F'dawn l-aħħar snin, Trojans mobbli ilhom jissostitwixxu b'mod attiv it-Trojans għal kompjuters personali, għalhekk l-emerġenza ta 'malware ġdid għall-"karozzi" qodma tajbin u l-użu attiv tagħhom miċ-ċiberkriminali, għalkemm mhux pjaċevoli, għadu avveniment. Riċentement, iċ-ċentru ta 'rispons għall-inċidenti tas-sigurtà tal-informazzjoni ta' CERT Group-IB XNUMX/XNUMX skopra email ta 'phishing mhux tas-soltu li kienet qed taħbi malware ġdid tal-PC li jgħaqqad il-funzjonijiet ta' Keylogger u PasswordStealer. Inġibdet l-attenzjoni tal-analisti dwar kif l-ispyware daħal fuq il-magna tal-utent – bl-użu ta’ voice messenger popolari. Ilya Pomerantsev, speċjalista tal-analiżi tal-malware f'CERT Group-IB, spjega kif jaħdem il-malware, għaliex huwa perikoluż, u saħansitra sab lill-kreatur tiegħu fl-Iraq imbiegħed.
Allura, ejja mmorru fl-ordni. Taħt l-iskuża ta 'sekwestru, ittra bħal din kien fiha stampa, meta tikklikkja fuqha l-utent ittieħed fuq is-sit cdn.discordapp.com, u fajl malizzjuż ġie mniżżel minn hemm.
L-użu ta 'Discord, vuċi b'xejn u messaġġier tat-test, huwa pjuttost mhux konvenzjonali. Tipikament, messaġġiera instantanja oħra jew netwerks soċjali jintużaw għal dawn l-għanijiet.
Waqt analiżi aktar dettaljata, ġiet identifikata familja ta' malware. Irriżulta li kien ġdid fis-suq tal-malware - 404 Keylogger.
L-ewwel reklam għall-bejgħ ta 'keylogger tpoġġa fuq hackforums mill-utent taħt il-laqam “404 Coder” fit-8 ta’ Awwissu.
Id-dominju tal-maħżen kien irreġistrat pjuttost reċentement - fis-7 ta 'Settembru, 2019.
Kif jgħidu l-iżviluppaturi fuq il-websajt 404proġetti[.]xyz, 404 hija għodda mfassla biex tgħin lill-kumpaniji jitgħallmu dwar l-attivitajiet tal-klijenti tagħhom (bil-permess tagħhom) jew għal dawk li jridu jipproteġu l-binarju tagħhom mill-inġinerija inversa. Ħarsa 'l quddiem, ejja ngħidu li bl-aħħar kompitu 404 żgur ma jlaħħaqx.
Iddeċidejna li nreġġgħu lura wieħed mill-fajls u niċċekkjaw x'inhu "BEST SMART KEYLOGGER".
Ekosistema tal-malware
Loader 1 (AtillaCrypter)
Il-fajl tas-sors huwa protett bl-użu EaxObfuscator u jwettaq tagħbija f'żewġ stadji AtProtect mit-taqsima tar-riżorsi. Matul l-analiżi ta 'kampjuni oħra misjuba fuq VirusTotal, deher ċar li dan l-istadju ma kienx ipprovdut mill-iżviluppatur innifsu, iżda ġie miżjud mill-klijent tiegħu. Aktar tard ġie ddeterminat li dan il-bootloader kien AtillaCrypter.
Bootloader 2 (AtProtect)
Fil-fatt, dan il-loader huwa parti integrali mill-malware u, skont l-intenzjoni tal-iżviluppatur, għandu jieħu l-funzjonalità tal-ġlieda kontra l-analiżi.
Madankollu, fil-prattika, il-mekkaniżmi ta 'protezzjoni huma estremament primittivi, u s-sistemi tagħna jiskopru b'suċċess dan il-malware.
Il-modulu prinċipali huwa mgħobbi bl-użu Franchy ShellCode verżjonijiet differenti. Madankollu, aħna ma neskludux li għażliet oħra setgħu ntużaw, pereżempju, RunPE.
Fajl ta' konfigurazzjoni
Konsolidazzjoni fis-sistema
Il-konsolidazzjoni fis-sistema hija żgurata mill-bootloader AtProtect, jekk il-bandiera korrispondenti tkun issettjata.
- Il-fajl jiġi kkupjat tul il-mogħdija %AppData%GFqaakZpzwm.exe.
- Jinħoloq fajl %AppData%GFqaakWinDriv.url, tnedija Zpzwm.exe.
- Fil-ħajta HKCUSoftwareMicrosoftWindowsCurrentVersionRun tinħoloq ċavetta tal-istartjar WinDriv.url.
