ആശ്ചര്യത്തോടെ കീലോഗർ: കീലോഗറിന്റെയും അതിന്റെ ഡെവലപ്പറുടെ ഡീനന്റെയും വിശകലനം

В последние годы мобильные трояны активно вытесняют трояны для персональных компьютеров, поэтому появление новых вредоносных программ под старые добрые «тачки» и их активное использование киберпреступниками, хотя и неприятное, но все-таки событие. Недавно центр круглосуточного реагирования на инциденты информационной безопасности CERT Group-IB зафиксировал необычную фишинговую рассылку, за которой скрывалась новая вредоносная программа для ПК, сочетающая в себе функции Keylogger и PasswordStealer. Внимание аналитиков привлекло то, каким образом шпионская программа попадала на машину пользователя — с помощью популярного голосового мессенджера. Илья Померанцев, специалист по анализу вредоносного кода CERT Group-IB рассказал, как работает вредоносная программа, чем она опасна, и даже нашел ее создателя — в далеком Ираке.

Итак, пойдем по порядку. Под видом вложения в таком вот письме содержалась картинка, при клике на которую пользователь попадал на сайт cdn.discordapp.com, и оттуда загружался вредоносный файл.

Использование Discord, бесплатного голосового и текстового мессенджера, достаточно нестандартно. Обычно для этих целей используются другие мессенджеры или социальные сети.

В процессе более детального анализа было установлено семейство ВПО. Им оказался новичок на рынке вредоносных программ — 404 Keylogger.

Первое объявление о продаже кейлоггера было размещено на hackforums пользователем под ником «404 Coder» 8 августа.

Домен магазина был зарегистрирован совсем недавно — 7 сентября 2019 года.

Как уверяют разработчики на сайте 404projects[.]xyz, 404 — это инструмент, созданный, чтобы помочь компаниям узнавать о действиях своих клиентов (с их разрешения) или он нужен тем, кто желает защитить свой бинарный файл от реверс-инжиниринга. Забегая вперед, скажем, что с последней задачей 404 точно не справляется.

Мы решили разреверсить один из файлов и проверить, что из себя представляет «BEST SMART KEYLOGGER».

Экосистема ВПО

Загрузчик 1 (AtillaCrypter)

Исходный файл защищен при помощи EaxObfuscator и осуществляет двухэтапную загрузку AtProtect из секции ресурсов. В ходе анализа других сэмплов, найденных на VirusTotal, стало понятно, что эта стадия не предусматривалась самим разработчиком, а была добавлена его клиентом. В дальнейшем было установлено, что этим загрузчиком является AtillaCrypter.

Загрузчик 2 (AtProtect)

По факту этот загрузчик является неотъемлемой частью ВПО и, по замыслу разработчика, должен брать на себя функционал по противодействию анализу.

Однако на практике механизмы защиты крайне примитивны, и наши системы успешно детектят это ВПО.

Загрузка основного модуля осуществляется при помощи Franchy ShellCode различных версий. Однако мы не исключаем, что могли использоваться и другие варианты, например, RunPE.

കോൺഫിഗറേഷൻ ഫയൽ

Закрепление в системе

Закрепление в системе обеспечивается загрузчиком AtProtect, если установлен соответствующий флаг.

• Файл копируется по пути %AppData%GFqaakZpzwm.exe.
• Создается файл %AppData%GFqaakWinDriv.url, запускающий Zpzwm.exe.
• В ветке HKCUSoftwareMicrosoftWindowsCurrentVersionRun создается ключ на запуск WinDriv.url.

C&C യുമായുള്ള ഇടപെടൽ

Загрузчик AtProtect

При наличии соответствующего флага ВПО может запустить скрытый процесс iexplorer и перейти по указанной ссылке, чтобы уведомить сервер об успешном заражении.

DataStealer

ഉപയോഗിച്ച രീതി പരിഗണിക്കാതെ തന്നെ, ഉറവിടം ഉപയോഗിച്ച് ഇരയുടെ ബാഹ്യ ഐപി നേടുന്നതിലൂടെ നെറ്റ്‌വർക്ക് ആശയവിനിമയം ആരംഭിക്കുന്നു. [http]://checkip[.]dyndns[.]org/.

