Keylogger ar pārsteigumu: keylogger analīze un tā izstrādātāja deanons

Pēdējos gados mobilie Trojas zirgi aktīvi aizstāj Trojas zirgus personālajos datoros, tāpēc jaunas ļaunprogrammatūras parādīšanās vecajām labajām “mašīnām” un to aktīvā izmantošana kibernoziedznieku vidū, lai arī nepatīkama, tomēr joprojām ir notikums. Nesen CERT Group-IB diennakts informācijas drošības incidentu reaģēšanas centrs atklāja neparastu pikšķerēšanas e-pastu, kas slēpa jaunu datora ļaunprātīgu programmatūru, kas apvieno Keylogger un PasswordStealer funkcijas. Analītiķu uzmanība tika pievērsta tam, kā spiegprogrammatūra nokļuva lietotāja mašīnā, izmantojot populāru balss kurjeru. Iļja Pomerancevs, ļaunprātīgas programmatūras analīzes speciālists no CERT Group-IB, paskaidroja, kā ļaunprātīga programmatūra darbojas, kāpēc tā ir bīstama, un pat atrada tās radītāju tālajā Irākā.

Tātad, iesim kārtībā. Pielikuma aizsegā šādā vēstulē bija attēls, uz kura noklikšķinot lietotājs tika novirzīts uz vietni cdn.discordapp.com, un no turienes tika lejupielādēts ļaunprātīgs fails.

Bezmaksas balss un teksta ziņojumapmaiņas programmas Discord izmantošana ir diezgan netradicionāla. Parasti šiem nolūkiem tiek izmantoti citi tūlītējie kurjeri vai sociālie tīkli.

Detalizētākas analīzes laikā tika identificēta ļaunprātīgas programmatūras saime. Tas izrādījās jaunpienācējs ļaunprātīgas programmatūras tirgū - 404 Keylogger.

Pirmais sludinājums par keylogger pārdošanu tika ievietots hackforumi lietotājs ar segvārdu “404 Coder” 8. augustā.

Veikala domēns reģistrēts pavisam nesen – 7. gada 2019. septembrī.

Kā vietnē saka izstrādātāji 404projekti[.]xyz, 404 ir rīks, kas paredzēts, lai palīdzētu uzņēmumiem uzzināt par savu klientu darbībām (ar viņu atļauju) vai tiem, kuri vēlas aizsargāt savu bināro sistēmu no reversās inženierijas. Raugoties uz priekšu, teiksim, ka ar pēdējo uzdevumu 404 galīgi netiek galā.

Mēs nolēmām apgriezt vienu no failiem un pārbaudīt, kas ir “BEST SMART KEYLOGGER”.

Ļaunprātīgas programmatūras ekosistēma

1. ielādētājs (AtillaCrypter)

Avota fails ir aizsargāts, izmantojot EaxObfuscator un veic divpakāpju ielādi AtProtect no resursu sadaļas. Analizējot citus VirusTotal atrastos paraugus, kļuva skaidrs, ka šo posmu nav nodrošinājis pats izstrādātājs, bet gan pievienojis viņa klients. Vēlāk tika noskaidrots, ka šis sāknēšanas ielādētājs ir AtillaCrypter.

Bootloader 2 (AtProtect)

Faktiski šis iekrāvējs ir neatņemama ļaunprātīgas programmatūras sastāvdaļa, un saskaņā ar izstrādātāja nodomu tam ir jāuzņemas pretdarbības analīzes funkcionalitāte.

Tomēr praksē aizsardzības mehānismi ir ārkārtīgi primitīvi, un mūsu sistēmas veiksmīgi atklāj šo ļaunprogrammatūru.

Galvenais modulis tiek ielādēts, izmantojot Franšī ShellCode dažādas versijas. Tomēr mēs neizslēdzam, ka varēja izmantot citas iespējas, piemēram, RunPE.

Konfigurācijas fails

Konsolidācija sistēmā

Konsolidāciju sistēmā nodrošina sāknēšanas ielādētājs AtProtect, ja ir iestatīts attiecīgais karogs.

• Fails tiek kopēts pa ceļu %AppData%GFqaakZpzwm.exe.
• Fails ir izveidots %AppData%GFqaakWinDriv.url, palaišana Zpzwm.exe.
• Vītnē HKCUSoftwareMicrosoftWindows CurrentVersionRun tiek izveidota startēšanas atslēga WinDriv.url.