Interazzjoni ma' C&C
Loader AtProtect
Jekk il-bandiera xierqa tkun preżenti, il-malware jista' jniedi proċess moħbi esploratur u segwi l-link speċifikata biex tinnotifika lis-server dwar infezzjoni b'suċċess.
DataStealer
Irrispettivament mill-metodu użat, il-komunikazzjoni tan-netwerk tibda bil-kisba tal-IP esterna tal-vittma bl-użu tar-riżors [http]://checkip[.]dyndns[.]org/.
Utent-Aġent: Mozilla/4.0 (kompatibbli; MSIE 6.0; Windows NT 5.2; .NET CLR1.0.3705;)
L-istruttura ġenerali tal-messaġġ hija l-istess. Header preżenti
|——- 404 Keylogger — {Tip} ——-|fejn {tip} jikkorrispondi mat-tip ta' informazzjoni li qed tiġi trażmessa.
Din li ġejja hija informazzjoni dwar is-sistema:
________ + INFORMAZZJONI DWAR IL-VATTIM + _______
IP: {IP Estern}
Isem tas-Sid: {Isem tal-kompjuter}
Isem OS: {Isem OS}
Verżjoni OS: {Verżjoni OS}
OS Pjattaforma: {Pjattaforma}
Daqs RAM: {daqs RAM}
______________________________
U finalment, id-data trażmessa.
SMTP
Is-suġġett tal-ittra huwa kif ġej: 404 K | {Tip ta' messaġġ} | Isem tal-Klijent: {Username}.
Interessanti, li twassal ittri lill-klijent 404 Keylogger Jintuża s-server SMTP tal-iżviluppaturi.
Dan għamilha possibbli li jiġu identifikati xi klijenti, kif ukoll l-email ta 'wieħed mill-iżviluppaturi.
FTP
Meta tuża dan il-metodu, l-informazzjoni miġbura tiġi ffrankata f'fajl u tinqara immedjatament minn hemm.
Il-loġika wara din l-azzjoni mhix ċara għal kollox, iżda toħloq artifact addizzjonali għall-kitba ta 'regoli ta' mġiba.
%HOMEDRIVE%%HOMEPATH%DokumentiA{Numru arbitrarju}.txt
Pastebin
Fiż-żmien tal-analiżi, dan il-metodu jintuża biss biex jittrasferixxi passwords misruqa. Barra minn hekk, jintuża mhux bħala alternattiva għall-ewwel tnejn, iżda b'mod parallel. Il-kundizzjoni hija l-valur tal-kostanti ugwali għal "Vavaa". Preżumibbilment dan huwa l-isem tal-klijent.
L-interazzjoni sseħħ permezz tal-protokoll https permezz tal-API pastebin. Tifsira api_paste_private ugwali PASTE_UNLISTED, li jipprojbixxi t-tiftix għal paġni bħal dawn fi pastebin.
Algoritmi ta' kriptaġġ
L-irkupru ta' fajl mir-riżorsi
It-tagħbija hija maħżuna fir-riżorsi tal-bootloader AtProtect fil-forma ta' immaġini Bitmap. L-estrazzjoni titwettaq f'diversi stadji:
- Array ta 'bytes hija estratta mill-immaġni. Kull pixel huwa ttrattat bħala sekwenza ta '3 bytes f'ordni BGR. Wara l-estrazzjoni, l-ewwel 4 bytes tal-firxa jaħżnu t-tul tal-messaġġ, dawk sussegwenti jaħżnu l-messaġġ innifsu.
- Iċ-ċavetta hija kkalkulata. Biex tagħmel dan, MD5 huwa kkalkulat mill-valur "ZpzwmjMJyfTNiRalKVrcSkxCN" speċifikat bħala l-password. Il-hash li jirriżulta jinkiteb darbtejn.
- Id-dekriptaġġ isir bl-użu tal-algoritmu AES fil-modalità tal-BĊE.
Funzjonalità malizzjuża
downloader
Implimentat fil-bootloader AtProtect.
- Billi tikkuntattja [activelink-repalce] L-istatus tas-server huwa mitlub biex jikkonferma li huwa lest biex iservi l-fajl. Is-server għandu jirritorna "ON".
- Ir-rabta [downloadlink-sostituzzjoni] It-tagħbija hija mniżżla.
- Bil FranchyShellcode it-tagħbija hija injettata fil-proċess [inj-sostituzzjoni].
Waqt l-analiżi tad-dominju 404proġetti[.]xyz każijiet addizzjonali ġew identifikati fuq VirusTotal 404 Keylogger, kif ukoll diversi tipi ta 'loaders.
Konvenzjonalment, huma maqsuma f'żewġ tipi:
- It-tniżżil jitwettaq mir-riżorsa 404proġetti[.]xyz.
Id-data hija kodifikata Base64 u kodifikata AES. - Din l-għażla tikkonsisti f'diversi stadji u x'aktarx tintuża flimkien ma 'bootloader AtProtect.
