Keylogger su staigmena: klavišų registratoriaus analizė ir jo kūrėjo deanonas

Pastaraisiais metais mobilieji Trojos arklys aktyviai keičia Trojos arklys asmeniniuose kompiuteriuose, todėl naujų kenkėjiškų programų atsiradimas seniems geriems „automobiliams“ ir aktyvus jų naudojimas kibernetiniams nusikaltėliams, nors ir nemalonus, bet vis dar yra įvykis. Neseniai CERT Group-IB visą parą veikiantis informacijos saugumo incidentų reagavimo centras aptiko neįprastą sukčiavimo el. laišką, kuriame slepiama nauja kompiuterio kenkėjiška programa, apjungianti Keylogger ir PasswordStealer funkcijas. Analitikų dėmesys buvo atkreiptas į tai, kaip šnipinėjimo programa pateko į vartotojo kompiuterį – naudojant populiarų balso pasiuntinį. Ilja Pomerancevas, kenkėjiškų programų analizės specialistas iš CERT Group-IB, paaiškino, kaip kenkėjiška programa veikia, kodėl ji pavojinga, ir netgi rado jos kūrėją tolimame Irake.

Taigi, eikime eilės tvarka. Prisidengiant priedu tokiame laiške buvo nuotrauka, kurią spustelėjus vartotojas buvo nukreiptas į svetainę cdn.discordapp.com, ir iš ten buvo atsisiųstas kenkėjiškas failas.

Naudoti „Discord“, nemokamą balso ir teksto pranešimų siuntimo programą, yra gana neįprasta. Paprastai šiems tikslams naudojami kiti momentiniai pasiuntiniai arba socialiniai tinklai.

Detalesnės analizės metu buvo nustatyta kenkėjiškų programų šeima. Paaiškėjo, kad tai kenkėjiškų programų rinkos naujokas - 404 Keylogger.

Buvo patalpintas pirmasis skelbimas apie parduodant klavišų kaupiklį įsilaužimo forumai vartotojas slapyvardžiu „404 Coder“ rugpjūčio 8 d.

Parduotuvės domenas užregistruotas visai neseniai – 7 m. rugsėjo 2019 d.

Kaip kūrėjai sako svetainėje 404projektai[.]xyz, 404 yra įrankis, skirtas padėti įmonėms sužinoti apie savo klientų veiklą (su jų leidimu) arba tiems, kurie nori apsaugoti savo dvejetainį kodą nuo atvirkštinės inžinerijos. Žvelgiant į priekį, tarkime, kad su paskutine užduotimi 404 tikrai nesusitvarko.

Nusprendėme pakeisti vieną iš failų ir patikrinti, kas yra „BEST SMART KEYLOGGER“.

Kenkėjiškų programų ekosistema

1 įkroviklis („AtillaCrypter“)

Šaltinio failas yra apsaugotas naudojant EaxObfuscator ir atlieka dviejų pakopų pakrovimą AtProtect iš išteklių skyriaus. Analizuojant kitus „VirusTotal“ rastus pavyzdžius paaiškėjo, kad šį etapą suteikė ne pats kūrėjas, o pridėjo jo klientas. Vėliau buvo nustatyta, kad ši įkrovos programa buvo AtillaCrypter.

Bootloader 2 („AtProtect“)

Tiesą sakant, šis įkroviklis yra neatskiriama kenkėjiškų programų dalis ir, atsižvelgiant į kūrėjo ketinimą, turėtų perimti kovos su analize funkciją.

Tačiau praktiškai apsaugos mechanizmai yra itin primityvūs, o mūsų sistemos sėkmingai aptinka šią kenkėjišką programą.

Pagrindinis modulis įkeliamas naudojant Franchy ShellCode skirtingos versijos. Tačiau neatmetame, kad galėjo būti naudojamos kitos galimybės, pvz. RunPE.

Konfigūracijos failas

Konsolidacija sistemoje

Konsolidaciją sistemoje užtikrina įkrovos įkroviklis AtProtect, jei nustatyta atitinkama vėliavėlė.

• Failas nukopijuojamas palei kelią %AppData%GFqaakZpzwm.exe.
• Failas kuriamas %AppData%GFqaakWinDriv.url, paleidimas Zpzwm.exe.
• Gijoje HKCUSoftwareMicrosoftWindowsCurrentVersionRun sukuriamas paleidimo raktas WinDriv.url.

