PÄdÄjos gados mobilie Trojas zirgi aktÄ«vi aizstÄj Trojas zirgus personÄlajos datoros, tÄpÄc jaunas ļaunprogrammatÅ«ras parÄdÄ«Å”anÄs vecajÄm labajÄm āmaŔīnÄmā un to aktÄ«vÄ izmantoÅ”ana kibernoziedznieku vidÅ«, lai arÄ« nepatÄ«kama, tomÄr joprojÄm ir notikums. Nesen CERT Group-IB diennakts informÄcijas droŔības incidentu reaÄ£ÄÅ”anas centrs atklÄja neparastu pikŔķerÄÅ”anas e-pastu, kas slÄpa jaunu datora ļaunprÄtÄ«gu programmatÅ«ru, kas apvieno Keylogger un PasswordStealer funkcijas. AnalÄ«tiÄ·u uzmanÄ«ba tika pievÄrsta tam, kÄ spiegprogrammatÅ«ra nokļuva lietotÄja maŔīnÄ, izmantojot populÄru balss kurjeru. Iļja Pomerancevs, ļaunprÄtÄ«gas programmatÅ«ras analÄ«zes speciÄlists no CERT Group-IB, paskaidroja, kÄ Ä¼aunprÄtÄ«ga programmatÅ«ra darbojas, kÄpÄc tÄ ir bÄ«stama, un pat atrada tÄs radÄ«tÄju tÄlajÄ IrÄkÄ.
TÄtad, iesim kÄrtÄ«bÄ. Pielikuma aizsegÄ Å”ÄdÄ vÄstulÄ bija attÄls, uz kura noklikŔķinot lietotÄjs tika novirzÄ«ts uz vietni cdn.discordapp.com, un no turienes tika lejupielÄdÄts ļaunprÄtÄ«gs fails.
Bezmaksas balss un teksta ziÅojumapmaiÅas programmas Discord izmantoÅ”ana ir diezgan netradicionÄla. Parasti Å”iem nolÅ«kiem tiek izmantoti citi tÅ«lÄ«tÄjie kurjeri vai sociÄlie tÄ«kli.
DetalizÄtÄkas analÄ«zes laikÄ tika identificÄta ļaunprÄtÄ«gas programmatÅ«ras saime. Tas izrÄdÄ«jÄs jaunpienÄcÄjs ļaunprÄtÄ«gas programmatÅ«ras tirgÅ« - 404 Keylogger.
Pirmais sludinÄjums par keylogger pÄrdoÅ”anu tika ievietots hackforumi lietotÄjs ar segvÄrdu ā404 Coderā 8. augustÄ.
Veikala domÄns reÄ£istrÄts pavisam nesen ā 7. gada 2019. septembrÄ«.
KÄ vietnÄ saka izstrÄdÄtÄji 404projekti[.]xyz, 404 ir rÄ«ks, kas paredzÄts, lai palÄ«dzÄtu uzÅÄmumiem uzzinÄt par savu klientu darbÄ«bÄm (ar viÅu atļauju) vai tiem, kuri vÄlas aizsargÄt savu binÄro sistÄmu no reversÄs inženierijas. Raugoties uz priekÅ”u, teiksim, ka ar pÄdÄjo uzdevumu 404 galÄ«gi netiek galÄ.
MÄs nolÄmÄm apgriezt vienu no failiem un pÄrbaudÄ«t, kas ir āBEST SMART KEYLOGGERā.
Ä»aunprÄtÄ«gas programmatÅ«ras ekosistÄma
1. ielÄdÄtÄjs (AtillaCrypter)
Avota fails ir aizsargÄts, izmantojot EaxObfuscator un veic divpakÄpju ielÄdi AtProtect no resursu sadaļas. AnalizÄjot citus VirusTotal atrastos paraugus, kļuva skaidrs, ka Å”o posmu nav nodroÅ”inÄjis pats izstrÄdÄtÄjs, bet gan pievienojis viÅa klients. VÄlÄk tika noskaidrots, ka Å”is sÄknÄÅ”anas ielÄdÄtÄjs ir AtillaCrypter.
Bootloader 2 (AtProtect)
Faktiski Å”is iekrÄvÄjs ir neatÅemama ļaunprÄtÄ«gas programmatÅ«ras sastÄvdaļa, un saskaÅÄ ar izstrÄdÄtÄja nodomu tam ir jÄuzÅemas pretdarbÄ«bas analÄ«zes funkcionalitÄte.
