Сүүлийн жилүүдэд гар утасны троянууд хувийн компьютерт зориулсан троянуудыг идэвхтэй сольж байгаа тул хуучин сайн "машин"-д зориулсан шинэ хортой програмууд гарч ирж, кибер гэмт хэрэгтнүүд тэднийг идэвхтэй ашиглах нь таагүй боловч үйл явдал хэвээр байна. Саяхан CERT Group-IB-ийн XNUMX/XNUMX мэдээллийн аюулгүй байдлын ослын хариу арга хэмжээ авах төв нь Keylogger болон PasswordStealer-ийн функцуудыг хослуулсан шинэ компьютерийн хортой програмыг нууж байсан ер бусын фишинг цахим шуудан илрүүлсэн байна. Шинжээчдийн анхаарлыг алдартай дуут мессенжер ашиглан тагнуулын программ нь хэрэглэгчийн машин руу хэрхэн нэвтэрсэнд татав. Илья ПомеранцевCERT Group-IB-ийн хорлонтой программ хангамжийн шинжилгээний мэргэжилтэн уг хортой програм хэрхэн ажилладаг, яагаад аюултай болохыг тайлбарлаж, бүр алс холын Иракаас бүтээгчээ олжээ.
За, дарааллаар нь явцгаая. Хавсралт гэсэн нэрийн дор ийм захидалд дарахад хэрэглэгчийг сайт руу аваачсан зураг байсан. cdn.discordapp.com, мөн тэндээс хортой файл татагдсан байна.
Үнэгүй дуут болон текст мессенжер болох Discord-ийг ашиглах нь ер бусын зүйл юм. Ихэвчлэн эдгээр зорилгоор бусад шуурхай мессенжер эсвэл нийгмийн сүлжээг ашигладаг.
Илүү нарийвчилсан дүн шинжилгээ хийх явцад хортой програмын гэр бүлийг илрүүлсэн. Энэ нь хортой програмын зах зээлд шинээр ирсэн хүн болж хувирав - 404 Keylogger.
Түлхүүр хөтлөгч зарна гэсэн анхны зарыг нийтэлжээ hackforums 404-р сарын 8-нд "XNUMX кодлогч" хочтой хэрэглэгч.
Дэлгүүрийн домэйн саяхан бүртгэгдсэн - 7 оны 2019-р сарын XNUMX.
Хөгжүүлэгчдийн хэлснээр вэбсайт дээр 404 төсөл[.]xyz, 404 нь компаниудад үйлчлүүлэгчдийнхээ үйл ажиллагааны талаар (тэдний зөвшөөрлөөр) суралцахад нь туслах эсвэл хоёртын хувилбараа урвуу инженерчлэлээс хамгаалахыг хүссэн хүмүүст зориулсан хэрэгсэл юм. Урагшаа хараад, сүүлчийн даалгавартай нь хэлье 404 дийлэхгүй нь гарцаагүй.
Бид нэг файлыг эргүүлж, "BEST SMART KEYLOGGER" гэж юу болохыг шалгахаар шийдсэн.
Хортой програмын экосистем
Ачаалагч 1 (AtillaCrypter)
Эх файлыг ашиглан хамгаалагдсан EaxObfuscator мөн хоёр үе шаттай ачааллыг гүйцэтгэдэг AtProtect нөөцийн хэсгээс. VirusTotal дээр олдсон бусад дээжийг шинжлэх явцад энэ үе шатыг хөгжүүлэгч өөрөө өгөөгүй, харин түүний үйлчлүүлэгч нэмж оруулсан нь тодорхой болсон. Хожим нь энэ ачаалагч нь AtillaCrypter байсан нь тогтоогдсон.
Ачаалагч 2 (AtProtect)
Үнэн хэрэгтээ энэ дуудагч нь хортой програмын салшгүй хэсэг бөгөөд хөгжүүлэгчийн зорилгын дагуу шинжилгээний эсрэг хариулах функцийг авах ёстой.
Гэсэн хэдий ч бодит байдал дээр хамгаалалтын механизмууд нь маш энгийн бөгөөд манай системүүд энэ хортой програмыг амжилттай илрүүлдэг.
