आश्चर्यासह कीलॉगर: कीलॉगरचे विश्लेषण आणि त्याच्या विकसकाचे डीनन

अलिकडच्या वर्षांत, मोबाइल ट्रोजन्स सक्रियपणे वैयक्तिक संगणकांसाठी ट्रोजन्सची जागा घेत आहेत, त्यामुळे चांगल्या जुन्या "कार" साठी नवीन मालवेअरचा उदय आणि सायबर गुन्हेगारांद्वारे त्यांचा सक्रिय वापर, जरी अप्रिय असला तरीही, ही एक घटना आहे. अलीकडे, CERT Group-IB च्या 24/7 माहिती सुरक्षा घटना प्रतिसाद केंद्राला एक असामान्य फिशिंग ईमेल आढळला जो कीलॉगर आणि पासवर्डस्टीलरची कार्ये एकत्रित करणारा नवीन पीसी मालवेअर लपवत होता. लोकप्रिय व्हॉइस मेसेंजर वापरून वापरकर्त्याच्या मशीनवर स्पायवेअर कसे आले याकडे विश्लेषकांचे लक्ष वेधले गेले. इल्या पोमरंतसेव्ह, CERT Group-IB मधील मालवेअर विश्लेषण तज्ञ, मालवेअर कसे कार्य करते, ते धोकादायक का आहे आणि दूरच्या इराकमध्ये त्याचा निर्माता देखील सापडला हे स्पष्ट केले.

तर, क्रमाने जाऊया. संलग्नकाच्या वेषात, अशा पत्रात एक चित्र आहे, ज्यावर क्लिक केल्यानंतर वापरकर्त्यास साइटवर नेले गेले. cdn.discordapp.com, आणि तिथून एक दुर्भावनापूर्ण फाइल डाउनलोड केली गेली.

डिस्कॉर्ड वापरणे, एक विनामूल्य व्हॉइस आणि मजकूर संदेशवाहक, अगदी अपारंपरिक आहे. सामान्यतः, इतर इन्स्टंट मेसेंजर किंवा सोशल नेटवर्क्स या उद्देशांसाठी वापरले जातात.

अधिक तपशीलवार विश्लेषणादरम्यान, मालवेअरचे एक कुटुंब ओळखले गेले. हे मालवेअर मार्केटमध्ये नवागत असल्याचे दिसून आले - 404 Keylogger.

कीलॉगरच्या विक्रीची पहिली जाहिरात वर पोस्ट करण्यात आली hackforums 404 ऑगस्ट रोजी “8 कोडर” टोपणनावाने वापरकर्त्याद्वारे.

स्टोअर डोमेनची नोंदणी नुकतीच झाली - 7 सप्टेंबर 2019 रोजी.

डेव्हलपर्स वेबसाइटवर म्हणतात तसे 404 प्रकल्प[.]xyz, 404 हे एक साधन आहे जे कंपन्यांना त्यांच्या ग्राहकांच्या क्रियाकलापांबद्दल (त्यांच्या परवानगीने) किंवा त्यांच्या बायनरीचे रिव्हर्स इंजिनीअरिंगपासून संरक्षण करू इच्छिणाऱ्यांसाठी जाणून घेण्यास मदत करण्यासाठी डिझाइन केलेले आहे. पुढे पाहताना, शेवटच्या कार्यासह असे म्हणूया 404 निश्चितपणे सामना करत नाही.

आम्ही एक फाईल उलट करण्याचा आणि “BEST SMART KEYLOGGER” काय आहे ते तपासण्याचा निर्णय घेतला.

मालवेअर इकोसिस्टम

लोडर 1 (AtillaCrypter)

स्त्रोत फाइल वापरून संरक्षित आहे EaxObfuscator आणि द्वि-चरण लोडिंग करते AtProtect संसाधन विभागातून. VirusTotal वर आढळलेल्या इतर नमुन्यांच्या विश्लेषणादरम्यान, हे स्पष्ट झाले की हा टप्पा विकसकाने स्वतः प्रदान केला नव्हता, परंतु त्याच्या क्लायंटने जोडला होता. हे बूटलोडर AtillaCrypter असल्याचे नंतर निश्चित करण्यात आले.

बूटलोडर 2 (AtProtect)

खरं तर, हा लोडर मालवेअरचा अविभाज्य भाग आहे आणि विकसकाच्या हेतूनुसार, प्रतिवाद विश्लेषणाची कार्यक्षमता स्वीकारली पाहिजे.