- Fl-ewwel stadju, id-dejta titgħabba minn pastebin u dekodifikati bl-użu tal-funzjoni HexToByte.
- Fit-tieni stadju, is-sors tat-tagħbija huwa l- 404proġetti[.]xyz. Madankollu, il-funzjonijiet ta 'dekompressjoni u dekodifikazzjoni huma simili għal dawk misjuba f'DataStealer. Probabbilment kien oriġinarjament ippjanat li timplimenta l-funzjonalità tal-bootloader fil-modulu prinċipali.
- F'dan l-istadju, it-tagħbija hija diġà fil-manifest tar-riżorsi f'forma kkompressata. Funzjonijiet ta 'estrazzjoni simili nstabu wkoll fil-modulu prinċipali.
Instabu downloaders fost il-fajls analizzati njRat, SpyGate u RATs oħra.
Keylogger
Perjodu biex jintbagħtu log: 30 minuta.
Il-karattri kollha huma appoġġjati. Karattri speċjali huma maħruba. Hemm proċessar għaċ-ċwievet BackSpace u Delete. Kawża sensittiva.
ClipboardLogger
Perjodu biex jintbagħtu log: 30 minuta.
Perjodu tal-votazzjoni tal-buffer: 0,1 sekondi.
Link implimentati jaħarbu.
ScreenLogger
Perjodu biex jintbagħtu log: 60 minuta.
Screenshots huma ssejvjati fi %HOMEDRIVE%%HOMEPATH%Documents404k404pic.png.
Wara li tibgħat il-folder 404k titħassar.
PasswordStealer
| Browsers | Klijenti tal-posta | Klijenti FTP |
|---|---|---|
| chrome | Outlook | FileZilla |
| firefox | Thunderbird | |
| SeaMonkey | Foxmail | |
| icedragon | ||
| PaleMoon | ||
| cyberfox | ||
| chrome | ||
| BraveBrowser | ||
| QQBrowser | ||
| IridiumBrowser | ||
| XvastBrowser | ||
| Chedot | ||
| 360 Browser | ||
| ComodoDragon | ||
| 360Kromju | ||
| SuperBird | ||
| CentBrowser | ||
| GhostBrowser | ||
| IronBrowser | ||
| Kromju | ||
| Vivaldi | ||
| SlimjetBrowser | ||
| orbitum | ||
| CocCoc | ||
| Torch | ||
| UCBrowser | ||
| EpicBrowser | ||
| BliskBrowser | ||
| opra |
Kontroazzjoni għall-analiżi dinamika
- Iċċekkjar jekk proċess huwiex taħt analiżi
Imwettaq bl-użu tat-tfittxija tal-proċess taskmgr, ProcessHacker, procexp64, procexp, prokmon. Jekk jinstab mill-inqas wieħed, il-malware joħroġ.
- Iċċekkja jekk intix f'ambjent virtwali
Imwettaq bl-użu tat-tfittxija tal-proċess vmtoolsd, VGAuthService, vmacthlp, VBoxService, VBoxTray. Jekk jinstab mill-inqas wieħed, il-malware joħroġ.
- torqod għal 5 sekondi
- Dimostrazzjoni ta' tipi differenti ta' dialog boxes
Jista 'jintuża biex jevita xi sandboxes.
- Bypass UAC
Imwettaq billi teditja ċ-ċavetta tar-reġistru EnableLUA fis-settings tal-Politika tal-Grupp.
- Japplika l-attribut "Hidden" għall-fajl kurrenti.
- Kapaċità li tħassar il-fajl kurrenti.
Karatteristiċi Inattivi
Matul l-analiżi tal-bootloader u l-modulu prinċipali, instabu funzjonijiet li kienu responsabbli għal funzjonalità addizzjonali, iżda ma jintużaw imkien. Dan probabbilment huwa dovut għall-fatt li l-malware għadu fl-iżvilupp u l-funzjonalità se tiġi estiża dalwaqt.
Loader AtProtect
Instabet funzjoni li hija responsabbli għat-tagħbija u l-injezzjoni fil-proċess msiexec.exe modulu arbitrarju.