Үндсэн модулийг ашиглан ачаалагдсан Франчи Shell код өөр өөр хувилбарууд. Гэсэн хэдий ч бид бусад сонголтуудыг ашиглаж болохыг үгүйсгэхгүй, жишээ нь: RunPE.
Тохиргооны файл
Систем дэх нэгтгэх
Систем дэх нэгдлийг ачаалагчаар хангадаг AtProtect, харгалзах тугийг тохируулсан бол.
- Файлыг замын дагуу хуулсан байна %AppData%GFqaakZpzwm.exe.
- Файл үүсгэгдсэн %AppData%GFqaakWinDriv.url, хөөргөх Zpzwm.exe.
- Утас дотор HKCUSoftwareMicrosoftWindowsCurrentVersionRun эхлүүлэх түлхүүр бий болсон WinDriv.url.
C&C-тэй харилцах
Ачаалагч AtProtect
Хэрэв тохирох туг байгаа бол хортой програм нь далд процессыг эхлүүлж болно iexplorer болон амжилттай халдварын талаар серверт мэдэгдэхийн тулд заасан холбоосыг дагана уу.
DataStealer
Ашигласан аргаас үл хамааран сүлжээний холбоо нь эх сурвалжийг ашиглан хохирогчийн гадаад IP хаягийг олж авахаас эхэлдэг [http]://checkip[.]dyndns[.]org/.
Хэрэглэгчийн агент: Mozilla/4.0 (тохиромжтой; MSIE 6.0; Windows NT 5.2; .NET CLR1.0.3705;)
Мессежийн ерөнхий бүтэц ижил байна. Гарчиг одоо байна
|——- 404 Keylogger — {Төрөл} ——-|хаана {төрөл} дамжуулж буй мэдээллийн төрөлтэй тохирч байна.
Системийн талаархи дараах мэдээлэл байна.
_______ + ХОХИРОГЧИЙН МЭДЭЭ + _______
IP: {Гадаад IP}
Эзэмшигчийн нэр: {Компьютерийн нэр}
Үйлдлийн системийн нэр: {OS нэр}
OS хувилбар: {OS хувилбар}
OS платформ: {Платформ}
RAM хэмжээ: {RAM хэмжээ}
______________________________
Эцэст нь дамжуулсан өгөгдөл.
SMTP
Захидлын сэдэв нь дараах байдалтай байна. 404 К | {Зурвасны төрөл} | Үйлчлүүлэгчийн нэр: {Хэрэглэгчийн нэр}.
Сонирхолтой нь үйлчлүүлэгчид захидал хүргэх 404 Keylogger Хөгжүүлэгчдийн SMTP серверийг ашиглаж байна.
Энэ нь зарим үйлчлүүлэгчид, мөн хөгжүүлэгчдийн аль нэгний имэйлийг тодорхойлох боломжтой болсон.
FTP
Энэ аргыг ашиглах үед цуглуулсан мэдээллийг файлд хадгалж, тэндээс шууд уншдаг.
Энэ үйлдлийн цаана байгаа логик нь бүрэн тодорхой бус боловч зан үйлийн дүрмийг бичих нэмэлт олдворыг бий болгодог.
%HOMEDRIVE%%HOMEPATH%DocumentsA{Дурын дугаар}.txt
Pastebin
Шинжилгээ хийх үед энэ аргыг зөвхөн хулгайлагдсан нууц үгийг шилжүүлэхэд ашигладаг. Түүнээс гадна энэ нь эхний хоёрын хувилбар биш, харин зэрэгцээ ашиглагддаг. Нөхцөл нь "Ваваа"-тай тэнцэх тогтмолын утга юм. Энэ нь үйлчлүүлэгчийн нэр байх магадлалтай.
API-ээр дамжуулан https протоколоор дамжуулан харилцан үйлдэл хийдэг пастебин. Утга api_paste_private тэнцүү байна ЖАГСААЛТГҮЙ_НАВАХ, энэ нь ийм хуудас хайхыг хориглодог пастебин.