TomÄr praksÄ aizsardzÄ«bas mehÄnismi ir ÄrkÄrtÄ«gi primitÄ«vi, un mÅ«su sistÄmas veiksmÄ«gi atklÄj Å”o ļaunprogrammatÅ«ru.
Galvenais modulis tiek ielÄdÄts, izmantojot FranŔī ShellCode dažÄdas versijas. TomÄr mÄs neizslÄdzam, ka varÄja izmantot citas iespÄjas, piemÄram, RunPE.
KonfigurÄcijas fails
KonsolidÄcija sistÄmÄ
KonsolidÄciju sistÄmÄ nodroÅ”ina sÄknÄÅ”anas ielÄdÄtÄjs AtProtect, ja ir iestatÄ«ts attiecÄ«gais karogs.
- Fails tiek kopÄts pa ceļu %AppData%GFqaakZpzwm.exe.
- Fails ir izveidots %AppData%GFqaakWinDriv.url, palaiŔana Zpzwm.exe.
- VÄ«tnÄ HKCUSoftwareMicrosoftWindows CurrentVersionRun tiek izveidota startÄÅ”anas atslÄga WinDriv.url.
Mijiedarbība ar C&C
IekrÄvÄjs AtProtect
Ja ir atbilstoÅ”s karodziÅÅ”, ļaunprogrammatÅ«ra var palaist slÄptu procesu iexplorer un sekojiet norÄdÄ«tajai saitei, lai paziÅotu serverim par veiksmÄ«gu inficÄÅ”anos.
DataStealer
NeatkarÄ«gi no izmantotÄs metodes tÄ«kla komunikÄcija sÄkas ar upura ÄrÄjÄ IP iegÅ«Å”anu, izmantojot resursu [http]://checkip[.]dyndns[.]org/.
LietotÄja aÄ£ents: Mozilla/4.0 (saderÄ«gs; MSIE 6.0; Windows NT 5.2; .NET CLR1.0.3705;)
ZiÅojuma vispÄrÄjÄ struktÅ«ra ir tÄda pati. KlÄt galvene
|āā- 404 Keylogger ā {Tips} āā-|Kur {tips} atbilst pÄrsÅ«tÄmÄs informÄcijas veidam.
TÄlÄk ir sniegta informÄcija par sistÄmu:
_______ + INFORMÄCIJA PAR UPURU + _______
IP: {ÄrÄjais IP}
ÄŖpaÅ”nieka vÄrds: {Computer name}
OS nosaukums: {OS nosaukums}
OS versija: {OS versija}
OS platforma: {Platform}
RAM lielums: {RAM izmÄrs}
______________________________
Un visbeidzot pÄrsÅ«tÄ«tie dati.
SMTP
VÄstules tÄma ir Å”Äda: 404 K | {ZiÅojuma veids} | Klienta vÄrds: {Username}.
Interesanti, lai nogÄdÄtu klientam vÄstules 404 Keylogger Tiek izmantots izstrÄdÄtÄju SMTP serveris.
Tas ļÄva identificÄt dažus klientus, kÄ arÄ« viena izstrÄdÄtÄja e-pastu.
ftp
Izmantojot Å”o metodi, apkopotÄ informÄcija tiek saglabÄta failÄ un nekavÄjoties nolasÄ«ta no turienes.
Å Ä«s darbÄ«bas loÄ£ika nav pilnÄ«gi skaidra, taÄu tÄ rada papildu artefaktu uzvedÄ«bas noteikumu rakstÄ«Å”anai.
%HOMEDRIVE%%HOMEPATH%DocumentsA{Patvaļīgs numurs}.txt
Pastebin
AnalÄ«zes laikÄ Å”Ä« metode tiek izmantota tikai zagtu paroļu pÄrsÅ«tÄ«Å”anai. TurklÄt to izmanto nevis kÄ alternatÄ«vu pirmajiem diviem, bet gan paralÄli. NosacÄ«jums ir konstantes vÄrtÄ«ba, kas vienÄda ar āVavaaā. JÄdomÄ, ka tas ir klienta vÄrds.
MijiedarbÄ«ba notiek, izmantojot https protokolu, izmantojot API pastebin. NozÄ«me api_paste_private ir vienÄds PASTE_UNLISTED, kas aizliedz meklÄt Å”Ädas lapas pastebin.