Mijiedarbība ar C&C

Iekrāvējs AtProtect

Ja ir atbilstošs karodziņš, ļaunprogrammatūra var palaist slēptu procesu iexplorer un sekojiet norādītajai saitei, lai paziņotu serverim par veiksmīgu inficēšanos.

DataStealer

Neatkarīgi no izmantotās metodes tīkla komunikācija sākas ar upura ārējā IP iegūšanu, izmantojot resursu [http]://checkip[.]dyndns[.]org/.

Lietotāja aģents: Mozilla/4.0 (saderīgs; MSIE 6.0; Windows NT 5.2; .NET CLR1.0.3705;)

Ziņojuma vispārējā struktūra ir tāda pati. Klāt galvene
|——- 404 Keylogger — {Tips} ——-|Kur {tips} atbilst pārsūtāmās informācijas veidam.
Tālāk ir sniegta informācija par sistēmu:

_______ + INFORMĀCIJA PAR UPURU + _______

IP: {ārējais IP}
Īpašnieka vārds: {Computer name}
OS nosaukums: {OS nosaukums}
OS versija: {OS versija}
OS platforma: {Platform}
RAM lielums: {RAM izmērs}
______________________________

Un visbeidzot pārsūtītie dati.

SMTP

Vēstules tēma ir šāda: 404 K | {Ziņojuma veids} | Klienta vārds: {Username}.

Interesanti, lai nogādātu klientam vēstules 404 Keylogger Tiek izmantots izstrādātāju SMTP serveris.

Tas ļāva identificēt dažus klientus, kā arī viena izstrādātāja e-pastu.

ftp

Izmantojot šo metodi, apkopotā informācija tiek saglabāta failā un nekavējoties nolasīta no turienes.

Šīs darbības loģika nav pilnīgi skaidra, taču tā rada papildu artefaktu uzvedības noteikumu rakstīšanai.

%HOMEDRIVE%%HOMEPATH%DocumentsA{Patvaļīgs numurs}.txt

Pastebin

Analīzes laikā šī metode tiek izmantota tikai zagtu paroļu pārsūtīšanai. Turklāt to izmanto nevis kā alternatīvu pirmajiem diviem, bet gan paralēli. Nosacījums ir konstantes vērtība, kas vienāda ar “Vavaa”. Jādomā, ka tas ir klienta vārds.

Mijiedarbība notiek, izmantojot https protokolu, izmantojot API pastebin. Nozīme api_paste_private ir vienāds PASTE_UNLISTED, kas aizliedz meklēt šādas lapas pastebin.

Šifrēšanas algoritmi

Faila izgūšana no resursiem

Lietderīgā slodze tiek glabāta bootloader resursos AtProtect bitkartes attēlu veidā. Ekstrakcija tiek veikta vairākos posmos:

• No attēla tiek iegūts baitu masīvs. Katrs pikselis tiek uzskatīts par 3 baitu secību BGR secībā. Pēc ekstrakcijas masīva pirmie 4 baiti saglabā ziņojuma garumu, nākamie glabā pašu ziņojumu.

  

• Atslēga ir aprēķināta. Lai to izdarītu, MD5 tiek aprēķināts no vērtības “ZpzwmjMJyfTNiRalKVrcSkxCN”, kas norādīta kā parole. Iegūtais hash tiek rakstīts divreiz.

  

• Atšifrēšana tiek veikta, izmantojot AES algoritmu ECB režīmā.

Ļaunprātīga funkcionalitāte

Downloader

Ieviests sāknēšanas ielādētājā AtProtect.

• Sazinoties [aktīvā saite-repalce] Servera statuss tiek pieprasīts, lai apstiprinātu, ka tas ir gatavs faila apkalpošanai. Serverim vajadzētu atgriezties "ON".
• saite [lejupielādes saite-aizstāt] krava tiek lejupielādēta.
• Ar FranchyShellcode lietderīgā krava tiek ievadīta procesā [inj-aizvietot].

Domēna analīzes laikā 404projekti[.]xyz papildu gadījumi tika identificēti vietnē VirusTotal 404 Keylogger, kā arī vairāku veidu iekrāvēji.

Tradicionāli tos iedala divos veidos:

1. Lejupielāde tiek veikta no resursa 404projekti[.]xyz.

   
   Dati ir Base64 kodēti un AES šifrēti.

2. Šī opcija sastāv no vairākiem posmiem un, visticamāk, tiek izmantota kopā ar sāknēšanas ielādētāju AtProtect.

