Dalam beberapa tahun kebelakangan ini, Trojan mudah alih telah secara aktif menggantikan Trojan untuk komputer peribadi, jadi kemunculan perisian hasad baharu untuk "kereta" lama yang baik dan penggunaan aktifnya oleh penjenayah siber, walaupun tidak menyenangkan, masih menjadi satu peristiwa. Baru-baru ini, pusat tindak balas insiden keselamatan maklumat CERT Group-IB 24/7 telah mengesan e-mel pancingan data luar biasa yang menyembunyikan perisian hasad PC baharu yang menggabungkan fungsi Keylogger dan PasswordStealer. Perhatian penganalisis tertumpu kepada cara perisian pengintip masuk ke mesin pengguna - menggunakan pengutus suara yang popular. Ilya Pomerantsev, pakar analisis perisian hasad di CERT Group-IB, menjelaskan cara perisian hasad itu berfungsi, sebab ia berbahaya, malah menemui penciptanya di Iraq yang jauh.
Jadi, mari kita pergi mengikut urutan. Di bawah samaran lampiran, surat sedemikian mengandungi gambar, apabila mengklik pada mana pengguna dibawa ke tapak cdn.discordapp.com, dan fail berniat jahat telah dimuat turun dari sana.
Menggunakan Discord, mesej suara dan teks percuma, agak tidak konvensional. Biasanya, utusan segera atau rangkaian sosial lain digunakan untuk tujuan ini.
Semasa analisis yang lebih terperinci, satu keluarga perisian hasad telah dikenal pasti. Ia ternyata menjadi pendatang baru kepada pasaran perisian hasad - 404 Keylogger.
Iklan pertama untuk penjualan keylogger telah disiarkan pada hackforums oleh pengguna di bawah nama panggilan "404 Coder" pada 8 Ogos.
Domain kedai telah didaftarkan baru-baru ini - pada 7 September 2019.
Seperti yang dikatakan pemaju di laman web 404projek[.]xyz, 404 ialah alat yang direka untuk membantu syarikat mengetahui tentang aktiviti pelanggan mereka (dengan kebenaran mereka) atau bagi mereka yang ingin melindungi binari mereka daripada kejuruteraan terbalik. Memandang ke hadapan, katakan itu dengan tugasan terakhir 404 pasti tidak dapat mengatasinya.
Kami memutuskan untuk membalikkan salah satu fail dan menyemak apa itu "KEYLOGGER PINTAR TERBAIK".
Ekosistem perisian hasad
Pemuat 1 (AtillaCrypter)
Fail sumber dilindungi menggunakan EaxObfuscator dan melakukan pemuatan dua langkah AtProtect daripada bahagian sumber. Semasa analisis sampel lain yang ditemui pada VirusTotal, ternyata bahawa peringkat ini tidak disediakan oleh pembangun sendiri, tetapi telah ditambah oleh pelanggannya. Ia kemudiannya ditentukan bahawa pemuat but ini ialah AtillaCrypter.
Pemuat But 2 (AtProtect)
Malah, pemuat ini adalah sebahagian daripada perisian hasad dan, mengikut niat pembangun, harus mengambil fungsi analisis balas.
Walau bagaimanapun, dalam praktiknya, mekanisme perlindungan adalah sangat primitif dan sistem kami berjaya mengesan perisian hasad ini.
Modul utama dimuatkan menggunakan Franchy ShellCode versi berbeza. Walau bagaimanapun, kami tidak mengecualikan bahawa pilihan lain mungkin telah digunakan, sebagai contoh, RunPE.
Fail konfigurasi
Penyatuan dalam sistem
Penyatuan dalam sistem dipastikan oleh pemuat but AtProtect, jika bendera yang sepadan ditetapkan.
- Fail disalin di sepanjang laluan %AppData%GFqaakZpzwm.exe.
- Fail dibuat %AppData%GFqaakWinDriv.url, melancarkan Zpzwm.exe.
- Cawangan V HKCUSoftwareMicrosoftWindowsCurrentVersionRun kunci permulaan dibuat WinDriv.url.
Interaksi dengan C&C
Pemuat AtProtect
Jika bendera yang sesuai ada, perisian hasad boleh melancarkan proses tersembunyi penyemak imbas dan ikuti pautan yang ditentukan untuk memberitahu pelayan tentang jangkitan yang berjaya.