Å ifrÄÅ”anas algoritmi
Faila izgūŔana no resursiem
LietderÄ«gÄ slodze tiek glabÄta bootloader resursos AtProtect bitkartes attÄlu veidÄ. Ekstrakcija tiek veikta vairÄkos posmos:
- No attÄla tiek iegÅ«ts baitu masÄ«vs. Katrs pikselis tiek uzskatÄ«ts par 3 baitu secÄ«bu BGR secÄ«bÄ. PÄc ekstrakcijas masÄ«va pirmie 4 baiti saglabÄ ziÅojuma garumu, nÄkamie glabÄ paÅ”u ziÅojumu.
- AtslÄga ir aprÄÄ·inÄta. Lai to izdarÄ«tu, MD5 tiek aprÄÄ·inÄts no vÄrtÄ«bas āZpzwmjMJyfTNiRalKVrcSkxCNā, kas norÄdÄ«ta kÄ parole. IegÅ«tais hash tiek rakstÄ«ts divreiz.
- AtÅ”ifrÄÅ”ana tiek veikta, izmantojot AES algoritmu ECB režīmÄ.
Ä»aunprÄtÄ«ga funkcionalitÄte
Downloader
Ieviests sÄknÄÅ”anas ielÄdÄtÄjÄ AtProtect.
- Sazinoties [aktÄ«vÄ saite-repalce] Servera statuss tiek pieprasÄ«ts, lai apstiprinÄtu, ka tas ir gatavs faila apkalpoÅ”anai. Serverim vajadzÄtu atgriezties "ON".
- saite [lejupielÄdes saite-aizstÄt] krava tiek lejupielÄdÄta.
- Ar FranchyShellcode lietderÄ«gÄ krava tiek ievadÄ«ta procesÄ [inj-aizvietot].
DomÄna analÄ«zes laikÄ 404projekti[.]xyz papildu gadÄ«jumi tika identificÄti vietnÄ VirusTotal 404 Keylogger, kÄ arÄ« vairÄku veidu iekrÄvÄji.
TradicionÄli tos iedala divos veidos:
- LejupielÄde tiek veikta no resursa 404projekti[.]xyz.
Dati ir Base64 kodÄti un AES Å”ifrÄti. - Å Ä« opcija sastÄv no vairÄkiem posmiem un, visticamÄk, tiek izmantota kopÄ ar sÄknÄÅ”anas ielÄdÄtÄju AtProtect.
- PirmajÄ posmÄ dati tiek ielÄdÄti no pastebin un dekodÄts, izmantojot funkciju HexToByte.
- OtrajÄ posmÄ iekrauÅ”anas avots ir 404projekti[.]xyz. TomÄr dekompresijas un dekodÄÅ”anas funkcijas ir lÄ«dzÄ«gas tÄm, kas atrodamas programmÄ DataStealer. IespÄjams, sÄkotnÄji bija plÄnots ieviest bootloader funkcionalitÄti galvenajÄ modulÄ«.
- Å ajÄ posmÄ lietderÄ«gÄ slodze jau ir resursa manifestÄ saspiestÄ formÄ. LÄ«dzÄ«gas ekstrakcijas funkcijas tika atrastas arÄ« galvenajÄ modulÄ«.
Starp analizÄtajiem failiem tika atrasti lejupielÄdÄtÄji njRat, SpyGate un citi RAT.
Keylogger
ŽurnÄla nosÅ«tÄ«Å”anas periods: 30 minÅ«tes.
Visas rakstzÄ«mes tiek atbalstÄ«tas. SpeciÄlÄs rakstzÄ«mes tiek aizbÄgtas. Notiek taustiÅu BackSpace un Delete apstrÄde. ReÄ£istrjutÄ«gs.
ClipboardLogger
ŽurnÄla nosÅ«tÄ«Å”anas periods: 30 minÅ«tes.
Bufera aptaujas periods: 0,1 sekunde.
Ieviesta saites aizbÄgÅ”ana.
ScreenLogger
ŽurnÄla nosÅ«tÄ«Å”anas periods: 60 minÅ«tes.
EkrÄnuzÅÄmumi tiek saglabÄti %HOMEDRIVE%%HOMEPATH%Documents404k404pic.png.
PÄc mapes nosÅ«tÄ«Å”anas 404k ir dzÄsts.