Шифрлэлтийн алгоритмууд
Эх сурвалжаас файл татаж байна
Ачаалал нь ачаалагчийн нөөцөд хадгалагддаг AtProtect Bitmap дүрс хэлбэрээр. Олборлолтыг хэд хэдэн үе шаттайгаар явуулдаг.
- Зурагнаас байт массив гаргаж авсан. Пиксел бүрийг BGR дарааллаар 3 байт дараалал болгон авч үздэг. Олборлолтын дараа массивын эхний 4 байт нь мессежийн уртыг, дараагийнх нь мессежийг өөрөө хадгалдаг.
- Түлхүүрийг тооцоолсон. Үүнийг хийхийн тулд MD5-ийг нууц үгээр заасан “ZpzwmjMJyfTNiRalKVrcSkxCN” утгаас тооцно. Үүссэн хэшийг хоёр удаа бичнэ.
- Шифрийг тайлах нь ECB горимд AES алгоритмыг ашиглан хийгддэг.
Хортой үйл ажиллагаа
Downloader
Ачаалагч дээр хэрэгжүүлсэн AtProtect.
- Холбоо барих замаар [activelink-repalce] Файлд үйлчлэхэд бэлэн байгаа эсэхийг баталгаажуулахын тулд серверийн статусыг асууж байна. Сервер буцаж ирэх ёстой "ON".
- Ишлэлээр [татаж авах холбоос-орлуулах] Ачааллыг татаж авлаа.
- Тусламжийн тусламжтайгаар FranchyShell код ачааллыг процесст шахдаг [инж-солих].
Домэйн шинжилгээний явцад 404 төсөл[.]xyz нэмэлт тохиолдлуудыг VirusTotal дээр тодорхойлсон 404 Keylogger, түүнчлэн хэд хэдэн төрлийн ачигч.
Уламжлал ёсоор тэдгээрийг хоёр төрөлд хуваадаг.
- Татаж авах ажлыг эх сурвалжаас гүйцэтгэдэг 404 төсөл[.]xyz.
Өгөгдөл нь Base64 кодлогдсон ба AES шифрлэгдсэн байна. - Энэ сонголт нь хэд хэдэн үе шатаас бүрдэх бөгөөд ачаалагчтай хамт хэрэглэгддэг AtProtect.
- Эхний шатанд өгөгдөл ачаалагддаг пастебин функцийг ашиглан тайлсан HexToByte.
- Хоёр дахь шатанд ачааллын эх үүсвэр нь 404 төсөл[.]xyz. Гэсэн хэдий ч задлах болон код тайлах функцууд нь DataStealer-д байдагтай төстэй юм. Анх ачаалагчийн функцийг үндсэн модульд хэрэгжүүлэхээр төлөвлөж байсан байх.
- Энэ үе шатанд ачаалал нь шахсан хэлбэрээр нөөцийн манифестэд аль хэдийн орсон байна. Үүнтэй төстэй олборлох функцууд үндсэн модулиас олдсон.
Шинжилгээнд хамрагдсан файлуудын дунд татан авагчид олдсон njRat, SpyGate болон бусад RATs.
Keylogger
Бүртгэл илгээх хугацаа: 30 минут.
Бүх дүрийг дэмждэг. Тусгай тэмдэгтүүдээс зугтсан. BackSpace болон Delete товчлууруудын боловсруулалт хийгдэж байна. Том жижгээр бичхээс хамаарна.
ClipboardLogger
Бүртгэл илгээх хугацаа: 30 минут.
Буфер санал авах хугацаа: 0,1 секунд.
Хэрэгжүүлсэн холбоос зугтах.
ScreenLogger
Бүртгэл илгээх хугацаа: 60 минут.
Дэлгэцийн агшинг хадгалсан %HOMEDRIVE%%HOMEPATH%Documents404k404pic.png.
Фолдерыг илгээсний дараа 404k устгагдсан.
