Гэнэтийн Keylogger: Keylogger болон хөгжүүлэгчийн деаноны шинжилгээ

Сүүлийн жилүүдэд гар утасны троянууд хувийн компьютерт зориулсан троянуудыг идэвхтэй сольж байгаа тул хуучин сайн "машин"-д зориулсан шинэ хортой програмууд гарч ирж, кибер гэмт хэрэгтнүүд тэднийг идэвхтэй ашиглах нь таагүй боловч үйл явдал хэвээр байна. Саяхан CERT Group-IB-ийн XNUMX/XNUMX мэдээллийн аюулгүй байдлын ослын хариу арга хэмжээ авах төв нь Keylogger болон PasswordStealer-ийн функцуудыг хослуулсан шинэ компьютерийн хортой програмыг нууж байсан ер бусын фишинг цахим шуудан илрүүлсэн байна. Шинжээчдийн анхаарлыг алдартай дуут мессенжер ашиглан тагнуулын программ нь хэрэглэгчийн машин руу хэрхэн нэвтэрсэнд татав. Илья ПомеранцевCERT Group-IB-ийн хорлонтой программ хангамжийн шинжилгээний мэргэжилтэн уг хортой програм хэрхэн ажилладаг, яагаад аюултай болохыг тайлбарлаж, бүр алс холын Иракаас бүтээгчээ олжээ.

За, дарааллаар нь явцгаая. Хавсралт гэсэн нэрийн дор ийм захидалд дарахад хэрэглэгчийг сайт руу аваачсан зураг байсан. cdn.discordapp.com, мөн тэндээс хортой файл татагдсан байна.

Үнэгүй дуут болон текст мессенжер болох Discord-ийг ашиглах нь ер бусын зүйл юм. Ихэвчлэн эдгээр зорилгоор бусад шуурхай мессенжер эсвэл нийгмийн сүлжээг ашигладаг.

Илүү нарийвчилсан дүн шинжилгээ хийх явцад хортой програмын гэр бүлийг илрүүлсэн. Энэ нь хортой програмын зах зээлд шинээр ирсэн хүн болж хувирав - 404 Keylogger.

Түлхүүр хөтлөгч зарна гэсэн анхны зарыг нийтэлжээ hackforums 404-р сарын 8-нд "XNUMX кодлогч" хочтой хэрэглэгч.

Дэлгүүрийн домэйн саяхан бүртгэгдсэн - 7 оны 2019-р сарын XNUMX.

Хөгжүүлэгчдийн хэлснээр вэбсайт дээр 404 төсөл[.]xyz, 404 нь компаниудад үйлчлүүлэгчдийнхээ үйл ажиллагааны талаар (тэдний зөвшөөрлөөр) суралцахад нь туслах эсвэл хоёртын хувилбараа урвуу инженерчлэлээс хамгаалахыг хүссэн хүмүүст зориулсан хэрэгсэл юм. Урагшаа хараад, сүүлчийн даалгавартай нь хэлье 404 дийлэхгүй нь гарцаагүй.

Бид нэг файлыг эргүүлж, "BEST SMART KEYLOGGER" гэж юу болохыг шалгахаар шийдсэн.

Хортой програмын экосистем

Ачаалагч 1 (AtillaCrypter)

Эх файлыг ашиглан хамгаалагдсан EaxObfuscator мөн хоёр үе шаттай ачааллыг гүйцэтгэдэг AtProtect нөөцийн хэсгээс. VirusTotal дээр олдсон бусад дээжийг шинжлэх явцад энэ үе шатыг хөгжүүлэгч өөрөө өгөөгүй, харин түүний үйлчлүүлэгч нэмж оруулсан нь тодорхой болсон. Хожим нь энэ ачаалагч нь AtillaCrypter байсан нь тогтоогдсон.

Ачаалагч 2 (AtProtect)

Үнэн хэрэгтээ энэ дуудагч нь хортой програмын салшгүй хэсэг бөгөөд хөгжүүлэгчийн зорилгын дагуу шинжилгээний эсрэг хариулах функцийг авах ёстой.

