Во последниве години, мобилните тројанци активно ги заменуваат тројанците за персонални компјутери, така што појавата на нов малициозен софтвер за старите добри „автомобили“ и нивната активна употреба од сајбер-криминалците, иако непријатна, сепак е настан. Неодамна, 24/7 центарот за одговор на инциденти за информациска безбедност на CERT Group-IB откри необична е-пошта за фишинг што криеше нов малициозен софтвер за компјутер кој ги комбинира функциите на Keylogger и PasswordStealer. Вниманието на аналитичарите беше привлечено од тоа како шпионскиот софтвер влезе во машината на корисникот - користејќи популарен гласовен гласник. Илја Померанцев, специјалист за анализа на малициозен софтвер во CERT Group-IB, објасни како функционира малициозниот софтвер, зошто е опасен, па дури и го нашол својот креатор во далечниот Ирак.
Значи, да одиме по ред. Под маската на прилог, такво писмо содржеше слика, по кликнување на која корисникот беше однесен на страницата cdn.discordapp.com, и од таму е преземена злонамерна датотека.
Користењето на Discord, бесплатен гласовен и текстуален месинџер, е прилично неконвенционален. Вообичаено, за овие цели се користат други инстант-месинџери или социјални мрежи.
За време на подетална анализа, беше идентификувано семејство на малициозен софтвер. Се покажа дека е новодојденец на пазарот на малициозен софтвер - 404 Keylogger.
Првиот оглас за продажба на keylogger е објавен на хакфоруми од корисник под прекарот „404 Coder“ на 8 август.
Доменот на продавницата беше регистриран неодамна - на 7 септември 2019 година.
Како што велат програмерите на веб-страницата 404проекти[.]xyz, 404 е алатка дизајнирана да им помогне на компаниите да дознаат за активностите на нивните клиенти (со нивна дозвола) или за оние кои сакаат да го заштитат својот бинар од обратно инженерство. Гледајќи напред, да го кажеме тоа со последната задача 404 дефинитивно не се справува.
Решивме да вратиме една од датотеките и да провериме што е „BEST SMART KEYLOGGER“.
Екосистем на малициозен софтвер
Натоварувач 1 (AtillaCrypter)
Изворната датотека е заштитена со користење EaxObfuscator и врши вчитување во два чекора AtProtect од делот за ресурси. За време на анализата на други примероци пронајдени на VirusTotal, стана јасно дека оваа фаза не е обезбедена од самиот развивач, туку е додадена од неговиот клиент. Подоцна беше утврдено дека овој подигнувач е AtillaCrypter.
Подигнувач 2 (AtProtect)
Всушност, овој натоварувач е составен дел од малициозниот софтвер и, според намерата на развивачот, треба да ја преземе функционалноста на спротивставената анализа.
Меѓутоа, во пракса, заштитните механизми се крајно примитивни, а нашите системи успешно го откриваат овој малициозен софтвер.
Главниот модул се вчитува со користење Франши ShellCode различни верзии. Сепак, не исклучуваме дека би можеле да се користат и други опции, на пример, RunPE.
Конфигурациска датотека
Консолидација во системот
Консолидацијата во системот ја обезбедува подигнувачот AtProtect, ако е поставено соодветното знаме.
- Датотеката се копира по патеката %AppData%GFqaakZpzwm.exe.
- Датотеката се креира %AppData%GFqaakWinDriv.url, лансирање Zpzwm.exe.
- Во конецот HKCUSoftwareMicrosoftWindowsCurrentVersionRun се креира клуч за стартување WinDriv.url.
Интеракција со C&C
Натоварувач AtProtect
Ако е присутно соодветното знаме, малициозниот софтвер може да започне скриен процес истражувач и следете ја наведената врска за да го известите серверот за успешна инфекција.
DataStealer
Без оглед на користениот метод, мрежната комуникација започнува со добивање на надворешната IP IP на жртвата користејќи го ресурсот [http]://checkip[.]dyndns[.]org/.