• Pirmajā posmā dati tiek ielādēti no pastebin un dekodēts, izmantojot funkciju HexToByte.

  

• Otrajā posmā iekraušanas avots ir 404projekti[.]xyz. Tomēr dekompresijas un dekodēšanas funkcijas ir līdzīgas tām, kas atrodamas programmā DataStealer. Iespējams, sākotnēji bija plānots ieviest bootloader funkcionalitāti galvenajā modulī.

  

• Šajā posmā lietderīgā slodze jau ir resursa manifestā saspiestā formā. Līdzīgas ekstrakcijas funkcijas tika atrastas arī galvenajā modulī.

Starp analizētajiem failiem tika atrasti lejupielādētāji njRat, SpyGate un citi RAT.

Keylogger

Žurnāla nosūtīšanas periods: 30 minūtes.

Visas rakstzīmes tiek atbalstītas. Speciālās rakstzīmes tiek aizbēgtas. Notiek taustiņu BackSpace un Delete apstrāde. Reģistrjutīgs.

ClipboardLogger

Žurnāla nosūtīšanas periods: 30 minūtes.

Bufera aptaujas periods: 0,1 sekunde.

Ieviesta saites aizbēgšana.

ScreenLogger

Žurnāla nosūtīšanas periods: 60 minūtes.

Ekrānuzņēmumi tiek saglabāti %HOMEDRIVE%%HOMEPATH%Documents404k404pic.png.

Pēc mapes nosūtīšanas 404k ir dzēsts.

PasswordStealer

Pārlūkprogrammas	Pasta klienti	FTP klienti
hroms	perspektīva	FileZilla
Firefox	Thunderbird
SeaMonkey	Foxmail
Icedragon
PaleMoon
Cyberfox
hroms
BraveBrowser
QQBrowser
IridiumBrowser
XvastBrowser
Čedota
360. Pārlūkprogramma
ComodoDragon
360 Chrome
SuperBird
CentBrowser
GhostBrowser
IronBrowser
Hroms
Vivaldi
SlimjetBrowser
Orbitums
CocCoc
Lāpa
UCB pārlūks
EpicBrowser
BliskBrowser
Opera

Pretdarbība dinamiskajai analīzei

• Pārbauda, ​​vai process tiek analizēts

  Veikts, izmantojot procesu meklēšanu taskmgr, ProcessHacker, procexp64, procexp, procmon. Ja tiek atrasts vismaz viens, ļaunprātīga programmatūra tiek aizvērta.

• Pārbauda, ​​vai atrodaties virtuālajā vidē

  Veikts, izmantojot procesu meklēšanu vmtoolsd, VGAuthService, vmacthlp, VBoxService, VBoxTray. Ja tiek atrasts vismaz viens, ļaunprātīga programmatūra tiek aizvērta.

• Aizmigt uz 5 sekundēm
• Dažādu veidu dialoglodziņu demonstrēšana

  Var izmantot, lai apietu dažas smilšu kastes.

• Apiet UAC

  Veikts, rediģējot reģistra atslēgu EnableLUA grupas politikas iestatījumos.

• Pašreizējam failam tiek lietots atribūts "Slēpts".
• Iespēja izdzēst pašreizējo failu.

Neaktīvas funkcijas

Veicot bootloader un galvenā moduļa analīzi, tika atrastas funkcijas, kas bija atbildīgas par papildu funkcionalitāti, taču tās nekur netiek izmantotas. Iespējams, tas ir saistīts ar to, ka ļaunprogrammatūra joprojām ir izstrādes stadijā un drīzumā tiks paplašināta funkcionalitāte.

Iekrāvējs AtProtect

Tika atrasta funkcija, kas ir atbildīga par ielādi un ievadīšanu procesā msiexec.exe patvaļīgs modulis.

DataStealer

• Konsolidācija sistēmā

  

• Dekompresijas un atšifrēšanas funkcijas

  
  
  Visticamāk, drīzumā tiks ieviesta datu šifrēšana tīkla komunikācijas laikā.