Гэсэн хэдий ч бодит байдал дээр хамгаалалтын механизмууд нь маш энгийн бөгөөд манай системүүд энэ хортой програмыг амжилттай илрүүлдэг.

Үндсэн модулийг ашиглан ачаалагдсан Франчи Shell код өөр өөр хувилбарууд. Гэсэн хэдий ч бид бусад сонголтуудыг ашиглаж болохыг үгүйсгэхгүй, жишээ нь: RunPE.

Тохиргооны файл

Систем дэх нэгтгэх

Систем дэх нэгдлийг ачаалагчаар хангадаг AtProtect, харгалзах тугийг тохируулсан бол.

• Файлыг замын дагуу хуулсан байна %AppData%GFqaakZpzwm.exe.
• Файл үүсгэгдсэн %AppData%GFqaakWinDriv.url, хөөргөх Zpzwm.exe.
• Утас дотор HKCUSoftwareMicrosoftWindowsCurrentVersionRun эхлүүлэх түлхүүр бий болсон WinDriv.url.

C&C-тэй харилцах

Ачаалагч AtProtect

Хэрэв тохирох туг байгаа бол хортой програм нь далд процессыг эхлүүлж болно iexplorer болон амжилттай халдварын талаар серверт мэдэгдэхийн тулд заасан холбоосыг дагана уу.

DataStealer

Ашигласан аргаас үл хамааран сүлжээний холбоо нь эх сурвалжийг ашиглан хохирогчийн гадаад IP хаягийг олж авахаас эхэлдэг [http]://checkip[.]dyndns[.]org/.

Хэрэглэгчийн агент: Mozilla/4.0 (тохиромжтой; MSIE 6.0; Windows NT 5.2; .NET CLR1.0.3705;)

Мессежийн ерөнхий бүтэц ижил байна. Гарчиг одоо байна
|——- 404 Keylogger — {Төрөл} ——-|хаана {төрөл} дамжуулж буй мэдээллийн төрөлтэй тохирч байна.
Системийн талаархи дараах мэдээлэл байна.

_______ + ХОХИРОГЧИЙН МЭДЭЭ + _______

IP: {Гадаад IP}
Эзэмшигчийн нэр: {Компьютерийн нэр}
Үйлдлийн системийн нэр: {OS нэр}
OS хувилбар: {OS хувилбар}
OS платформ: {Платформ}
RAM хэмжээ: {RAM хэмжээ}
______________________________

Эцэст нь дамжуулсан өгөгдөл.

SMTP

Захидлын сэдэв нь дараах байдалтай байна. 404 К | {Зурвасны төрөл} | Үйлчлүүлэгчийн нэр: {Хэрэглэгчийн нэр}.

Сонирхолтой нь үйлчлүүлэгчид захидал хүргэх 404 Keylogger Хөгжүүлэгчдийн SMTP серверийг ашиглаж байна.

Энэ нь зарим үйлчлүүлэгчид, мөн хөгжүүлэгчдийн аль нэгний имэйлийг тодорхойлох боломжтой болсон.

FTP

Энэ аргыг ашиглах үед цуглуулсан мэдээллийг файлд хадгалж, тэндээс шууд уншдаг.

Энэ үйлдлийн цаана байгаа логик нь бүрэн тодорхой бус боловч зан үйлийн дүрмийг бичих нэмэлт олдворыг бий болгодог.

%HOMEDRIVE%%HOMEPATH%DocumentsA{Дурын дугаар}.txt

Pastebin

Шинжилгээ хийх үед энэ аргыг зөвхөн хулгайлагдсан нууц үгийг шилжүүлэхэд ашигладаг. Түүнээс гадна энэ нь эхний хоёрын хувилбар биш, харин зэрэгцээ ашиглагддаг. Нөхцөл нь "Ваваа"-тай тэнцэх тогтмолын утга юм. Энэ нь үйлчлүүлэгчийн нэр байх магадлалтай.