Кориснички агент: Mozilla/4.0 (компатибилен; MSIE 6.0; Windows NT 5.2; .NET CLR1.0.3705;)
Општата структура на пораката е иста. Присутен заглавие
|——- 404 Keylogger — {Type} ——-|каде {тип} одговара на видот на информациите што се пренесуваат.
Следниве се информации за системот:
_______ + ИНФОРМАЦИИ ЗА ЖРТВАТА + _______
IP: {Надворешна IP адреса}
Име на сопственикот: {Име на компјутер}
Име на ОС: {Име на ОС}
Верзија на ОС: {ОС верзија}
ОС Платформа: {Платформа}
Големина на RAM: {големина на RAM меморија}
______________________________
И конечно, пренесените податоци.
SMTP
Темата на писмото е како што следува: 404 K | {Тип на порака} | Име на клиентот: {Корисничко име}.
Интересно, да се достават писма до клиентот 404 Keylogger Се користи SMTP серверот на програмерите.
Ова овозможи да се идентификуваат некои клиенти, како и е-поштата на еден од програмерите.
FTP
Кога го користите овој метод, собраните информации се зачувуваат во датотека и веднаш се читаат од таму.
Логиката зад оваа акција не е сосема јасна, но создава дополнителен артефакт за пишување правила на однесување.
%HOMEDRIVE%%HOMEPATH%DocumentsA{произволен број}.txt
pastebin
За време на анализата, овој метод се користи само за пренос на украдени лозинки. Покрај тоа, се користи не како алтернатива на првите две, туку паралелно. Условот е вредноста на константата еднаква на „Vavaa“. Веројатно ова е името на клиентот.
Интеракцијата се јавува преку протоколот https преку API паштебин. Значење api_paste_private еднакво PASTE_UNLISTED, што забранува пребарување на такви страници во паштебин.
Алгоритми за шифрирање
Враќање датотека од ресурси
Товарот е зачуван во ресурсите на подигнувачот AtProtect во форма на Bitmap слики. Екстракцијата се изведува во неколку фази:
- Низа бајти е извлечена од сликата. Секој пиксел се третира како низа од 3 бајти по редослед BGR. По извлекувањето, првите 4 бајти од низата ја складираат должината на пораката, а следните ја складираат самата порака.
- Се пресметува клучот. За да го направите ова, MD5 се пресметува од вредноста „ZpzwmjMJyfTNiRalKVrcSkxCN“ наведена како лозинка. Добиениот хаш се пишува двапати.
- Дешифрирањето се врши со помош на алгоритмот AES во режим на ЕЦБ.
Злонамерна функционалност
Преземач
Имплементиран во подигнувачот AtProtect.
- Со контактирање [activelink-repalce] Се бара статус на серверот за да се потврди дека е подготвен да ја опслужува датотеката. Серверот треба да се врати "НА".
- Со референца [преземи врска-замени] Товарот е преземен.
- Со FranchyShellcode товарот се вбризгува во процесот [inj-замени].
При анализа на доменот 404проекти[.]xyz дополнителни примероци беа идентификувани на VirusTotal 404 Keylogger, како и неколку видови натоварувачи.
Конвенционално, тие се поделени во два вида:
- Преземањето се врши од ресурсот 404проекти[.]xyz.
Податоците се кодирани со Base64 и шифрирани AES. - Оваа опција се состои од неколку фази и најверојатно се користи заедно со подигнувач AtProtect.
- Во првата фаза, податоците се вчитуваат од паштебин и се дешифрира со помош на функцијата HexToByte.
- Во втората фаза, изворот на вчитување е 404проекти[.]xyz. Сепак, функциите за декомпресија и декодирање се слични на оние што се наоѓаат во DataStealer. Најверојатно првично беше планирано да се имплементира функционалноста на подигнувачот во главниот модул.
- Во оваа фаза, товарот е веќе во манифестот на ресурси во компресирана форма. Слични функции за екстракција беа пронајдени и во главниот модул.
