एक आश्चर्यको साथ Keylogger: यसको विकासकर्ताको keylogger र deanon को विश्लेषण

हालैका वर्षहरूमा, मोबाइल ट्रोजनहरू सक्रिय रूपमा व्यक्तिगत कम्प्युटरहरूको लागि ट्रोजनहरू प्रतिस्थापन गर्दै छन्, त्यसैले राम्रो पुरानो "कारहरू" को लागि नयाँ मालवेयरको उदय र साइबर अपराधीहरू द्वारा तिनीहरूको सक्रिय प्रयोग, अप्रिय भए पनि, अझै पनि एक घटना हो। भर्खरै, CERT Group-IB को 24/7 सूचना सुरक्षा घटना प्रतिक्रिया केन्द्रले एउटा असामान्य फिसिङ इमेल पत्ता लगायो जसले Keylogger र PasswordStealer को कार्यहरू संयोजन गर्ने नयाँ PC मालवेयर लुकाउँदै थियो। विश्लेषकहरूको ध्यान लोकप्रिय भ्वाइस मेसेन्जर प्रयोग गरेर प्रयोगकर्ताको मेसिनमा स्पाइवेयर कसरी आयो भनेर खिचियो। इल्या Pomerantsev, CERT Group-IB मा मालवेयर विश्लेषण विशेषज्ञ, मालवेयरले कसरी काम गर्छ, यो किन खतरनाक छ, र टाढाको इराकमा यसको निर्माता पनि फेला पारेको छ।

त्यसोभए, क्रममा जाऔं। एट्याचमेन्टको आडमा, यस्तो पत्रमा एउटा तस्विर थियो, जसमा क्लिक गर्दा प्रयोगकर्तालाई साइटमा लगियो। cdn.discordapp.com, र त्यहाँबाट एउटा खराब फाइल डाउनलोड गरियो।

Discord को प्रयोग, एक नि: शुल्क आवाज र टेक्स्ट मेसेन्जर, एकदम अपरंपरागत छ। सामान्यतया, अन्य इन्स्ट्यान्ट मेसेन्जर वा सामाजिक सञ्जालहरू यी उद्देश्यका लागि प्रयोग गरिन्छ।

थप विस्तृत विश्लेषणको क्रममा, मालवेयरको परिवार पहिचान गरिएको थियो। यो मालवेयर बजार को लागी एक नयाँ आगमन भयो - 404 Keylogger.

keylogger को बिक्री को लागी पहिलो विज्ञापन मा पोस्ट गरिएको थियो hackforums अगस्ट 404 मा उपनाम "8 कोडर" अन्तर्गत प्रयोगकर्ता द्वारा।

स्टोर डोमेन भर्खरै दर्ता गरिएको थियो - सेप्टेम्बर 7, 2019 मा।

विकासकर्ताहरूले वेबसाइटमा भनेका छन् 404 परियोजनाहरू [.] xyz, 404 कम्पनीहरूलाई आफ्ना ग्राहकहरूको गतिविधिहरू (उनीहरूको अनुमतिमा) वा तिनीहरूको बाइनरीलाई रिभर्स इन्जिनियरिङबाट जोगाउन चाहनेहरूका लागि सिक्न मद्दत गर्न डिजाइन गरिएको एउटा उपकरण हो। अगाडि हेर्दै, अन्तिम कार्य संग भनौं 404 निश्चित रूपमा सामना गर्दैन।

हामीले एउटा फाइललाई उल्टाउने र "BEST SMART KEYLOGGER" के हो भनेर जाँच गर्ने निर्णय गर्यौं।

मालवेयर इकोसिस्टम

लोडर १ (AtillaCrypter)

स्रोत फाइल प्रयोग गरेर सुरक्षित छ EaxObfuscator र दुई-चरण लोडिङ प्रदर्शन गर्दछ AtProtect स्रोत खण्डबाट। VirusTotal मा फेला परेका अन्य नमूनाहरूको विश्लेषणको क्रममा, यो स्पष्ट भयो कि यो चरण विकासकर्ता द्वारा प्रदान गरिएको थिएन, तर उनको ग्राहक द्वारा थपिएको थियो। यो पछि यो बुटलोडर AtillaCrypter थियो भनेर निर्धारण गरिएको थियो।

बुटलोडर २ (AtProtect)

वास्तवमा, यो लोडर मालवेयरको अभिन्न अंग हो र, विकासकर्ताको अभिप्राय अनुसार, काउन्टरिङ विश्लेषणको कार्यक्षमता लिनुपर्दछ।

यद्यपि, व्यवहारमा, सुरक्षा संयन्त्रहरू अत्यन्तै आदिम छन्, र हाम्रो प्रणालीहरूले सफलतापूर्वक यो मालवेयर पत्ता लगाउँछन्।

मुख्य मोड्युल प्रयोग गरेर लोड गरिएको छ Franchy शेलकोड विभिन्न संस्करणहरू। यद्यपि, हामी अन्य विकल्पहरू प्रयोग गर्न सकिन्थ्यो भन्ने बहिष्कार गर्दैनौं, उदाहरणका लागि, रनपीई.