PasswordStealer
PÄrlÅ«kprogrammas | Pasta klienti | FTP klienti |
---|---|---|
hroms | perspektīva | FileZilla |
Firefox | Thunderbird | |
SeaMonkey | Foxmail | |
Icedragon | ||
PaleMoon | ||
Cyberfox | ||
hroms | ||
BraveBrowser | ||
QQBrowser | ||
IridiumBrowser | ||
XvastBrowser | ||
Äedota | ||
360. PÄrlÅ«kprogramma | ||
ComodoDragon | ||
360 Chrome | ||
SuperBird | ||
CentBrowser | ||
GhostBrowser | ||
IronBrowser | ||
Hroms | ||
Vivaldi | ||
SlimjetBrowser | ||
Orbitums | ||
CocCoc | ||
LÄpa | ||
UCB pÄrlÅ«ks | ||
EpicBrowser | ||
BliskBrowser | ||
Opera |
Pretdarbība dinamiskajai analīzei
- PÄrbauda, āāvai process tiek analizÄts
Veikts, izmantojot procesu meklÄÅ”anu taskmgr, ProcessHacker, procexp64, procexp, procmon. Ja tiek atrasts vismaz viens, ļaunprÄtÄ«ga programmatÅ«ra tiek aizvÄrta.
- PÄrbauda, āāvai atrodaties virtuÄlajÄ vidÄ
Veikts, izmantojot procesu meklÄÅ”anu vmtoolsd, VGAuthService, vmacthlp, VBoxService, VBoxTray. Ja tiek atrasts vismaz viens, ļaunprÄtÄ«ga programmatÅ«ra tiek aizvÄrta.
- Aizmigt uz 5 sekundÄm
- DažÄdu veidu dialoglodziÅu demonstrÄÅ”ana
Var izmantot, lai apietu dažas smilŔu kastes.
- Apiet UAC
Veikts, rediÄ£Äjot reÄ£istra atslÄgu EnableLUA grupas politikas iestatÄ«jumos.
- PaÅ”reizÄjam failam tiek lietots atribÅ«ts "SlÄpts".
- IespÄja izdzÄst paÅ”reizÄjo failu.
Neaktīvas funkcijas
Veicot bootloader un galvenÄ moduļa analÄ«zi, tika atrastas funkcijas, kas bija atbildÄ«gas par papildu funkcionalitÄti, taÄu tÄs nekur netiek izmantotas. IespÄjams, tas ir saistÄ«ts ar to, ka ļaunprogrammatÅ«ra joprojÄm ir izstrÄdes stadijÄ un drÄ«zumÄ tiks paplaÅ”inÄta funkcionalitÄte.
IekrÄvÄjs AtProtect
Tika atrasta funkcija, kas ir atbildÄ«ga par ielÄdi un ievadÄ«Å”anu procesÄ msiexec.exe patvaļīgs modulis.
DataStealer
- KonsolidÄcija sistÄmÄ
- Dekompresijas un atÅ”ifrÄÅ”anas funkcijas
VisticamÄk, drÄ«zumÄ tiks ieviesta datu Å”ifrÄÅ”ana tÄ«kla komunikÄcijas laikÄ. - PretvÄ«rusu procesu pÄrtraukÅ”ana
zlclient | Dvp95_0 | Pavsched | avgserv9 |
egui | Ecengine | Pavw | avgserv9schedapp |
bdagent | Esafe | PCCIOMON | avgemc |
npfmsg | Espwatch | PCCMAIN | ashwebsv |
olydbg | F-Agnt95 | Pccwin98 | ashdisp |
anubis | Findvir | Pcfwallicon | ashmaisv |
Wireshark | Fprot | Persfw | ashserv |
avastui | F-Prot | POP3TRAP | aswUpdSv |
_Avp32 | F-Prot95 | PVIEW95 | symwsc |
vsmon | Fp-Win | Rav7 | Norton |
mbam | Frw | Rav7win | Norton Auto-Protect |
atslÄgu Å”ifrÄtÄjs | F-Stopw | GlÄbt | norton_av |
_Avpcc | Iamapp | Safeweb | nortonav |
_Avpm | Iamserv | SkenÄt32 | ccsetmgr |
Akvins32 | Ibmasn | SkenÄt95 | ccevtmgr |