API-ээр дамжуулан https протоколоор дамжуулан харилцан үйлдэл хийдэг пастебин. Утга api_paste_private тэнцүү байна ЖАГСААЛТГҮЙ_НАВАХ, энэ нь ийм хуудас хайхыг хориглодог пастебин.

Шифрлэлтийн алгоритмууд

Эх сурвалжаас файл татаж байна

Ачаалал нь ачаалагчийн нөөцөд хадгалагддаг AtProtect Bitmap дүрс хэлбэрээр. Олборлолтыг хэд хэдэн үе шаттайгаар явуулдаг.

• Зурагнаас байт массив гаргаж авсан. Пиксел бүрийг BGR дарааллаар 3 байт дараалал болгон авч үздэг. Олборлолтын дараа массивын эхний 4 байт нь мессежийн уртыг, дараагийнх нь мессежийг өөрөө хадгалдаг.

  

• Түлхүүрийг тооцоолсон. Үүнийг хийхийн тулд MD5-ийг нууц үгээр заасан “ZpzwmjMJyfTNiRalKVrcSkxCN” утгаас тооцно. Үүссэн хэшийг хоёр удаа бичнэ.

  

• Шифрийг тайлах нь ECB горимд AES алгоритмыг ашиглан хийгддэг.

Хортой үйл ажиллагаа

Downloader

Ачаалагч дээр хэрэгжүүлсэн AtProtect.

• Холбоо барих замаар [activelink-repalce] Файлд үйлчлэхэд бэлэн байгаа эсэхийг баталгаажуулахын тулд серверийн статусыг асууж байна. Сервер буцаж ирэх ёстой "ON".
• Ишлэлээр [татаж авах холбоос-орлуулах] Ачааллыг татаж авлаа.
• Тусламжийн тусламжтайгаар FranchyShell код ачааллыг процесст шахдаг [инж-солих].

Домэйн шинжилгээний явцад 404 төсөл[.]xyz нэмэлт тохиолдлуудыг VirusTotal дээр тодорхойлсон 404 Keylogger, түүнчлэн хэд хэдэн төрлийн ачигч.

Уламжлал ёсоор тэдгээрийг хоёр төрөлд хуваадаг.

1. Татаж авах ажлыг эх сурвалжаас гүйцэтгэдэг 404 төсөл[.]xyz.

   
   Өгөгдөл нь Base64 кодлогдсон ба AES шифрлэгдсэн байна.

2. Энэ сонголт нь хэд хэдэн үе шатаас бүрдэх бөгөөд ачаалагчтай хамт хэрэглэгддэг AtProtect.

• Эхний шатанд өгөгдөл ачаалагддаг пастебин функцийг ашиглан тайлсан HexToByte.

  

• Хоёр дахь шатанд ачааллын эх үүсвэр нь 404 төсөл[.]xyz. Гэсэн хэдий ч задлах болон код тайлах функцууд нь DataStealer-д байдагтай төстэй юм. Анх ачаалагчийн функцийг үндсэн модульд хэрэгжүүлэхээр төлөвлөж байсан байх.

  

• Энэ үе шатанд ачаалал нь шахсан хэлбэрээр нөөцийн манифестэд аль хэдийн орсон байна. Үүнтэй төстэй олборлох функцууд үндсэн модулиас олдсон.

Шинжилгээнд хамрагдсан файлуудын дунд татан авагчид олдсон njRat, SpyGate болон бусад RATs.

Keylogger

Бүртгэл илгээх хугацаа: 30 минут.

Бүх дүрийг дэмждэг. Тусгай тэмдэгтүүдээс зугтсан. BackSpace болон Delete товчлууруудын боловсруулалт хийгдэж байна. Том жижгээр бичхээс хамаарна.

ClipboardLogger

Бүртгэл илгээх хугацаа: 30 минут.

Буфер санал авах хугацаа: 0,1 секунд.

Хэрэгжүүлсэн холбоос зугтах.

ScreenLogger

Бүртгэл илгээх хугацаа: 60 минут.

Дэлгэцийн агшинг хадгалсан %HOMEDRIVE%%HOMEPATH%Documents404k404pic.png.