• Pretvīrusu procesu pārtraukšana

zlclient	Dvp95_0	Pavsched	avgserv9
egui	Ecengine	Pavw	avgserv9schedapp
bdagent	Esafe	PCCIOMON	avgemc
npfmsg	Espwatch	PCCMAIN	ashwebsv
olydbg	F-Agnt95	Pccwin98	ashdisp
anubis	Findvir	Pcfwallicon	ashmaisv
Wireshark	Fprot	Persfw	ashserv
avastui	F-Prot	POP3TRAP	aswUpdSv
_Avp32	F-Prot95	PVIEW95	symwsc
vsmon	Fp-Win	Rav7	Norton
mbam	Frw	Rav7win	Norton Auto-Protect
atslēgu šifrētājs	F-Stopw	Glābt	norton_av
_Avpcc	Iamapp	Safeweb	nortonav
_Avpm	Iamserv	Skenēt32	ccsetmgr
Akvins32	Ibmasn	Skenēt95	ccevtmgr
Outpost	Ibmavsp	Scanpm	avadmin
Anti-Trojas zirgs	Icload95	Scrscan	avcenter
AntiVir	Icloadnt	Serv95	vid
Apvxdwin	Icmon	Smc	vidējais
ATRACK	Icsupp95	SMCSERVICE	avnotify
Automātiskā lejupielāde	Icsuppnt	Snort	avscan
Avconsol	Iface	Sfinksa	Guargui
Ave32	Iomon98	Slaucīšana95	nod32krn
Avgctrl	Jedi	SYMPROXYSVC	nod32kui
Avkserv	Bloķēšana 2000	Tbscan	clamscan
Avnt	Uzmanies	Tca	clamTray
Avp	Luall	Tds2-98	clamWin
Avp32	mcafee	Tds2-Nt	freshclam
Avpcc	Moolive	TermiNET	oladin
Avpdos32	MPftray	Vet95	rīks
Avpm	N32scanw	Vettray	w9xpopen
Avptc32	NAVAPSVC	Vscan40	Aizvērt
Avpupd	NAVAPW32	Vsecomr	cmgrdian
Avsched32	NAVLU32	Vshwin32	alogserv
AVSYNMGR	Navnt	Vsstat	mcshield
Avwin95	NAVRUNR	Webscanx	vshwin32
Avwupd32	Navw32	WEBTRAP	avconsol
Blackd	Navwnt	Wfindv32	vsstat
Melnais ledus	NeoWatch	ZoneAlarm	avsynmgr
Cfiadmin	NISSERV	LOCKDOWN2000	avcmd
Cfiaudit	Nisum	Glābšana32	avconfig
Cfinet	Nmain	LUCOMSERVER	licmgr
Cfinet32	Normists	avgcc	shed
Spīļ95	NORTON	avgcc	preupd
Claw95cf	Atjaunināt	avgamsvr	MsMpEng
Apkopēja	Nvc95	avgupsvc	MSASCui
Tīrītājs3	Outpost	vid	Avira.Systray
Defwatch	Padmin	avgcc32
Dvp95	Pavcl	avgserv

• Pašiznīcināšana
• Notiek datu ielāde no norādītā resursa manifesta

  

• Faila kopēšana pa ceļu %Temp%tmpG[Pašreizējais datums un laiks milisekundēs].tmp

  
  Interesanti, ka AgentTesla ļaunprogrammatūrai ir identiska funkcija.

• Tārpu funkcionalitāte

  Ļaunprātīga programmatūra saņem noņemamo datu nesēju sarakstu. Ļaunprātīgas programmatūras kopija tiek izveidota multivides failu sistēmas saknē ar nosaukumu Sys.exe. Automātiskā palaišana tiek īstenota, izmantojot failu autorun.inf.

  

Uzbrucēja profils

Komandas centra analīzes laikā bija iespējams noteikt izstrādātāja e-pastu un segvārdu - Razer, aka Brwa, Brwa65, HiDDen PerSOn, 404 Coder. Pēc tam vietnē YouTube atradām interesantu video, kurā parādīts darbs ar celtnieku.

Tas ļāva atrast sākotnējo izstrādātāja kanālu.

Kļuva skaidrs, ka viņam ir pieredze kriptogrāfu rakstīšanā. Ir arī saites uz lapām sociālajos tīklos, kā arī autora īstais vārds. Izrādījās, ka viņš ir Irākas iedzīvotājs.

Šādi it kā izskatās 404 Keylogger izstrādātājs. Foto no viņa personīgā Facebook profila.

CERT Group-IB ir paziņojis par jaunu draudu - 404 Keylogger - XNUMX stundu uzraudzības un reaģēšanas centru kiberdraudiem (SOC) Bahreinā.

Avots: www.habr.com