DataStealer
Tanpa mengira kaedah yang digunakan, komunikasi rangkaian bermula dengan mendapatkan IP luaran mangsa menggunakan sumber tersebut [http]://checkip[.]dyndns[.]org/.
Ejen Pengguna: Mozilla/4.0 (serasi; MSIE 6.0; Windows NT 5.2; .NET CLR1.0.3705;)
Struktur umum mesej adalah sama. Tajuk hadir
|ββ- 404 Keylogger β {Jenis} ββ-|Jika {type} sepadan dengan jenis maklumat yang dihantar.
Berikut adalah maklumat mengenai sistem:
_______ + MAKLUMAT MANGSA + _______
IP: {IP Luaran}
Nama Pemilik: {Computer name}
Nama OS: {OS Name}
Versi OS: {Versi OS}
Platform OS: {Platform}
Saiz RAM: {saiz RAM}
______________________________
Dan akhirnya, data yang dihantar.
SMTP
Perkara surat tersebut adalah seperti berikut: 404 K | {Jenis Mesej} | Nama Pelanggan: {Username}.
Menariknya, untuk menyampaikan surat kepada pelanggan 404 Keylogger Pelayan SMTP pembangun digunakan.
Ini membolehkan untuk mengenal pasti beberapa pelanggan, serta e-mel salah seorang pembangun.
ftp
Apabila menggunakan kaedah ini, maklumat yang dikumpul disimpan ke fail dan segera dibaca dari sana.
Logik di sebalik tindakan ini tidak sepenuhnya jelas, tetapi ia mencipta artifak tambahan untuk menulis peraturan tingkah laku.
%HOMEDRIVE%%HOMEPATH%DocumentsA{Arbitrary number}.txt
Pastebin
Pada masa analisis, kaedah ini hanya digunakan untuk memindahkan kata laluan yang dicuri. Selain itu, ia digunakan bukan sebagai alternatif kepada dua yang pertama, tetapi secara selari. Syaratnya ialah nilai pemalar yang sama dengan "Vavaa". Agaknya ini nama pelanggan.
Interaksi berlaku melalui protokol https melalui API tong sampah. Maknanya api_paste_private sama dengan PASTE_UNLISTED, yang melarang mencari halaman sedemikian dalam tong sampah.
Algoritma penyulitan
Mendapatkan semula fail daripada sumber
Muatan disimpan dalam sumber pemuat but AtProtect dalam bentuk imej Bitmap. Pengekstrakan dijalankan dalam beberapa peringkat:
- Tatasusunan bait diekstrak daripada imej. Setiap piksel dianggap sebagai urutan 3 bait dalam susunan BGR. Selepas pengekstrakan, 4 bait pertama tatasusunan menyimpan panjang mesej, yang seterusnya menyimpan mesej itu sendiri.
- Kuncinya dikira. Untuk melakukan ini, MD5 dikira daripada nilai "ZpzwmjMJyfTNiRalKVrcSkxCN" yang dinyatakan sebagai kata laluan. Hash yang terhasil ditulis dua kali.
- Penyahsulitan dilakukan menggunakan algoritma AES dalam mod ECB.
Fungsi hasad
Downloader
Dilaksanakan dalam pemuat but AtProtect.
- Dengan menghubungi [activelink-repalce] Status pelayan diminta untuk mengesahkan bahawa ia sedia untuk menyampaikan fail. Pelayan harus kembali "HIDUP".
- pautan [pautan muat turun-ganti] Muat turun dimuat turun.
- Dengan FranchyShellcode muatan disuntik ke dalam proses [inj-replace].
Semasa analisis domain 404projek[.]xyz contoh tambahan telah dikenal pasti pada VirusTotal 404 Keylogger, serta beberapa jenis pemuat.
Secara konvensional, mereka dibahagikan kepada dua jenis:
- Muat turun dijalankan daripada sumber 404projek[.]xyz.
Data dikodkan Base64 dan disulitkan AES. - Pilihan ini terdiri daripada beberapa peringkat dan kemungkinan besar digunakan bersama dengan pemuat but AtProtect.
- Pada peringkat pertama, data dimuatkan daripada tong sampah dan dinyahkod menggunakan fungsi tersebut HexToByte.