तथापि, व्यवहारात, संरक्षण यंत्रणा अत्यंत आदिम आहेत आणि आमच्या सिस्टीम हे मालवेअर यशस्वीपणे शोधतात.

वापरून मुख्य मॉड्यूल लोड केले जाते फ्रँची शेलकोड विविध आवृत्त्या. तथापि, आम्ही हे वगळत नाही की इतर पर्याय वापरले जाऊ शकतात, उदाहरणार्थ, रनपीई.

कॉन्फिगरेशन फाइल

प्रणाली मध्ये एकत्रीकरण

बूटलोडरद्वारे सिस्टममध्ये एकत्रीकरण सुनिश्चित केले जाते AtProtect, संबंधित ध्वज सेट केला असल्यास.

• फाईल मार्गावर कॉपी केली आहे %AppData%GFqaakZpzwm.exe.
• फाइल तयार केली आहे %AppData%GFqaakWinDriv.url, लॉन्च करत आहे Zpzwm.exe.
• धाग्यात HKCUSsoftwareMicrosoftWindowsCurrentVersionRun एक स्टार्टअप की तयार केली आहे WinDriv.url.

C&C सह संवाद

लोडर AtProtect

योग्य ध्वज उपस्थित असल्यास, मालवेअर लपविलेली प्रक्रिया सुरू करू शकते म्हणजे एक्सप्लोरर आणि सर्व्हरला यशस्वी संसर्गाबद्दल सूचित करण्यासाठी निर्दिष्ट दुव्याचे अनुसरण करा.

डेटास्टीलर

वापरलेल्या पद्धतीची पर्वा न करता, नेटवर्क संप्रेषण संसाधनाचा वापर करून पीडिताचा बाह्य आयपी मिळवण्यापासून सुरू होते. [http]://checkip[.]dyndns[.]org/.

वापरकर्ता-एजंट: Mozilla/4.0 (सुसंगत; MSIE 6.0; Windows NT 5.2; .NET CLR1.0.3705;)

संदेशाची सामान्य रचना समान आहे. शीर्षलेख उपस्थित
|——- 404 Keylogger — {प्रकार} ——-|कुठे {प्रकार} प्रसारित केल्या जात असलेल्या माहितीच्या प्रकाराशी संबंधित आहे.
सिस्टमबद्दल माहिती खालीलप्रमाणे आहे:

_______ + बळी माहिती + _______

IP: {बाह्य IP}
मालकाचे नाव: {संगणक नाव}
OS नाव: {OS Name}
OS आवृत्ती: {OS आवृत्ती}
OS प्लॅटफॉर्म: {प्लॅटफॉर्म}
RAM आकार: {RAM आकार}
______________________________

आणि शेवटी, प्रसारित डेटा.

SMTP

पत्राचा विषय खालीलप्रमाणे आहे. 404 के | {संदेश प्रकार} | क्लायंटचे नाव: {Username}.

विशेष म्हणजे क्लायंटला पत्रे पोहोचवणे 404 Keylogger विकसकांचा SMTP सर्व्हर वापरला जातो.

यामुळे काही क्लायंट तसेच डेव्हलपरपैकी एकाचा ईमेल ओळखणे शक्य झाले.

FTP,

ही पद्धत वापरताना, गोळा केलेली माहिती फाईलमध्ये सेव्ह केली जाते आणि तेथून लगेच वाचली जाते.

या कृतीमागील तर्क पूर्णपणे स्पष्ट नाही, परंतु ते वर्तन नियम लिहिण्यासाठी अतिरिक्त कलाकृती तयार करते.

%HOMEDRIVE%%HOMEPATH%दस्तऐवजA{आर्बिटरी नंबर}.txt

Pastebin

विश्लेषणाच्या वेळी, ही पद्धत फक्त चोरीचे पासवर्ड हस्तांतरित करण्यासाठी वापरली जाते. शिवाय, हे पहिल्या दोनसाठी पर्याय म्हणून वापरले जात नाही, परंतु समांतर वापरले जाते. अट म्हणजे "वावा" च्या समान स्थिरांकाचे मूल्य. बहुधा हे क्लायंटचे नाव आहे.

एपीआय द्वारे https प्रोटोकॉलद्वारे परस्परसंवाद होतो पेस्टबिन. अर्थ api_paste_private बरोबरी PASTE_UNLISTED, जे मध्ये अशी पृष्ठे शोधण्यास प्रतिबंधित करते पेस्टबिन.