Sąveika su C&C

Krautuvas AtProtect

Jei yra atitinkama vėliavėlė, kenkėjiška programa gali paleisti paslėptą procesą iexplorer ir spustelėkite nurodytą nuorodą, kad praneštumėte serveriui apie sėkmingą užkrėtimą.

DataStealer

Nepriklausomai nuo naudojamo metodo, tinklo ryšys prasideda nuo išorinio aukos IP gavimo naudojant šaltinį [http]://checkip[.]dyndns[.]org/.

Vartotojo agentas: Mozilla/4.0 (suderinamas; MSIE 6.0; Windows NT 5.2; .NET CLR1.0.3705;)

Bendra pranešimo struktūra yra tokia pati. Antraštė yra
|——- 404 Keylogger — {Type} ——-|Kur {type} atitinka perduodamos informacijos tipą.
Toliau pateikiama informacija apie sistemą:

_______ + INFORMACIJA APIE AUKĄ + _______

IP: {Išorinis IP}
Savininko vardas: {kompiuterio pavadinimas}
OS pavadinimas: {OS pavadinimas}
OS versija: {OS versija}
OS platforma: {Platform}
RAM dydis: {RAM dydis}
______________________________

Ir galiausiai, perduoti duomenys.

SMTP

Laiško tema yra tokia: 404 K | {Pranešimo tipas} | Kliento vardas: {Username}.

Įdomu tai, kad pristatyti klientui laiškus 404 Keylogger Naudojamas kūrėjų SMTP serveris.

Tai leido identifikuoti kai kuriuos klientus, taip pat vieno iš kūrėjų el.

FTP

Naudojant šį metodą, surinkta informacija išsaugoma faile ir iš karto skaitoma iš ten.

Šio veiksmo logika nėra visiškai aiški, tačiau tai sukuria papildomą elgesio taisyklių rašymo artefaktą.

%HOMEDRIVE%%HOMEPATH%DocumentsA{Savavališkas numeris}.txt

pastebin

Analizės metu šis metodas naudojamas tik pavogtiems slaptažodžiams perduoti. Be to, jis naudojamas ne kaip alternatyva pirmiesiems dviems, o lygiagrečiai. Sąlyga yra konstantos reikšmė, lygi „Vavaa“. Tikriausiai tai yra kliento vardas.

Sąveika vyksta per https protokolą per API pastebin. Reikšmė api_paste_private lygus PASTE_UNLISTED, kuri draudžia ieškoti tokių puslapių pastebin.

Šifravimo algoritmai

Failo nuskaitymas iš išteklių

Naudinga apkrova saugoma įkrovos įkrovos ištekliai AtProtect Bitmap vaizdų pavidalu. Ekstrahavimas atliekamas keliais etapais:

• Iš vaizdo išgaunamas baitų masyvas. Kiekvienas pikselis traktuojamas kaip 3 baitų seka BGR tvarka. Po ištraukimo pirmuose 4 masyvo baituose saugomas pranešimo ilgis, o paskesniuose – pats pranešimas.

  

• Raktas apskaičiuojamas. Norėdami tai padaryti, MD5 apskaičiuojamas iš reikšmės „ZpzwmjMJyfTNiRalKVrcSkxCN“, nurodytos kaip slaptažodis. Gauta maiša rašoma du kartus.

  

• Iššifravimas atliekamas naudojant AES algoritmą ECB režimu.

Kenkėjiška funkcija

Downloader

Įdiegta įkrovos programoje AtProtect.

• Susisiekus [aktyvi nuoroda-repalce] Serverio būsenos prašoma patvirtinti, kad jis pasirengęs aptarnauti failą. Serveris turėtų grįžti „ĮJUNGTA“.
• Pagal nuorodą [atsisiųsti nuorodą-pakeisti] Naudingasis krovinys atsisiunčiamas.
• naudojant „FranchyShellcode“. naudingoji apkrova įpurškiama į procesą [inj-pakeisti].

Domeno analizės metu 404projektai[.]xyz VirusTotal buvo nustatyti papildomi atvejai 404 Keylogger, taip pat kelių tipų krautuvai.

Tradiciškai jie skirstomi į du tipus:

1. Atsisiuntimas atliekamas iš šaltinio 404projektai[.]xyz.

   
   Duomenys yra užkoduoti Base64 ir AES užšifruoti.