- Pada peringkat kedua, sumber pemuatan ialah 404projek[.]xyz. Walau bagaimanapun, fungsi penyahmampatan dan penyahkodan adalah serupa dengan yang terdapat dalam DataStealer. Ia mungkin pada asalnya dirancang untuk melaksanakan fungsi pemuat but dalam modul utama.
- Pada peringkat ini, muatan sudah ada dalam manifes sumber dalam bentuk termampat. Fungsi pengekstrakan yang serupa juga ditemui dalam modul utama.
Pemuat turun ditemui antara fail yang dianalisis njRat, SpyGate dan TIKUS lain.
Keylogger
Tempoh penghantaran log: 30 minit.
Semua aksara disokong. Watak istimewa terlepas. Terdapat pemprosesan untuk kekunci BackSpace dan Padam. Kes sensitif.
ClipboardLogger
Tempoh penghantaran log: 30 minit.
Tempoh pengundian penampan: 0,1 saat.
Dilaksanakan pautan melarikan diri.
ScreenLogger
Tempoh penghantaran log: 60 minit.
Tangkapan skrin disimpan dalam %HOMEDRIVE%%HOMEPATH%Documents404k404pic.png.
Selepas menghantar folder 404k dipadamkan.
PasswordStealer
| pelayar | Pelanggan mel | Pelanggan FTP |
|---|---|---|
| Chrome | Outlook | FileZilla |
| Firefox | Thunderbird | |
| SeaMonkey | Foxmail | |
| Naga ais | ||
| PaleMoon | ||
| cyberfox | ||
| Chrome | ||
| BraveBrowser | ||
| QQBrowser | ||
| IridiumPelayar | ||
| XvastBrowser | ||
| Chedot | ||
| 360Pelayar | ||
| ComodoDragon | ||
| 360Chrome | ||
| SuperBird | ||
| CentBrowser | ||
| GhostBrowser | ||
| Pelayar Besi | ||
| Kromium | ||
| Vivaldi | ||
| SlimjetBrowser | ||
| orbitum | ||
| CocCoc | ||
| Obor | ||
| UCBrowser | ||
| EpicBrowser | ||
| BliskBrowser | ||
| beroperasi |
Bertindak balas kepada analisis dinamik
- Menyemak sama ada sesuatu proses sedang dianalisis
Dijalankan menggunakan carian proses tugas tugas, ProcessHacker, procexp64, procexp, procmon. Jika sekurang-kurangnya satu ditemui, perisian hasad akan keluar.
- Menyemak sama ada anda berada dalam persekitaran maya
Dijalankan menggunakan carian proses vmtoolsd, VGAuthService, vmacthlp, VBoxService, VBoxTray. Jika sekurang-kurangnya satu ditemui, perisian hasad akan keluar.
- Tertidur selama 5 saat
- Demonstrasi pelbagai jenis kotak dialog
Boleh digunakan untuk memintas beberapa kotak pasir.
- Pintas UAC
Dilakukan dengan mengedit kunci pendaftaran EnableLUA dalam tetapan Dasar Kumpulan.
- Menggunakan atribut "Tersembunyi" pada fail semasa.
- Keupayaan untuk memadam fail semasa.
Ciri Tidak Aktif
Semasa analisis pemuat but dan modul utama, fungsi didapati bertanggungjawab untuk fungsi tambahan, tetapi ia tidak digunakan di mana-mana. Ini mungkin disebabkan oleh fakta bahawa perisian hasad masih dalam pembangunan dan fungsinya akan dikembangkan tidak lama lagi.
Pemuat AtProtect
Satu fungsi didapati yang bertanggungjawab untuk memuatkan dan menyuntik ke dalam proses msiexec.exe modul sewenang-wenangnya.