User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; .NET CLR1.0.3705;)

Одинакова и общая структура сообщения. Присутствует заголовок
|——- 404 Keylogger — {Type} ——-|എവിടെ {type} соответствует типу передаваемой информации.
Далее следует информация о системе:

_______ + VICTIM INFO + _______

IP: {Внешний IP}
Owner Name: {Имя компьютера}
OS Name: {Название ОС}
OS Version: {Версия ОС}
OS PlatForm: {Платформа}
RAM Size: {Размер ОЗУ}
______________________________

И, наконец, — передаваемые данные.

എസ്എംപിടി

Тема письма имеет следующий вид: 404 K | {Тип сообщения} | Client Name: {Имя пользователя}.

Интересно, что для доставки писем клиенту 404 Keylogger используется SMTP-сервер разработчиков.

Это позволило выявить некоторых клиентов, а также почту одного из разработчиков.

എഫ്ടിപി

При использовании этого метода собираемая информация сохраняется в файл и сразу же оттуда читается.

Логика этого действия не совсем понятна, однако это создает дополнительный артефакт для написания поведенческих правил.

%HOMEDRIVE%%HOMEPATH%DocumentsA{Произвольное число}.txt

ഒട്ടിക്കുക

На момент анализа этот метод применяется только для передачи украденных паролей. Причем он используется не как альтернатива первым двум, а параллельно. Условием является значение константы, равное «Vavaa». Предположительно, это имя клиента.

Взаимодействие происходит по https-протоколу через API പേസ്റ്റ്ബിൻ. അർത്ഥം api_paste_private തുല്യമാണ് PASTE_UNLISTED, что запрещает поиск таких страниц в പേസ്റ്റ്ബിൻ.

എൻക്രിപ്ഷൻ അൽഗോരിതങ്ങൾ

Извлечение файла из ресурсов

Полезная нагрузка хранится в ресурсах загрузчика AtProtect в виде Bitmap-картинок. Извлечение осуществляется в несколько стадий:

• Из картинки извлекается массив байтов. Каждый пиксель трактуется как последовательность из 3 байтов в порядке BGR. После извлечения первые 4 байта массива хранят длину сообщения, последующие — само сообщение.

  

• Вычисляется ключ. Для этого высчитывается MD5 от значения «ZpzwmjMJyfTNiRalKVrcSkxCN», указанного в качестве пароля. Полученный хеш записывается дважды.

  

• Выполняется расшифровка алгоритмом AES в режиме ECB.

ക്ഷുദ്രകരമായ പ്രവർത്തനം

ഡൗൺലോഡർ

Реализуется в загрузчике AtProtect.

• Обращением по [activelink-repalce] запрашивается статус сервера о готовности отдать файл. Сервер должен вернуть “ഓൺ”.
• ലിങ്ക് വഴി [downloadlink-replace] скачивается полезная нагрузка.
• സഹായത്തോടെ FranchyShellcode осуществляется инжект полезной нагрузки в процесс [inj-replace].

В ходе анализа домена 404projects[.]xyz на VirusTotal были выявлены дополнительные экземпляры 404 Keylogger, а также несколько видов загрузчиков.

Условно они делятся на два типа:

1. Загрузка осуществляется с ресурса 404projects[.]xyz.

   
   Данные закодированы Base64 и зашифрованы AES.

2. Этот вариант состоит из нескольких этапов и, вероятнее всего, используется в связке с загрузчиком AtProtect.

• На первой стадии данные загружаются с പേസ്റ്റ്ബിൻ и декодируются при помощи функции HexToByte.

  

• На второй стадии источником загрузки служит сам 404projects[.]xyz. При этом функции декомпрессии и декодирования аналогичны найденным в DataStealer. Вероятно, изначально планировалось реализовать функционал загрузчика в основном модуле.

  

• На этом этапе полезная нагрузка уже находится в ресурс-манифесте в сжатом виде. Аналогичные функции извлечения также были найдены в основном модуле.