2. Ši parinktis susideda iš kelių etapų ir greičiausiai naudojama kartu su įkrovos įkrovikliu AtProtect.

• Pirmajame etape duomenys įkeliami iš pastebin ir iššifruoti naudojant funkciją HexToByte.

  

• Antrame etape pakrovimo šaltinis yra 404projektai[.]xyz. Tačiau išskleidimo ir dekodavimo funkcijos yra panašios į tas, kurios yra „DataStealer“. Tikriausiai iš pradžių buvo planuota pagrindiniame modulyje įdiegti įkrovos įkrovos funkciją.

  

• Šiame etape naudingoji apkrova jau yra ištekliaus apraše suglaudinta forma. Panašios ištraukimo funkcijos buvo rastos ir pagrindiniame modulyje.

Tarp analizuojamų failų buvo rasta siuntėjų njRat, SpyGate ir kiti žiurkės.

keylogger

Žurnalo siuntimo laikotarpis: 30 minučių.

Visi simboliai palaikomi. Specialieji simboliai yra pabėgę. Apdorojami „BackSpace“ ir „Delete“ klavišai. Skirta didžiosioms ir mažosioms raidėms.

ClipboardLogger

Žurnalo siuntimo laikotarpis: 30 minučių.

Buferio apklausos laikotarpis: 0,1 sekundės.

Įdiegtas nuorodos pabėgimas.

ScreenLogger

Žurnalo siuntimo laikotarpis: 60 minučių.

Ekrano nuotraukos išsaugomos %HOMEDRIVE%%HOMEPATH%Documents404k404pic.png.

Išsiuntus aplanką 404k yra pašalintas.

PasswordStealer

Naršyklės	Pašto klientai	FTP klientai
chromas	Outlook	FileZilla
"Firefox"	"Thunderbird"
SeaMonkey	Foxmail
Icedragon
Blyškus mėnuo
Cyberfox
chromas
BraveBrowser
QQBrowser
IridiumBrowser
XvastBrowser
Chedot
360 Naršyklė
ComodoDragon
360 Chrome
SuperBird
CentBrowser
GhostBrowser
IronBrowser
chromas
Vivaldi
SlimjetBrowser
Orbitumas
CocCoc
Deglas
UCB naršyklė
EpicBrowser
BliskBrowser
Opera

Priešprieša dinaminei analizei

• Tikrinama, ar procesas yra analizuojamas

  Atliekama naudojant procesų paiešką taskmgr, ProcessHacker, procexp64, procexp, procmon. Jei randama bent viena, kenkėjiška programa išjungiama.

• Tikrinama, ar esate virtualioje aplinkoje

  Atliekama naudojant procesų paiešką vmtoolsd, VGAuthService, vmacthlp, VBoxService, VBoxTray. Jei randama bent viena, kenkėjiška programa išjungiama.

• Užmigti 5 sekundes
• Įvairių tipų dialogo langų demonstravimas

  Galima naudoti kai kurioms smėlio dėžėms apeiti.

• Apeiti UAC

  Atliekama redaguojant registro raktą EnableLUA grupės strategijos nustatymuose.

• Taiko atributą „Paslėptas“ dabartiniam failui.
• Galimybė ištrinti esamą failą.

Neaktyvios funkcijos

Analizuojant bootloader ir pagrindinį modulį buvo rasta funkcijų, kurios buvo atsakingos už papildomą funkcionalumą, tačiau jos niekur nenaudojamos. Greičiausiai taip yra dėl to, kad kenkėjiška programa vis dar kuriama, o funkcionalumas netrukus bus išplėstas.

Krautuvas AtProtect

Buvo rasta funkcija, atsakinga už pakrovimą ir įpurškimą į procesą msiexec.exe savavališkas modulis.

DataStealer

• Konsolidacija sistemoje

  

• Išskleidimo ir iššifravimo funkcijos

  
  
  Tikėtina, kad netrukus bus įdiegtas duomenų šifravimas tinklo ryšio metu.