Outpost | Ibmavsp | Scanpm | avadmin |
Anti-Trojas zirgs | Icload95 | Scrscan | avcenter |
AntiVir | Icloadnt | Serv95 | vid |
Apvxdwin | Icmon | Smc | vidÄjais |
ATRACK | Icsupp95 | SMCSERVICE | avnotify |
AutomÄtiskÄ lejupielÄde | Icsuppnt | Snort | avscan |
Avconsol | Iface | Sfinksa | Guargui |
Ave32 | Iomon98 | SlaucīŔana95 | nod32krn |
Avgctrl | Jedi | SYMPROXYSVC | nod32kui |
Avkserv | BloÄ·ÄÅ”ana 2000 | Tbscan | clamscan |
Avnt | Uzmanies | Tca | clamTray |
Avp | Luall | Tds2-98 | clamWin |
Avp32 | mcafee | Tds2-Nt | freshclam |
Avpcc | Moolive | TermiNET | oladin |
Avpdos32 | MPftray | Vet95 | rīks |
Avpm | N32scanw | Vettray | w9xpopen |
Avptc32 | NAVAPSVC | Vscan40 | AizvÄrt |
Avpupd | NAVAPW32 | Vsecomr | cmgrdian |
Avsched32 | NAVLU32 | Vshwin32 | alogserv |
AVSYNMGR | Navnt | Vsstat | mcshield |
Avwin95 | NAVRUNR | Webscanx | vshwin32 |
Avwupd32 | Navw32 | WEBTRAP | avconsol |
Blackd | Navwnt | Wfindv32 | vsstat |
Melnais ledus | NeoWatch | ZoneAlarm | avsynmgr |
Cfiadmin | NISSERV | LOCKDOWN2000 | avcmd |
Cfiaudit | Nisum | GlÄbÅ”ana32 | avconfig |
Cfinet | Nmain | LUCOMSERVER | licmgr |
Cfinet32 | Normists | avgcc | shed |
Spīļ95 | NORTON | avgcc | preupd |
Claw95cf | AtjauninÄt | avgamsvr | MsMpEng |
ApkopÄja | Nvc95 | avgupsvc | MSASCui |
TÄ«rÄ«tÄjs3 | Outpost | vid | Avira.Systray |
Defwatch | Padmin | avgcc32 | |
Dvp95 | Pavcl | avgserv |
- PaÅ”iznÄ«cinÄÅ”ana
- Notiek datu ielÄde no norÄdÄ«tÄ resursa manifesta
- Faila kopÄÅ”ana pa ceļu %Temp%tmpG[PaÅ”reizÄjais datums un laiks milisekundÄs].tmp
Interesanti, ka AgentTesla ļaunprogrammatÅ«rai ir identiska funkcija. - TÄrpu funkcionalitÄte
Ä»aunprÄtÄ«ga programmatÅ«ra saÅem noÅemamo datu nesÄju sarakstu. Ä»aunprÄtÄ«gas programmatÅ«ras kopija tiek izveidota multivides failu sistÄmas saknÄ ar nosaukumu Sys.exe. AutomÄtiskÄ palaiÅ”ana tiek Ä«stenota, izmantojot failu autorun.inf.
UzbrucÄja profils
Komandas centra analÄ«zes laikÄ bija iespÄjams noteikt izstrÄdÄtÄja e-pastu un segvÄrdu - Razer, aka Brwa, Brwa65, HiDDen PerSOn, 404 Coder. PÄc tam vietnÄ YouTube atradÄm interesantu video, kurÄ parÄdÄ«ts darbs ar celtnieku.
Tas ļÄva atrast sÄkotnÄjo izstrÄdÄtÄja kanÄlu.
Kļuva skaidrs, ka viÅam ir pieredze kriptogrÄfu rakstÄ«Å”anÄ. Ir arÄ« saites uz lapÄm sociÄlajos tÄ«klos, kÄ arÄ« autora Ä«stais vÄrds. IzrÄdÄ«jÄs, ka viÅÅ” ir IrÄkas iedzÄ«votÄjs.
Å Ädi it kÄ izskatÄs 404 Keylogger izstrÄdÄtÄjs. Foto no viÅa personÄ«gÄ Facebook profila.
CERT Group-IB ir paziÅojis par jaunu draudu - 404 Keylogger - XNUMX stundu uzraudzÄ«bas un reaÄ£ÄÅ”anas centru kiberdraudiem (SOC) BahreinÄ.
Avots: www.habr.com