Среди проанализированных файлов были найдены загрузчики njRat, SpyGate и других RAT.

കീലോഗർ

Период отправки лога: 30 минут.

Поддерживаются все символы. Спецсимволы экранируются. Есть обработка клавиш BackSpace и Delete. Учитывается регистр.

ക്ലിപ്പ്ബോർഡ്ലോഗർ

Период отправки лога: 30 минут.

Период опроса буфера: 0,1 секунды.

Реализовано экранирование ссылок.

സ്ക്രീൻലോഗർ

Период отправки лога: 60 минут.

Скриншоты сохраняются в %HOMEDRIVE%%HOMEPATH%Documents404k404pic.png.

После отправки папка 404k удаляется.

പാസ്‌വേഡ് സ്റ്റീലർ

ബ്രൗസറുകൾ	മെയിൽ ക്ലയന്റുകൾ	FTP ക്ലയന്റുകൾ
ക്രോം	ഔട്ട്ലുക്ക്	ഫയൽസില്ല
ഫയർഫോക്സ്	തണ്ടർബേഡ്
കടൽ	ഫോക്സ്മെയിൽ
ഐസ്ഡ്രാഗൺ
ഇളം മൂൺ
സൈബർഫോക്സ്
ക്രോം
BraveBrowser
QQBrowser
IridiumBrowser
XvastBrowser
ചെഡോട്ട്
360 ബ്രൗസർ
ComodoDragon
360Chrome
SuperBird
സെൻറ് ബ്രൗസർ
GhostBrowser
IronBrowser
ക്രോമിയം
വിവാൽഡി
SlimjetBrowser
ഭ്രമണപഥം
കൊക്കോക്
പന്തം
യുസിബ്രൗസർ
EpicBrowser
BliskBrowser
Opera

ചലനാത്മക വിശകലനത്തോടുള്ള പ്രതിരോധം

• Проверка нахождения процесса под анализом

  Осуществляется с помощью поиска процессов ടാസ്ക്എംജിആർ, ProcessHacker, procexp64, procexp, procmon. Если найден хотя бы один, ВПО завершает работу.

• Проверка нахождения в виртуальной среде

  Осуществляется с помощью поиска процессов vmtoolsd, VGAuthService, vmacthlp, VBoxService, VBoxTray. Если найден хотя бы один, ВПО завершает работу.

• Засыпание на 5 секунд
• Демонстрация диалоговых окон различных типов

  Может быть использовано для обхода некоторых песочниц.

• Обход UAC

  Выполняется через редактирование ключа реестра എനബ്ലെലുഅ в настройках групповой политики.

• Применение атрибута «Скрытный» для текущего файла.
• Возможность выполнить удаление текущего файла.

Неактивные возможности

В ходе анализа загрузчика и основного модуля были найдены функции, отвечающие за дополнительный функционал, однако они нигде не используются. Вероятно, это связано с тем, что ВПО все еще в разработке, и вскоре функциональность будет расширена.

Загрузчик AtProtect

Была найдена функция, отвечающая за подгрузку и инжект в процесс msiexec.exe произвольного модуля.

DataStealer

• Закрепление в системе

  

• Функции декомпрессии и дешифровки

  
  
  Вероятно, скоро будет реализовано шифрование данных при сетевом взаимодействии.