DataStealer
- Konsolidazzjoni fis-sistema
- Funzjonijiet ta' dekompressjoni u deċifrar
Huwa probabbli li l-kriptaġġ tad-dejta waqt il-komunikazzjoni tan-netwerk dalwaqt jiġi implimentat. - It-tmiem tal-proċessi antivirus
| zlclient | Dvp95_0 | Pavsched | avgserv9 |
| egui | Ecengine | Pavw | avgserv9schedapp |
| bdagent | Esafe | PCCIOMON | avgemc |
| npfmsg | Espwatch | PCCMAIN | ashwebsv |
| olydbg | F-Agnt95 | Pccwin98 | irmied |
| anubis | Findvir | Pcfwallicon | ashmaisv |
| wireshark | Fprot | Persfw | ashserv |
| avastui | F-Prot | POP3TRAP | aswUpdSv |
| _Avp32 | F-Prot95 | PVIEW95 | symwsc |
| vsmon | Fp-Win | Ravxnumx | norton |
| mbam | Frw | Rav7win | Norton Auto-Protect |
| keyscrambler | F-Stopw | Salvataġġ | norton_av |
| _Avpcc | Iamapp | Safeweb | nortonav |
| _Avpm | Iamserv | Scan32 | ccsetmgr |
| Ackwin32 | Ibmasn | Scan95 | ccevtmgr |
| Avvanzata | Ibmavsp | Scanpm | avadmin |
| Anti-Trojan | Icload95 | Scrscan | avcenter |
| Antivir | Icloadnt | Serv95 | avgnt |
| Apvxdwin | Icmon | SMC | avguard |
| ATRACK | Icsupp95 | SMCSERVICE | avnotifika |
| Autodown | Icsuppnt | Snort | avscan |
| Avconsol | Iface | Sphinx | guardgui |
| Ave32 | Iomon98 | Sweep95 | nod32krn |
| Avgctrl | Jedi | SYMPROXYSVC | nod32kui |
| Avkserv | Lockdown2000 | Tbscan | clamscan |
| Avnt | lookout | Tca | clamTray |
| Avp | Luall | Tds2-98 | clamWin |
| Avp32 | mcafee | Tds2-Nt | frisk |
| Avpcc | Moolive | TerminNET | oladdin |
| Avpdos32 | MPftray | Vet95 | sigtool |
| Avpm | N32scanw | Vettray | w9xpopen |
| Avptc32 | NAVAPSVC | Vscan40 | Agħlaq |
| Avpupd | NAVAPW32 | Vsecomr | cmgrdian |
| Avsched32 | NAVLU32 | Vshwin32 | alogserv |
| AVSYNMGR | Navnt | Vsstat | mcshield |
| Avwin95 | NAVRUNR | Webscanx | vshwin32 |
| Avwupd32 | Navw32 | WEBTRAP | avconsol |
| Blackd | Navwnt | Wfindv32 | vsstat |
| Blackice | NeoWatch | zonealarm | avsynmgr |
| Cfiadmin | NISSERV | LOCKDOWN2000 | avcmd |
| Cfiaudit | Nisum | SALVAT32 | avconfig |
| Cfinet | Nmain | LUCOMSERVER | licmgr |
| Cfinet32 | Normist | avgcc | skedat |
| Claw95 | NORTON | avgcc | preupd |
| Claw95cf | Nupgrade | avgamsvr | MsMpEng |
| Cleaner | Nvc95 | avgupsvc | MSASCui |
| Cleaner3 | Avvanzata | avgw | Avira.Systray |
| Defwatch | Padmin | avgcc32 | |
| Dvp95 | Pavcl | avgserv |
- Awto-distruzzjoni
- Tagħbija tad-dejta mill-manifest tar-riżorsi speċifikat
- Ikkopjar fajl tul mogħdija %Temp%tmpG[Data u ħin kurrenti f'millisekondi].tmp
Interessanti, funzjoni identika hija preżenti fil-malware AgentTesla. - Funzjonalità tad-dud
Il-malware jirċievi lista ta 'midja li tista' titneħħa. Kopja tal-malware tinħoloq fl-għerq tas-sistema tal-fajls tal-midja bl-isem Sys.exe. Autorun huwa implimentat bl-użu ta 'fajl autorun.inf.
Profil tal-attakkant
Matul l-analiżi taċ-ċentru tal-kmand, kien possibbli li jiġu stabbiliti l-email u l-laqam tal-iżviluppatur - Razer, magħruf ukoll bħala Brwa, Brwa65, HiDDen PerSOn, 404 Coder. Sussegwentement, sibna vidjo interessanti fuq YouTube li juri l-ħidma mal-bennej.
Dan għamilha possibbli li jinstab il-kanal tal-iżviluppatur oriġinali.
Deher ċar li kellu esperjenza fil-kitba tal-kriptografi. Hemm ukoll links għal paġni fuq netwerks soċjali, kif ukoll l-isem reali tal-awtur. Irriżulta li kien residenti tal-Iraq.
Dan huwa dak li suppost iżviluppatur 404 Keylogger jidher. Ritratt mill-profil personali tiegħu fuq Facebook.
CERT Group-IB ħabbar theddida ġdida - 404 Keylogger - ċentru ta 'monitoraġġ u rispons ta' XNUMX siegħa għal theddid ċibernetiku (SOC) fil-Baħrejn.
Sors: www.habr.com