• Antivirusinių procesų nutraukimas

zlclient	Dvp95_0	Pavsched	avgserv9
egui	Ecengine	Pavw	avgserv9schedapp
bdagentas	Esafe	PCCIOMON	avgemc
npfmsg	Espwatch	PCCMAIN	ashwebsv
olydbg	F-Agnt95	Pccwin98	ashdisp
anubis	Findvir	Pcfwallicon	ashmaisv
Wireshark	Fprot	Persfw	ashserv
avastui	F-Prot	POP3TRAP	aswUpdSv
_Avp32	F-Prot95	PVIEW95	symwsc
vsmon	Fp-Win	Rav7	Norton
mbam	Frw	Rav7win	Norton Auto-Protect
raktų maišytuvas	F-Stopw	gelbėjimas	norton_av
_Avpcc	Iamapp	Safeweb	nortonav
_Avpm	Iamserv	Nuskaitymas32	ccsetmgr
Ackwin32	Ibmasn	Nuskaitymas95	ccevtmgr
Forpostas	Ibmavsp	Scanpm	avadminas
Anti Trojos arklys	Icload95	Scrscan	avcenter
ANTIVIRAS	Icloadnt	Serv 95	vid
Apvxdwin	Icmon	smc	vidutinis
ATRACK	Icsupp95	SMC SERVICE	avnotify
Automatinis nusileidimas	Icsuppnt	Snortas	avscan
Avconsol	Aš susiduriu	Sfinksas	Guargui
Ave32	Iomon98	Šlavimas95	nod32krn
Avgctrl	Jedi	SYMPROXYSVC	nod32kui
Avkserv	Užrakinimas 2000 m	Tbscan	moliuskas
Avnt	Saugokis	Tca	moliuskas Dėklas
Avp	Luall	Tds2-98	clamWin
Avp32	mcafee	Tds2-Nt	šviežias moliuskas
Avpcc	Moolive	TermiNET	oladdin
Avpdos32	MPftray	Vet95	ženklinimo įrankis
Avpm	N32scanw	Vettray	w9xpopen
Avptc32	NAVAPSVC	Vscan40	Uždaryti
Avpupd	NAVAPW32	Vsecomr	cmgrdian
Avsched32	NAVLU32	Vshwin32	alogserv
AVSYNMGR	Navnt	Vsstat	mcshield
Avwin95	NAVRUNR	Webscanx	vshwin32
Avwupd32	Navw32	WEBTRAP	avconsol
Blackd	Navwnt	Wfindv32	vsstat
Juodas ledas	NeoWatch	"ZoneAlarm	avsynmgr
Cfiadmin	NISSERV	UŽRAKTAS 2000	avcmd
Cfiaudit	Nisum	GELBĖJIMAS32	avconfig
Cfinet	Nmain	LUCOMSERVER	licmgr
Cfinet32	Normistas	avgcc	Sched
Letena95	NORTON	avgcc	preupd
Letena95plg	Atnaujinti	avgamsvr	MsMpEng
Valytuvas	Nvc95	avgupsvc	MSASCui
Valytojas3	Forpostas	vid	Avira.Systray
Defwatch	Padmin	avgcc32
Dvp95	Pavcl	vid

• Savęs naikinimas
• Įkeliami duomenys iš nurodyto išteklių aprašo

  

• Failo kopijavimas keliu %Temp%tmpG[Dabartinė data ir laikas milisekundėmis].tmp

  
  Įdomu tai, kad AgentTesla kenkėjiškoje programoje yra identiška funkcija.

• Sliekų funkcionalumas

  Kenkėjiška programa gauna keičiamųjų laikmenų sąrašą. Kenkėjiškos programos kopija sukuriama medijos failų sistemos šaknyje su pavadinimu Sys.exe. Automatinis paleidimas įgyvendinamas naudojant failą autorun.inf.

  

Užpuoliko profilis

Komandų centro analizės metu buvo galima nustatyti kūrėjo el. pašto adresą ir slapyvardį - Razer, dar žinomas kaip Brwa, Brwa65, HiDDen PerSOn, 404 Coder. Tada „YouTube“ radome įdomų vaizdo įrašą, kuriame demonstruojamas darbas su kūrėju.

Tai leido rasti pradinį kūrėjo kanalą.

Tapo aišku, kad jis turi patirties rašydamas kriptografus. Taip pat yra nuorodų į puslapius socialiniuose tinkluose, taip pat tikrasis autoriaus vardas. Paaiškėjo, kad jis yra Irako gyventojas.

Taip tariamai atrodo 404 Keylogger kūrėjas. Nuotrauka iš jo asmeninio Facebook profilio.

CERT Group-IB paskelbė apie naują grėsmę – 404 Keylogger – XNUMX valandų stebėjimo ir reagavimo į kibernetines grėsmes (SOC) centrą Bahreine.

Šaltinis: www.habr.com