• Завершение процессов антивирусов

zlclient	Dvp95_0	Pavsched	avgserv9
egui	Ecengine	Pavw	avgserv9schedapp
bdagent	എസേഫ്	PCCIOMON	avgemc
npfmsg	Espwatch	PCCMAIN	ashwebsv
olydbg	F-Agnt95	Pccwin98	ashdisp
അനുബിസ്	Findviru	Pcfwallicon	ashmaisv
വയർ‌ഷാർക്ക്	Fprot	Persfw	ashserv
avastui	എഫ്-പ്രൊത്	POP3TRAP	aswUpdSv
_Avp32	F-Prot95	PVIEW95	symwsc
vsmon	Fp-Win	റാവ് 7	നോർട്ടൺ
mbam	Frw	Rav7win	Norton Auto-Protect
keyscrambler	F-Stopw	വീണ്ടെടുക്കുക	norton_av
_Avpcc	Iamapp	Safeweb	nortonav
_Avpm	Iamserv	സ്കാൻ 32	ccsetmgr
Ackwin32	Ibmasn	സ്കാൻ 95	ccevtmgr
ഔട്ട്പോസ്റ്റ്	Ibmavsp	Scanpm	avadmin
ആന്റി ട്രോജൻ	Icload95	Scrscan	avcenter
ആന്റിവിർ	Icloadnt	Serv95	ശരാശരി
Apvxdwin	Icmon	എസ്എംസി	avguard
ATRACK	Icsupp95	SMCSERVICE	avnotify
Autodown	Icsuppnt	തമാശ	avscan
Avconsol	ഐഫേസ്	സ്ഫിംക്സ്	guardgui
Ave32	Iomon98	സ്വീപ്പ്95	nod32krn
Avgctrl	ജെഡി	SYMPROXYSVC	nod32kui
Avkserv	ലോക്ക്ഡൗൺ 2000	Tbscan	ക്ലാംസ്കാൻ
Avnt	നിരീക്ഷിക്കുക	Tca	clamTray
Avp	Luall	Tds2-98	clamWin
Avp32	മക്കഫീ	Tds2-Nt	പുതുക്കണം
Avpcc	Moolive	TermiNET	oladdin
Avpdos32	Mpftray	Vet95	സിഗ്ടൂൾ
Avpm	N32scanw	Vettray	w9xpopen
Avptc32	NAVAPSVC	Vscan40	Wclose
Avpupd	NAVAPW32	Vsecomr	cmgrdian
Avsched32	NAVLU32	Vshwin32	alogserv
AVSYNMGR	Navnt	Vsstat	mcshield
Avwin95	NAVRUNR	Webscanx	vshwin32
Avwupd32	Navw32	WEBTRAP	avconsol
Blackd	Navwnt	Wfindv32	vsstat
Blackice	NeoWatch	സോൺ അലാറം	avsynmgr
Cfiadmin	NISSERV	LOCKDOWN2000	avcmd
Cfiaudit	നിസും	രക്ഷ32	avconfig
Cfinet	Nmain	LUCOMSERVER	licmgr
Cfinet32	Normist	avgcc	ഷെഡ് ചെയ്തു
Claw95	നോർട്ടൺ	avgcc	preupd
Claw95cf	Nupgrade	avgamsvr	MsMpEng
ക്ലീനർ	Nvc95	avgupsvc	MSASCui
Cleaner3	ഔട്ട്പോസ്റ്റ്	avgw	Avira.Systray
Defwatch	Padmin	avgcc32
Dvp95	Pavcl	avgserv

• Самоуничтожение
• Загрузка данных из указанного ресурс-манифеста

  

• Копирование файла по пути %Temp%tmpG[Текущая дата и время в миллисекундах].tmp

  
  Интересно, что идентичная функция присутствует в ВПО AgentTesla.

• Функционал червя

  ВПО получает список съемных носителей. В корне файловой системы носителя создается копия ВПО с именем Sys.exe. Автозапуск реализован при помощи файла autorun.inf.

  

ആക്രമണകാരിയുടെ പ്രൊഫൈൽ

В ходе анализа командного центра удалось установить почту и ник разработчика — Razer, он же Brwa, Brwa65, HiDDen PerSOn, 404 Coder. Далее было найдено любопытное видео на YouTube, где демонстрируется работа с билдером.

Это позволило найти оригинальный канал разработчика.

Стало ясно, что опыт в написании крипторов у него имеется. Там же есть ссылки на страницы в социальных сетях, а также настоящее имя автора. Им оказался житель Ирака.

Вот так, предположительно, выглядит разработчик 404 Keylogger. Фото из его личного профиля в Facebook.

CERT Group-IB оповестил о новой угрозе — 404 Keylogger — круглосуточный центр мониторинга и реагирования на киберугрозы (SOC) в Бахрейне.

അവലംബം: www.habr.com