एनक्रिप्शन अल्गोरिदम

संसाधनांमधून फाइल पुनर्प्राप्त करत आहे

पेलोड बूटलोडर संसाधनांमध्ये साठवले जाते AtProtect बिटमॅप प्रतिमांच्या स्वरूपात. निष्कर्षण अनेक टप्प्यात केले जाते:

• प्रतिमेतून बाइट्सचा ॲरे काढला जातो. प्रत्येक पिक्सेलला BGR क्रमाने 3 बाइट्सचा क्रम मानला जातो. निष्कर्ष काढल्यानंतर, ॲरेचे पहिले 4 बाइट संदेशाची लांबी साठवतात, त्यानंतरचे संदेश स्वतःच संचयित करतात.

  

• की मोजली जाते. हे करण्यासाठी, MD5 ची गणना पासवर्ड म्हणून निर्दिष्ट केलेल्या “ZpzwmjMJyfTNiRalKVrcSkxCN” मूल्यावरून केली जाते. परिणामी हॅश दोनदा लिहिले आहे.

  

• ECB मोडमध्ये AES अल्गोरिदम वापरून डिक्रिप्शन केले जाते.

दुर्भावनायुक्त कार्यक्षमता

डाउनलोडर

बूटलोडरमध्ये लागू केले AtProtect.

• संपर्क करून [activelink-repalce] सर्व्हरच्या स्थितीची पुष्टी करण्यासाठी विनंती केली जाते की ती फाइल सर्व्ह करण्यासाठी तयार आहे. सर्व्हर परत पाहिजे “चालू”.
• दुवा [डाउनलोडलिंक-रिप्लेस] पेलोड डाउनलोड केले आहे.
• च्या मदतीने FranchyShellcode पेलोड प्रक्रियेत इंजेक्ट केला जातो [इंज-रिप्लेस].

डोमेन विश्लेषण दरम्यान 404 प्रकल्प[.]xyz VirusTotal वर अतिरिक्त उदाहरणे ओळखली गेली 404 Keylogger, तसेच अनेक प्रकारचे लोडर.

पारंपारिकपणे, ते दोन प्रकारांमध्ये विभागले गेले आहेत:

1. डाउनलोडिंग संसाधनातून केले जाते 404 प्रकल्प[.]xyz.

   
   डेटा बेस64 एन्कोड केलेला आणि AES एनक्रिप्ट केलेला आहे.

2. या पर्यायामध्ये अनेक टप्प्यांचा समावेश आहे आणि बहुधा बूटलोडरसह वापरला जातो AtProtect.

• पहिल्या टप्प्यात, पासून डेटा लोड केला जातो पेस्टबिन आणि फंक्शन वापरून डीकोड केले HexToByte.

  

• दुसऱ्या टप्प्यावर, लोडिंगचा स्त्रोत आहे 404 प्रकल्प[.]xyz. तथापि, डीकंप्रेशन आणि डीकोडिंग फंक्शन्स DataStealer मध्ये आढळलेल्या प्रमाणेच आहेत. मुख्य मॉड्युलमध्ये बूटलोडर कार्यक्षमतेची अंमलबजावणी करण्याची बहुधा मूळ योजना होती.

  

• या टप्प्यावर, पेलोड आधीपासून संकुचित स्वरूपात रिसोर्स मॅनिफेस्टमध्ये आहे. तत्सम निष्कर्षण कार्ये मुख्य मॉड्यूलमध्ये देखील आढळली.

विश्लेषण केलेल्या फायलींमध्ये डाउनलोडर आढळले njRat, स्पायगेट आणि इतर आरएटी.

कीलॉगर

लॉग पाठवण्याचा कालावधी: 30 मिनिटे.

सर्व वर्ण समर्थित आहेत. विशेष पात्र सुटले आहेत. बॅकस्पेस आणि डिलीट की साठी प्रक्रिया केली जात आहे. केस संवेदनशील.

क्लिपबोर्डलॉगर

लॉग पाठवण्याचा कालावधी: 30 मिनिटे.

बफर मतदान कालावधी: 0,1 सेकंद.

दुवा एस्केपिंग लागू केले.

स्क्रीनलॉगर

लॉग पाठवण्याचा कालावधी: 60 मिनिटे.

मध्ये स्क्रीनशॉट सेव्ह केले आहेत %HOMEDRIVE%%HOMEPATH%दस्तऐवज404k404pic.png.