DataStealer
- Penyatuan dalam sistem
- Fungsi penyahmampatan dan penyahsulitan
Kemungkinan penyulitan data semasa komunikasi rangkaian akan dilaksanakan tidak lama lagi. - Menamatkan proses antivirus
| zlclient | Dvp95_0 | Pavsched | avgserv9 |
| egui | Enjin | Pavw | avgserv9schedapp |
| bdagent | selamat | PCCIOMON | avgemc |
| npfmsg | Espwatch | PCCMAIN | ashwebsv |
| olydbg | F-Agnt95 | Pccwin98 | ashdisp |
| anubis | Findvir | Pcfwallicon | ashmaisv |
| wireshark | Fprot | Persfw | ashserv |
| avastui | F-Prot | POP3TRAP | aswUpdSv |
| _Avp32 | F-Prot95 | PVIEW95 | symwsc |
| vsmon | Fp-Menang | Rav7 | norton |
| mbam | Frw | Rav7win | Norton Auto-Protect |
| pengacak kunci | F-Stopw | Menyelamatkan | norton_av |
| _Avpcc | Iamapp | Safeweb | nortonav |
| _Avpm | Iamserv | Imbasan32 | ccsetmgr |
| Ackwin32 | Ibmasn | Imbasan95 | ccevtmgr |
| Outpost | Ibmavsp | Scanpm | avadmin |
| Anti-Trojan | Icload95 | Scrimbasan | avcenter |
| Antivir | Icloadnt | Serv95 | avgnt |
| Apvxdwin | Icmon | Smc | avguard |
| MENARIK | Icsupp95 | SMCSERVICE | avnotify |
| Autoturun | Icsuppnt | Mendengus | avscan |
| Avconsol | Saya menghadapi | Sphinx | guardgui |
| Ave32 | Iomon98 | Sapu95 | nod32krn |
| Avgctrl | Jedi | SYMPROXYSVC | nod32kui |
| Avkserv | Lockdown2000 | Tbscan | kerang |
| Avnt | Lookout | Tca | clamTray |
| Avp | Luall | Tds2-98 | clamWin |
| Avp32 | mcafee | Tds2-Nt | freshclam |
| Avpcc | Moolive | TermiNET | oladdin |
| Avpdos32 | MPftray | Doktor haiwan95 | sigtool |
| Avpm | N32scanw | Vetray | w9xpopen |
| Avptc32 | NAVAPSVC | Vscan40 | tutup |
| Avpupd | NAVAPW32 | Vsecomr | cmgrdian |
| Avsched32 | NAVLU32 | Vshwin32 | alogserv |
| AVSYNMGR | Navnt | vsstat | mcshield |
| Avwin95 | NAVRUNR | Webscanx | vshwin32 |
| Avwupd32 | Navw32 | WEBTRAP | avconsol |
| Blackd | Navwnt | Wfindv32 | vsstat |
| Ais hitam | NeoWatch | ZoneAlarm | avsynmgr |
| Cfiadmin | NISSERV | LOCKDOWN2000 | avcmd |
| Cfiaudit | Nisum | PENYELAMAT32 | avconfig |
| Cfinet | Nmain | LUCOMSERVER | licmgr |
| Cfinet32 | Normist | avgcc | jadual |
| Cakar95 | NORTON | avgcc | preupd |
| Cakar95cf | Nupgrade | avgamsvr | MsMpEng |
| Bersih | Nvc95 | avgupsvc | MSASCui |
| Pembersih3 | Outpost | purata | Avira.Systray |
| Defwatch | Padmin | avgcc32 | |
| Dvp95 | Pavcl | avgserv |
- Kemusnahan diri
- Memuatkan data daripada manifes sumber yang ditentukan
- Menyalin fail di sepanjang laluan %Temp%tmpG[Tarikh dan masa semasa dalam milisaat].tmp
Menariknya, fungsi yang sama terdapat dalam perisian hasad AgentTesla. - Fungsi cacing
Malware menerima senarai media boleh alih keluar. Salinan perisian hasad dibuat dalam akar sistem fail media dengan nama Sys.exe. Autorun dilaksanakan menggunakan fail autorun.inf.
Profil penyerang
Semasa analisis pusat arahan, adalah mungkin untuk mewujudkan e-mel dan nama panggilan pembangun - Razer, aka Brwa, Brwa65, HiDDen PerSOn, 404 Coder. Seterusnya, kami menemui video menarik di YouTube yang menunjukkan kerja sama dengan pembina.
Ini membolehkan anda mencari saluran pembangun asal.
Ia menjadi jelas bahawa dia mempunyai pengalaman dalam menulis kriptografi. Terdapat juga pautan ke halaman di rangkaian sosial, serta nama sebenar pengarang. Dia ternyata seorang penduduk Iraq.
Inilah yang dikatakan pembangun 404 Keylogger. Gambar dari profil Facebook peribadinya.
CERT Group-IB telah mengumumkan ancaman baharu - 404 Keylogger - pusat pemantauan dan tindak balas XNUMX jam untuk ancaman siber (SOC) di Bahrain.
Sumber: www.habr.com