Нууц үг хулгайлагч
Хөтчүүд | Мэйл үйлчлүүлэгчид | FTP үйлчлүүлэгчид |
---|---|---|
Chrome | Outlook | FileZilla |
Firefox | Thunderbird | |
SeaMonkey | Foxmail | |
мөсөн луу | ||
PaleMoon | ||
Киберфокс | ||
Chrome | ||
BraveBrowser | ||
QQBrowser | ||
Iridium Browser | ||
XvastBrowser | ||
Чедот | ||
360 Хөтөч | ||
ComodoDragon | ||
360 Chrome | ||
Супер шувуу | ||
CentBrowser | ||
GhostBrowser | ||
IronBrowser | ||
Chromium | ||
Вivaldi | ||
SlimjetBrowser | ||
Орбитум | ||
CocCoc | ||
Бамбарууш | ||
UCBrowser | ||
EpicBrowser | ||
BliskBrowser | ||
Opera |
Динамик анализын эсрэг
- Үйл явц нь дүн шинжилгээ хийж байгаа эсэхийг шалгах
Процессын хайлтыг ашиглан хийсэн taskmgr, ProcessHacker, procexp64, procexp, прокмон. Хэрэв дор хаяж нэг нь олдвол хортой програм гарч ирнэ.
- Таныг виртуал орчинд байгаа эсэхийг шалгаж байна
Процессын хайлтыг ашиглан хийсэн vmtoolsd, VGAuthService, vmacthlp, VBoxService, VBoxTray. Хэрэв дор хаяж нэг нь олдвол хортой програм гарч ирнэ.
- 5 секундын турш унтдаг
- Янз бүрийн төрлийн харилцах цонхны үзүүлбэр
Зарим хамгаалагдсан хязгаарлагдмал орчныг тойрч гарахад ашиглаж болно.
- UAC-г тойрч гарах
Бүртгэлийн түлхүүрийг засварлах замаар гүйцэтгэнэ EnableLUA Бүлгийн бодлогын тохиргоонд.
- Одоогийн файлд "Нуугдсан" шинж чанарыг хэрэглэнэ.
- Одоогийн файлыг устгах чадвар.
Идэвхгүй шинж чанарууд
Ачаалагч болон үндсэн модулийг шинжлэх явцад нэмэлт функцийг хариуцдаг функцүүд олдсон боловч тэдгээрийг хаана ч ашигладаггүй. Энэ нь магадгүй хортой програмыг хөгжүүлж байгаа бөгөөд удахгүй функцийг нь өргөжүүлэх болно.
Ачаалагч AtProtect
Процесс руу ачаалах, шахах үүрэгтэй функц олдсон msiexec.exe дурын модуль.
DataStealer
- Систем дэх нэгтгэх
- Шифрийг задлах, задлах функцууд
Сүлжээний холболтын үед өгөгдлийг шифрлэх нь удахгүй хэрэгжих магадлалтай. - Вирусны эсрэг үйл явцыг зогсоож байна
zlclient | Dvp95_0 | Павшед | avgserv9 |
egui | Ecengine | Павв | avgserv9schedapp |
bdagent | Эсафе | PCCIOMON | avgemc |
npfmsg | Espwatch | PCCMAIN | ashwebsv |
olydbg | F-Agnt95 | Pccwin98 | ashdisp |
анубис | Findvir | Pcfwallicon | ашмаисв |
wireshark | Фпрот | Persfw | ashserv |
авастуй | F-Prot | POP3TRAP | aswUpdSv |
_Авп32 | F-Prot95 | PVIEW95 | symwsc |
vsmon | Fp-Win | 7 | Нортон |
mbam | Frw | Rav7win | Нортон автомат хамгаалалт |
keyscrambler | F-Stopw | Аврах | norton_av |
_Avpcc | Iamapp | Safeweb | нортонав |
_Авпм | Iamserv | Скан32 | ccsetmgr |
Ackwin32 | Ибмасн | Скан95 | ccevtmgr |
Застав | Ibmavsp | Scanpm | авдмин |
Трояны эсрэг | Icload 95 | Scrscan | avcenter |