Фолдерыг илгээсний дараа 404k устгагдсан.

Нууц үг хулгайлагч

Хөтчүүд	Мэйл үйлчлүүлэгчид	FTP үйлчлүүлэгчид
Chrome	Outlook	FileZilla
Firefox	Thunderbird
SeaMonkey	Foxmail
мөсөн луу
PaleMoon
Киберфокс
Chrome
BraveBrowser
QQBrowser
Iridium Browser
XvastBrowser
Чедот
360 Хөтөч
ComodoDragon
360 Chrome
Супер шувуу
CentBrowser
GhostBrowser
IronBrowser
Chromium
Вivaldi
SlimjetBrowser
Орбитум
CocCoc
Бамбарууш
UCBrowser
EpicBrowser
BliskBrowser
Opera

Динамик анализын эсрэг

• Үйл явц нь дүн шинжилгээ хийж байгаа эсэхийг шалгах

  Процессын хайлтыг ашиглан хийсэн taskmgr, ProcessHacker, procexp64, procexp, прокмон. Хэрэв дор хаяж нэг нь олдвол хортой програм гарч ирнэ.

• Таныг виртуал орчинд байгаа эсэхийг шалгаж байна

  Процессын хайлтыг ашиглан хийсэн vmtoolsd, VGAuthService, vmacthlp, VBoxService, VBoxTray. Хэрэв дор хаяж нэг нь олдвол хортой програм гарч ирнэ.

• 5 секундын турш унтдаг
• Янз бүрийн төрлийн харилцах цонхны үзүүлбэр

  Зарим хамгаалагдсан хязгаарлагдмал орчныг тойрч гарахад ашиглаж болно.

• UAC-г тойрч гарах

  Бүртгэлийн түлхүүрийг засварлах замаар гүйцэтгэнэ EnableLUA Бүлгийн бодлогын тохиргоонд.

• Одоогийн файлд "Нуугдсан" шинж чанарыг хэрэглэнэ.
• Одоогийн файлыг устгах чадвар.

Идэвхгүй шинж чанарууд

Ачаалагч болон үндсэн модулийг шинжлэх явцад нэмэлт функцийг хариуцдаг функцүүд олдсон боловч тэдгээрийг хаана ч ашигладаггүй. Энэ нь магадгүй хортой програмыг хөгжүүлж байгаа бөгөөд удахгүй функцийг нь өргөжүүлэх болно.

Ачаалагч AtProtect

Процесс руу ачаалах, шахах үүрэгтэй функц олдсон msiexec.exe дурын модуль.

DataStealer

• Систем дэх нэгтгэх

  

• Шифрийг задлах, задлах функцууд

  
  
  Сүлжээний холболтын үед өгөгдлийг шифрлэх нь удахгүй хэрэгжих магадлалтай.

