimybė ištrinti esamą failą.
Neaktyvios funkcijos
Analizuojant bootloader ir pagrindinį modulį buvo rasta funkcijų, kurios buvo atsakingos už papildomą funkcionalumą, tačiau jos niekur nenaudojamos. Greičiausiai taip yra dėl to, kad kenkėjiška programa vis dar kuriama, o funkcionalumas netrukus bus išplėstas.
Krautuvas AtProtect
Buvo rasta funkcija, atsakinga už pakrovimą ir įpurškimą į procesą msiexec.exe savavališkas modulis.
DataStealer
- Konsolidacija sistemoje
- Išskleidimo ir iššifravimo funkcijos
Tikėtina, kad netrukus bus įdiegtas duomenų šifravimas tinklo ryšio metu. - Antivirusinių procesų nutraukimas
zlclient | Dvp95_0 | Pavsched | avgserv9 |
egui | Ecengine | Pavw | avgserv9schedapp |
bdagentas | Esafe | PCCIOMON | avgemc |
npfmsg | Espwatch | PCCMAIN | ashwebsv |
olydbg | F-Agnt95 | Pccwin98 | ashdisp |
anubis | Findvir | Pcfwallicon | ashmaisv |
Wireshark | Fprot | Persfw | ashserv |
avastui | F-Prot | POP3TRAP | aswUpdSv |
_Avp32 | F-Prot95 | PVIEW95 | symwsc |
vsmon | Fp-Win | Rav7 | Norton |
mbam | Frw | Rav7win | Norton Auto-Protect |
raktų maišytuvas | F-Stopw | gelbėjimas | norton_av |
_Avpcc | Iamapp | Safeweb | nortonav |
_Avpm | Iamserv | Nuskaitymas32 | ccsetmgr |
Ackwin32 | Ibmasn | Nuskaitymas95 | ccevtmgr |
Forpostas | Ibmavsp | Scanpm | avadminas |
Anti Trojos arklys | Icload95 | Scrscan | avcenter |
ANTIVIRAS | Icloadnt | Serv 95 | vid |
Apvxdwin | Icmon | smc | vidutinis |
ATRACK | Icsupp95 | SMC SERVICE | avnotify |
Automatinis nusileidimas | Icsuppnt | Snortas | avscan |
Avconsol | Aš susiduriu | Sfinksas | Guargui |
Ave32 | Iomon98 | Šlavimas95 | nod32krn |
Avgctrl | Jedi | SYMPROXYSVC | nod32kui |
Avkserv | Užrakinimas 2000 m | Tbscan | moliuskas |
Avnt | Saugokis | Tca | moliuskas Dėklas |
Avp | Luall | Tds2-98 | clamWin |
Avp32 | mcafee | Tds2-Nt | šviežias moliuskas |
Avpcc | Moolive | TermiNET | oladdin |
Avpdos32 | MPftray | Vet95 | ženklinimo įrankis |
Avpm | N32scanw | Vettray | w9xpopen |
Avptc32 | NAVAPSVC | Vscan40 | Uždaryti |
Avpupd | NAVAPW32 | Vsecomr | cmgrdian |
Avsched32 | NAVLU32 | Vshwin32 | alogserv |
AVSYNMGR | Navnt | Vsstat | mcshield |
Avwin95 | NAVRUNR | Webscanx | vshwin32 |
Avwupd32 | Navw32 | WEBTRAP | avconsol |
Blackd | Navwnt | Wfindv32 | vsstat |
Juodas ledas | NeoWatch | "ZoneAlarm | avsynmgr |
Cfiadmin | NISSERV | UŽRAKTAS 2000 | avcmd |
Cfiaudit | Nisum | GELBĖJIMAS32 | avconfig |
Cfinet | Nmain | LUCOMSERVER | licmgr |
Cfinet32 | Normistas | avgcc | Sched |
Letena95 | NORTON | avgcc | preupd |
Letena95plg | Atnaujinti | avgamsvr | MsMpEng |
Valytuvas | Nvc95 | avgupsvc | MSASCui |
Valytojas3 | Forpostas | vid | Avira.Systray |
Defwatch | Padmin | avgcc32 | |
Dvp95 | Pavcl | vid |
- Savęs naikinimas
- Įkeliami duomenys iš nurodyto išteklių aprašo
- Failo kopijavimas keliu %Temp%tmpG[Dabartinė data ir laikas milisekundėmis].tmp
Įdomu tai, kad AgentTesla kenkėjiškoje programoje yra identiška funkcija. - Sliekų funkcionalumas
Kenkėjiška programa gauna keičiamųjų laikmenų sąrašą. Kenkėjiškos programos kopija sukuriama medijos failų sistemos šaknyje su pavadinimu Sys.exe. Automatinis paleidimas įgyvendinamas naudojant failą autorun.inf.
Užpuoliko profilis
Komandų centro analizės metu buvo galima nustatyti kūrėjo el. pašto adresą ir slapyvardį - Razer, dar žinomas kaip Brwa, Brwa65, HiDDen PerSOn, 404 Coder. Tada „YouTube“ radome įdomų vaizdo įrašą, kuriame demonstruojamas darbas su kūrėju.
Tai leido rasti pradinį kūrėjo kanalą.
Tapo aišku, kad jis turi patirties rašydamas kriptografus. Taip pat yra nuorodų į puslapius socialiniuose tinkluose, taip pat tikrasis autoriaus vardas. Paaiškėjo, kad jis yra Irako gyventojas.
Taip tariamai atrodo 404 Keylogger kūrėjas. Nuotrauka iš jo asmeninio Facebook profilio.
CERT Group-IB paskelbė apie naują grėsmę – 404 Keylogger – XNUMX valandų stebėjimo ir reagavimo į kibernetines grėsmes (SOC) centrą Bahreine.
Šaltinis: www.habr.com