फोल्डर पाठवल्यानंतर 404k हटवले आहे.

पासवर्ड चोरणारा

ब्राउझर	मेल क्लायंट	FTP क्लायंट
Chrome	आउटलुक	FileZilla
फायरफॉक्स	थंडरबर्ड
समुद्रकिनारा	फॉक्समेल
आइसड्रॅगन
पालेमुन
सायबरफॉक्स
Chrome
धाडसी ब्राउझर
QQBrowser
इरिडियम ब्राउझर
XvastBrowser
चेडोट
४.१ ब्राउझर
कोमोडोड्रॅगन
360Chrome
सुपरबर्ड
सेंट ब्राउझर
घोस्टब्राउझर
आयर्न ब्राउझर
Chromium
विवाल्डी
स्लिमजेट ब्राउझर
ऑर्बिटम
कोककोक
टॉर्च
UCBrowser
एपिक ब्राउझर
BliskBrowser
ऑपेरा

डायनॅमिक विश्लेषणासाठी प्रतिवाद

• प्रक्रिया विश्लेषणाखाली आहे की नाही हे तपासत आहे

  प्रक्रिया शोध वापरून चालते टास्कमॅगर, प्रोसेसहॅकर, procexp64, procexp, procmon. किमान एक आढळल्यास, मालवेअर बाहेर पडतो.

• तुम्ही आभासी वातावरणात आहात का ते तपासत आहे

  प्रक्रिया शोध वापरून चालते vmtoolsd, VGAuthService, vmacthlp, VBoxService, VBoxTray. किमान एक आढळल्यास, मालवेअर बाहेर पडतो.

• 5 सेकंद झोपणे
• विविध प्रकारच्या डायलॉग बॉक्सचे प्रात्यक्षिक

  काही सँडबॉक्स बायपास करण्यासाठी वापरले जाऊ शकते.

• बायपास यूएसी

  रेजिस्ट्री की संपादित करून केले सक्षम करा गट धोरण सेटिंग्जमध्ये.

• वर्तमान फाइलवर "लपलेले" विशेषता लागू करते.
• वर्तमान फाइल हटविण्याची क्षमता.

निष्क्रिय वैशिष्ट्ये

बूटलोडर आणि मुख्य मॉड्यूलच्या विश्लेषणादरम्यान, अतिरिक्त कार्यक्षमतेसाठी जबाबदार असलेली कार्ये आढळली, परंतु ती कुठेही वापरली जात नाहीत. हे बहुधा मालवेअर अजूनही विकासात आहे आणि कार्यक्षमतेचा लवकरच विस्तार केला जाईल या वस्तुस्थितीमुळे आहे.

लोडर AtProtect

एक फंक्शन आढळले जे प्रक्रियेमध्ये लोडिंग आणि इंजेक्शनसाठी जबाबदार आहे msiexec.exe अनियंत्रित मॉड्यूल.

डेटास्टीलर

• प्रणाली मध्ये एकत्रीकरण

  

• डीकंप्रेशन आणि डिक्रिप्शन फंक्शन्स

  
  
  नेटवर्क कम्युनिकेशन दरम्यान डेटा एन्क्रिप्शन लवकरच लागू केले जाण्याची शक्यता आहे.