• Вирусны эсрэг үйл явцыг зогсоож байна

zlclient	Dvp95_0	Павшед	avgserv9
egui	Ecengine	Павв	avgserv9schedapp
bdagent	Эсафе	PCCIOMON	avgemc
npfmsg	Espwatch	PCCMAIN	ashwebsv
olydbg	F-Agnt95	Pccwin98	ashdisp
анубис	Findvir	Pcfwallicon	ашмаисв
wireshark	Фпрот	Persfw	ashserv
авастуй	F-Prot	POP3TRAP	aswUpdSv
_Авп32	F-Prot95	PVIEW95	symwsc
vsmon	Fp-Win	7	Нортон
mbam	Frw	Rav7win	Нортон автомат хамгаалалт
keyscrambler	F-Stopw	Аврах	norton_av
_Avpcc	Iamapp	Safeweb	нортонав
_Авпм	Iamserv	Скан32	ccsetmgr
Ackwin32	Ибмасн	Скан95	ccevtmgr
Застав	Ibmavsp	Scanpm	авдмин
Трояны эсрэг	Icload 95	Scrscan	avcenter
Антивир	Ачаалаагүй	Үйлчилгээ 95	avgt
Apvxdwin	Икмон	Smc	авард
ATRACK	Icsupp95	SMCSERVICE	мэдээлэх
Автоматаар буулгах	Icsuppnt	Snort	авскан
Авконсол	Iface	Спинекс	хамгаалагчгүй
Өргөн 32	Иомон98	Шүүрдэх95	nod32krn
Avgctrl	Жэйд	SYMPROXYSVC	nod32kui
Авксерв	Түгжих 2000	Tbscan	далайн хоол
Avnt	Ажиглалтын	Tca	clamTray
Avp	Луалл	Tds2-98	clamWin
Avp32	mcafee	Tds2-Nt	freshclam
Avpcc	Моолив	TermiNET	Оладдин
Avpdos32	MPftray	Малын эмч95	sigtool
Avpm	N32scanw	Веттрей	w9xpopen
Avptc32	NAVAPSVC	Vscan40	Хаах
Avpupd	NAVAPW32	Vsecomr	смгрдиан
Авсан 32	NAVLU32	Vshwin32	alogserv
AVSYNMGR	Навнт	Vsstat	Макшилд
Avwin95	НАВРУНР	Webscanx	vshwin32
Avwupd32	Navw32	WEBTRAP	avconsol
Блэкд	Наввнт	Wfindv32	vsstat
Blackice	NeoWatch	Бүсийн дохиолол	avsynmgr
Cfiadmin	NISSERV	ТҮГЖИЛТ2000	avcmd
Cfiaudit	Нисум	АВРАХ32	avconfig
Cfinet	Нмайн	LUCOMSERVER	licmgr
Cfinet32	Нормист	дундаж	хуваарьтай
Хумс95	НОРТОН	дундаж	урьдчилан бэлтгэсэн
Хумс95cf	Шинэчлэх	avgamsvr	MsMpEng
Цэвэр	Nvc95	avgupsvc	MSASCui
Цэвэрлэгч 3	Застав	дундаж	Avira.Systray
Цаг алдалгүй үзэх	Падмин	avgcc32
Dvp95	Pavcl	avgserv

• Өөрийгөө устгах
• Заасан нөөцийн манифестээс өгөгдлийг ачаалж байна

  

• Замын дагуу файл хуулж байна %Temp%tmpG[Одоогийн огноо ба цаг миллисекундээр].tmp

  
  Сонирхолтой нь, AgentTesla хортой програм дээр ижил функц байдаг.

• Хорхойн функциональ байдал

  Хортой програм нь зөөврийн зөөвөрлөгчийн жагсаалтыг хүлээн авдаг. Хортой програмын хуулбарыг медиа файлын системийн үндсэн хэсэгт нэрээр үүсгэсэн Sys.exe. Autorun нь файл ашиглан хэрэгждэг autorun.inf.

  

Халдагчийн профайл

Удирдлагын төвд дүн шинжилгээ хийх явцад хөгжүүлэгчийн имэйл, хоч - Razer, aka Brwa, Brwa65, HiDDen PerSON, 404 Coder-ийг тогтоох боломжтой болсон. Дараа нь бид YouTube дээр барилгачинтай хэрхэн ажиллаж байгааг харуулсан сонирхолтой видеог оллоо.

Энэ нь хөгжүүлэгчийн анхны сувгийг олох боломжтой болсон.

Тэрээр криптограф бичих туршлагатай болох нь тодорхой болов. Мөн нийгмийн сүлжээн дэх хуудсуудын холбоосууд, мөн зохиогчийн жинхэнэ нэр байдаг. Тэрээр Иракийн оршин суугч болох нь тогтоогджээ.

404 Keylogger хөгжүүлэгч ийм харагдаж байна. Түүний хувийн фэйсбүүк профайлаас авсан зураг.

CERT Group-IB шинэ аюулыг зарлалаа - 404 Keylogger - Бахрейн дахь кибер аюулыг (SOC) XNUMX цагийн турш хянах, хариу арга хэмжээ авах төв.

Эх сурвалж: www.habr.com