Антивир | Ачаалаагүй | Үйлчилгээ 95 | avgt |
Apvxdwin | Икмон | Smc | авард |
ATRACK | Icsupp95 | SMCSERVICE | мэдээлэх |
Автоматаар буулгах | Icsuppnt | Snort | авскан |
Авконсол | Iface | Спинекс | хамгаалагчгүй |
Өргөн 32 | Иомон98 | Шүүрдэх95 | nod32krn |
Avgctrl | Жэйд | SYMPROXYSVC | nod32kui |
Авксерв | Түгжих 2000 | Tbscan | далайн хоол |
Avnt | Ажиглалтын | Tca | clamTray |
Avp | Луалл | Tds2-98 | clamWin |
Avp32 | mcafee | Tds2-Nt | freshclam |
Avpcc | Моолив | TermiNET | Оладдин |
Avpdos32 | MPftray | Малын эмч95 | sigtool |
Avpm | N32scanw | Веттрей | w9xpopen |
Avptc32 | NAVAPSVC | Vscan40 | Хаах |
Avpupd | NAVAPW32 | Vsecomr | смгрдиан |
Авсан 32 | NAVLU32 | Vshwin32 | alogserv |
AVSYNMGR | Навнт | Vsstat | Макшилд |
Avwin95 | НАВРУНР | Webscanx | vshwin32 |
Avwupd32 | Navw32 | WEBTRAP | avconsol |
Блэкд | Наввнт | Wfindv32 | vsstat |
Blackice | NeoWatch | Бүсийн дохиолол | avsynmgr |
Cfiadmin | NISSERV | ТҮГЖИЛТ2000 | avcmd |
Cfiaudit | Нисум | АВРАХ32 | avconfig |
Cfinet | Нмайн | LUCOMSERVER | licmgr |
Cfinet32 | Нормист | дундаж | хуваарьтай |
Хумс95 | НОРТОН | дундаж | урьдчилан бэлтгэсэн |
Хумс95cf | Шинэчлэх | avgamsvr | MsMpEng |
Цэвэр | Nvc95 | avgupsvc | MSASCui |
Цэвэрлэгч 3 | Застав | дундаж | Avira.Systray |
Цаг алдалгүй үзэх | Падмин | avgcc32 | |
Dvp95 | Pavcl | avgserv |
- Өөрийгөө устгах
- Заасан нөөцийн манифестээс өгөгдлийг ачаалж байна
- Замын дагуу файл хуулж байна %Temp%tmpG[Одоогийн огноо ба цаг миллисекундээр].tmp
Сонирхолтой нь, AgentTesla хортой програм дээр ижил функц байдаг. - Хорхойн функциональ байдал
Хортой програм нь зөөврийн зөөвөрлөгчийн жагсаалтыг хүлээн авдаг. Хортой програмын хуулбарыг медиа файлын системийн үндсэн хэсэгт нэрээр үүсгэсэн Sys.exe. Autorun нь файл ашиглан хэрэгждэг autorun.inf.
Халдагчийн профайл
Удирдлагын төвд дүн шинжилгээ хийх явцад хөгжүүлэгчийн имэйл, хоч - Razer, aka Brwa, Brwa65, HiDDen PerSON, 404 Coder-ийг тогтоох боломжтой болсон. Дараа нь бид YouTube дээр барилгачинтай хэрхэн ажиллаж байгааг харуулсан сонирхолтой видеог оллоо.
Энэ нь хөгжүүлэгчийн анхны сувгийг олох боломжтой болсон.
Тэрээр криптограф бичих туршлагатай болох нь тодорхой болов. Мөн нийгмийн сүлжээн дэх хуудсуудын холбоосууд, мөн зохиогчийн жинхэнэ нэр байдаг. Тэрээр Иракийн оршин суугч болох нь тогтоогджээ.
404 Keylogger хөгжүүлэгч ийм харагдаж байна. Түүний хувийн фэйсбүүк профайлаас авсан зураг.
CERT Group-IB шинэ аюулыг зарлалаа - 404 Keylogger - Бахрейн дахь кибер аюулыг (SOC) XNUMX цагийн турш хянах, хариу арга хэмжээ авах төв.
Эх сурвалж: www.habr.com