• अँटीव्हायरस प्रक्रिया समाप्त करणे

zlclient	Dvp95_0	पावशेड	avgserv9
egui	Ecengine	पावव	avgserv9schedapp
bdagent	Esafe	पीसीसीओमन	avgemc
npfmsg	एस्पवॉच	PCCMAIN	ashwebsv
olydbg	F-Agnt95	Pccwin98	ashdisp
अनुबिस	Findvir	Pcfwallicon	ashmaisv
wireshark	Fprot	Persfw	ashserv
अवस्तुई	एफ-प्रोट	POP3TRAP	aswUpdSv
_Avp32	F-Prot95	PVIEW95	symwsc
vsmon	एफपी-विन	रव 7	Norton
mbam	Frw	Rav7win	नॉर्टन ऑटो-संरक्षित
कीस्क्रॅम्बलर	F-Stopw	बचाव	norton_av
_एव्हीपीसीसी	Iamapp	सेफवेब	nortonav
_एव्हीपीएम	Iamserv	स्कॅन 32	ccsetmgr
Ackwin32	Ibmasn	स्कॅन 95	ccevtmgr
चौकी	Ibmavsp	Scanpm	avadmin
ट्रोजन विरोधी	Icload95	Scrscan	avcenter
ANTIVIR	आयक्लोडंट	सर्व्ह95	सरासरी
Apvxdwin	आयकॉन	एस.एम.सी	बचाव
मार्ग	Icsupp95	SMCSERVICE	सूचित करा
ऑटोडाउन	Icsupnt	झोप	avscan
एव्हकॉनसोल	इफेस	स्फिंक्स	guardgui
Ave32	Iomon98	स्वीप 95	nod32krn
Avgctrl	जेडी	SYMPROXYSVC	nod32kui
Avkserv	लॉकडाउन 2000	Tbscan	क्लॅमस्कॅन
अवंट	पहा	Tca	clamTray
Avp	लुअल	Tds2-98	clamWin
Avp32	एमसीएएफई	Tds2-Nt	ताजेतवाने
एव्हीपीसीसी	मुळीव	टर्मिनेट	ओलाद्दीन
Avpdos32	MPftray	पशुवैद्यक95	sigtool
Avpm	N32 scanw	वेत्रे	w9xpopen
Avptc32	NAVAPSVC	Vscan40	बंद
Avpupd	NAVAPW32	Vsecomr	cmgrdian
Avsched32	NAVLU32	Vshwin32	alogserv
AVSYNMGR	नवंत	Vsstat	mcshield
Avwin95	नवरुण	वेबस्कॅनक्स	vshwin32
Avwupd32	Navw32	वेबट्रॅप	avconsol
ब्लॅकड	नव्वंत	Wfindv32	vsstat
काळा बर्फ	निओवॉच	झोन अलार्म	avsynmgr
Cfiadmin	NISSERV	लॉकडाउन2000	avcmd
Cfiaudit	निसुम	RESCUE32	avconfig
Cfinet	Nmain	लुकॉमसर्व्हर	licmgr
Cfinet32	नॉर्मिस्ट	avgcc	शेड
पंजा95	नॉर्टन	avgcc	preupd
Claw95cf	नूतनीकरण	avgamsvr	MsMpEng
क्लिनर	Nvc95	avgupsvc	MSASCui
क्लिनर3	चौकी	avgw	अविरा.सिस्ट्रे
डिफवॉच	पद्मीन	avgcc32
Dvp95	Pavcl	सरासरी

• स्वतःचा विनाश
• निर्दिष्ट संसाधन मॅनिफेस्टमधून डेटा लोड करत आहे

  

• मार्गावर फाइल कॉपी करणे %Temp%tmpG[सध्याची तारीख आणि वेळ मिलिसेकंदांमध्ये].tmp

  
  विशेष म्हणजे, एजंटटेस्ला मालवेअरमध्ये एक समान कार्य आहे.

• वर्म कार्यक्षमता

  मालवेअरला काढता येण्याजोग्या माध्यमांची सूची प्राप्त होते. नावासह मीडिया फाइल सिस्टमच्या रूटमध्ये मालवेअरची एक प्रत तयार केली जाते Sys.exe. ऑटोरन फाइल वापरून लागू केले जाते autorun.inf.

  

हल्लेखोर प्रोफाइल

कमांड सेंटरच्या विश्लेषणादरम्यान, विकसकाचे ईमेल आणि टोपणनाव स्थापित करणे शक्य झाले - Razer, उर्फ ​​Brwa, Brwa65, HiDDen PerSON, 404 Coder. पुढे, आम्हाला YouTube वर एक मनोरंजक व्हिडिओ सापडला जो बिल्डरसोबत काम करत आहे.

यामुळे मूळ विकसक चॅनेल शोधणे शक्य झाले.

त्याला क्रिप्टोग्राफर लिहिण्याचा अनुभव असल्याचे स्पष्ट झाले. सामाजिक नेटवर्कवरील पृष्ठांचे दुवे तसेच लेखकाचे खरे नाव देखील आहेत. तो इराकचा रहिवासी असल्याचे निष्पन्न झाले.

404 Keylogger विकासक असे दिसते. त्याच्या वैयक्तिक फेसबुक प्रोफाइलवरून फोटो.

CERT Group-IB ने एक नवीन धोका - 404 Keylogger - XNUMX-तास मॉनिटरिंग आणि रिस्पॉन्स सेंटर फॉर सायबर धमक्यांची (SOC) घोषणा केली आहे.

स्त्रोत: www.habr.com