Меѓу анализираните датотеки беа пронајдени преземачи њРат, SpyGate и други стаорци.
Keylogger
Период на испраќање на дневникот: 30 минути.
Сите знаци се поддржани. Специјалните ликови се избегани. Има обработка за копчињата BackSpace и Delete. Чувствителни на букви.
ClipboardLogger
Период на испраќање на дневникот: 30 минути.
Период на гласање во тампон: 0,1 секунди.
Имплементирано бегство на врската.
ScreenLogger
Период на испраќање на дневникот: 60 минути.
Сликите од екранот се зачувани во %HOMEDRIVE%%HOMEPATH%Documents404k404pic.png.
По испраќањето на папката 404k се брише.
PasswordStealer
| Браузеры | Клиенти за пошта | FTP клиенти |
|---|---|---|
| Chrome | Outlook | FileZilla |
| Firefox | Thunderbird | |
| SeaMonkey | Foxmail | |
| Ледениот змеј | ||
| Палемун | ||
| Сајберфокс | ||
| Chrome | ||
| BraveBrowser | ||
| QQBrowser | ||
| Iridium Browser | ||
| XvastBrowser | ||
| Чедот | ||
| 360 Прелистувач | ||
| ComodoDragon | ||
| 360 Хром | ||
| Суперптица | ||
| CentBrowser | ||
| GhostBrowser | ||
| IronBrowser | ||
| Хром | ||
| Вивалди | ||
| Slimjet Browser | ||
| Орбитум | ||
| CocCoc | ||
| Факелот | ||
| UCBrowser | ||
| EpicBrowser | ||
| BliskBrowser | ||
| Опера |
Спротивставување на динамичка анализа
- Проверка дали некој процес е во фаза на анализа
Извршено со користење на процесно пребарување задача, ПроцесХакер, procexp64, procexp, проклам. Ако се најде барем еден, малициозниот софтвер излегува.
- Проверете дали сте во виртуелна средина
Извршено со користење на процесно пребарување vmtoolsd, VGAuthService, vmacthlp, VBoxService, VBoxTray. Ако се најде барем еден, малициозниот софтвер излегува.
- Заспива 5 секунди
- Демонстрација на различни типови на дијалог-кутии
Може да се користи за заобиколување на некои песочни кутии.
- Заобиколете го UAC
Се изведува со уредување на клучот за регистар ОвозможиLUA во поставките за групна политика.
- Го применува атрибутот „Скриено“ на тековната датотека.
- Можност за бришење на тековната датотека.
Неактивни карактеристики
При анализата на подигнувачот и главниот модул беа пронајдени функции кои беа одговорни за дополнителна функционалност, но тие никаде не се користат. Ова веројатно се должи на фактот што малициозниот софтвер се уште е во развој и функционалноста наскоро ќе биде проширена.
Натоварувач AtProtect
Пронајдена е функција која е одговорна за вчитување и инјектирање во процесот msiexec.exe произволен модул.
DataStealer
- Консолидација во системот
- Функции на декомпресија и дешифрирање
Веројатно е дека шифрирањето на податоците за време на мрежната комуникација наскоро ќе биде имплементирано. - Прекин на антивирусни процеси
| zlclient | Dvp95_0 | Павшед | avgserv9 |
| egui | Екингин | Павв | avgserv9schedapp |
| бдагент | Есафе | PCIOMON | avgemc |
| npfmsg | Espwatch | PCCMAIN | ашвебсв |
| олидбг | F-Agnt95 | Pccwin98 | ашдисп |
| анубис | Findvir | Pcfwallicon | ашмаисв |
| жица | Fprot | Persfw | ashserv |
| австуи | F-прот | POP3TRAP | aswUpdSv |
| _Avp32 | F-Prot95 | PVIEW95 | symwsc |
| vsmon | Fp-Win | Рав7 | Norton |
| мбам | Frw | Рав7вин | Автоматска заштита на Нортон |
| keyscrambler | F-Stopw | Спасување | нортон_ав |
| _Avpcc | Iamapp | Сејфвеб | нортонав |
| _Avpm | Иамсерв | Скенирај 32 | ccsetmgr |
| Аквин32 | Ибмасн | Скенирај 95 | ccevtmgr |
| Бастион | Ибмавсп | Scanpm | avadmin |
| Антитројански | Icload95 | Скенирај | avcenter |
| АНТИВИР | Icloadnt | Серв95 | средно |
| Apvxdwin | Икона | СМЦ | авгард |
| АТРАК | Icsupp95 | SMCSERVICE | авнотификуваат |
| Autodown | Icsuppnt | Снорт | avscan |
| Avconsol | Ифејс | Сфингите | чувар |
| Ave32 | Јомон98 | Метење95 | nod32krn |
| Средно | Jedi | SYMPROXYSVC | nod32kui |
| Avkserv | Заклучување2000 | Tbscan | кламскан |
| Avnt | Стражарската | Tca | Послужавник за мида |
| Avp | Луал | Tds2-98 | clamWin |
| Avp32 | КАФЕ | Tds2-Nt | свеж |
| Avpcc | Мулив | ТермиНЕТ | оладин |
| Avpdos32 | MPftray | Вет95 | sigtool |
| Avpm | N32 scanw | Ветреј | w9xпојави |
| Avptc32 | NAVAPSVC | Vscan40 | Затвори |
| Avpupd | NAVAPW32 | Всекомр | cmgrdian |
| Avsched32 | NAVLU32 | Вшвин32 | alogserv |
| AVSYNMGR | Навнт | Vsstat | mcshield |
| Avwin95 | НАВРУНР | Webscanx | vshwin32 |
| Avwupd32 | Navw32 | WEBTRAP | avconsol |
| Црно | Navwnt | Wfindv32 | vsstat |
| Црн мраз | NeoWatch | Зонски аларм | avsynmgr |
| Cfiadmin | НИСЕРВ | LOCKDOWN2000 | avcmd |
| Cfiaudit | Нисум | СПАСУВАЊЕ32 | avconfig |
| Cfinet | Главен | LUCOMSERVER | licmgr |
| Cfinet32 | Нормист | avgcc | распоредени |
| Ноктот95 | NORTON | avgcc | предупреди |
| Claw95cf | Надградба | avgamsvr | MsMpEng |
| Почисто | Nvc95 | avgupsvc | MSASCui |
| Чистач 3 | Бастион | просечно | Avira.Systray |
| Defwatch | Падмин | avgcc32 | |
| Dvp95 | Павкл | avgserv |
- Самоуништување
- Се вчитуваат податоци од наведениот манифест на ресурси
- Копирање на датотека по патека %Temp%tmpG[Тековен датум и време во милисекунди].tmp
Интересно, идентична функција е присутна во малициозниот софтвер AgentTesla. - Функционалност на црви
Злонамерниот софтвер добива список со отстранливи медиуми. Копија од малициозниот софтвер се креира во коренот на медиумскиот датотечен систем со името Sys.exe. Автоматското извршување се имплементира со помош на датотека autorun.inf.
Профил на напаѓачот
За време на анализата на командниот центар, беше можно да се утврдат е-поштата и прекарот на развивачот - Razer, ака Brwa, Brwa65, HiDDen PerSOn, 404 Coder. Следно, најдовме интересно видео на YouTube што демонстрира работа со градителот.
Ова овозможи да се најде оригиналниот канал за програмери.
Стана јасно дека има искуство во пишување криптографи. Има и линкови до страници на социјалните мрежи, како и вистинското име на авторот. Испадна дека е жител на Ирак.
Вака наводно изгледа развивачот на 404 Keylogger. Фотографија од неговиот личен Фејсбук профил.
CERT Group-IB објави нова закана - 404 Keylogger - XNUMX-часовен центар за следење и одговор за сајбер закани (SOC) во Бахреин.
Извор: www.habr.com