कन्फिगरेसन फाइल

प्रणालीमा एकीकरण

प्रणालीमा एकीकरण बुटलोडर द्वारा सुनिश्चित गरिएको छ AtProtect, यदि सम्बन्धित झण्डा सेट गरिएको छ।

• फाइल बाटोमा प्रतिलिपि गरिएको छ %AppData%GFqaakZpzwm.exe.
• फाइल बनाइएको छ %AppData%GFqaakWinDriv.url, सुरु गर्दै Zpzwm.exe.
• धागो मा HKCUSoftwareMicrosoftWindowsCurrentVersionRun स्टार्टअप कुञ्जी सिर्जना गरिएको छ WinDriv.url.

C&C सँग अन्तरक्रिया

लोडर AtProtect

यदि उपयुक्त झण्डा अवस्थित छ भने, मालवेयरले लुकेको प्रक्रिया सुरु गर्न सक्छ iexplorer र सफल संक्रमणको बारेमा सर्भरलाई सूचित गर्न निर्दिष्ट लिङ्क पछ्याउनुहोस्।

DataStealer

जुनसुकै विधि प्रयोग गरे पनि, नेटवर्क सञ्चार स्रोतको प्रयोग गरेर पीडितको बाह्य आईपी प्राप्त गरेर सुरु हुन्छ। [http]://checkip[.]dyndns[.]org/.

प्रयोगकर्ता-एजेन्ट: Mozilla/4.0 (कम्प्याटिबल; MSIE 6.0; Windows NT 5.2; .NET CLR1.0.3705;)

सन्देशको सामान्य संरचना समान छ। हेडर उपस्थित
|——- 404 Keylogger — {प्रकार} ——-|कहाँ {प्रकार} प्रसारण भइरहेको जानकारीको प्रकारसँग मेल खान्छ।
निम्न प्रणाली बारे जानकारी छ:

________ + पीडित जानकारी + ________

IP: {बाह्य IP}
मालिकको नाम: {कम्प्यूटर नाम}
OS नाम: {OS Name}
OS संस्करण: {OS संस्करण}
OS प्लेटफर्म: {प्लेटफर्म}
RAM आकार: {RAM आकार}
______________________________

र अन्तमा, प्रसारण डाटा।

SMTP

पत्रको विषय यस प्रकार छ: ४०४ K | {सन्देश प्रकार} | ग्राहकको नाम: {प्रयोगकर्ता नाम}.

चाखलाग्दो कुरा, ग्राहकलाई पत्रहरू पठाउन 404 Keylogger विकासकर्ताहरूको SMTP सर्भर प्रयोग गरिन्छ।

यसले केही क्लाइन्टहरू, साथै विकासकर्ताहरू मध्ये एकको इमेल पहिचान गर्न सम्भव बनायो।

एफटीपी

यो विधि प्रयोग गर्दा, संकलित जानकारी फाइलमा बचत गरिन्छ र त्यहाँबाट तुरुन्तै पढिन्छ।

यस कार्यको पछाडि तर्क पूर्ण रूपमा स्पष्ट छैन, तर यसले व्यवहार नियमहरू लेख्नको लागि अतिरिक्त कलाकृति सिर्जना गर्दछ।

%HOMEDRIVE%%HOMEPATH%कागजातहरूA{आर्बिटरी नम्बर}.txt

Pastebin

विश्लेषणको समयमा, यो विधि चोरी गरिएका पासवर्डहरू स्थानान्तरण गर्न मात्र प्रयोग गरिन्छ। यसबाहेक, यो पहिलो दुई को एक विकल्प को रूप मा प्रयोग गरिन्छ, तर समानांतर मा। अवस्था "Vavaa" को बराबर स्थिर को मान हो। सम्भवतः यो ग्राहकको नाम हो।

अन्तरक्रिया API मार्फत https प्रोटोकल मार्फत हुन्छ पेस्टबिन... मान api_paste_private बराबरी PASTE_UNLISTED, जसले त्यस्ता पृष्ठहरू खोज्न निषेध गर्दछ पेस्टबिन.

एन्क्रिप्शन एल्गोरिदम

स्रोतहरूबाट फाइल पुन: प्राप्त गर्दै

पेलोड बुटलोडर स्रोतहरूमा भण्डार गरिएको छ AtProtect Bitmap छवि को रूप मा। निकासी धेरै चरणहरूमा गरिन्छ:

• छविबाट बाइट्सको एर्रे निकालिएको छ। प्रत्येक पिक्सेललाई BGR अर्डरमा ३ बाइट्सको अनुक्रम मानिन्छ। निकासी पछि, एरेको पहिलो 3 बाइटले सन्देशको लम्बाइ भण्डार गर्दछ, त्यसपछिका बाइटहरूले सन्देशलाई भण्डारण गर्दछ।

  

• कुञ्जी गणना गरिएको छ। यो गर्नको लागि, MD5 को मान "ZpzwmjMJyfTNiRalKVrcSkxCN" पासवर्डको रूपमा निर्दिष्ट गरिएको छ। परिणामस्वरूप ह्यास दुई पटक लेखिएको छ।

  

• डिक्रिप्शन ECB मोडमा AES एल्गोरिथ्म प्रयोग गरी गरिन्छ।

खराब कार्यक्षमता

डाउनलोडर

बुटलोडरमा लागू गरियो AtProtect.

• सम्पर्क गरेर [activelink-repalce] सर्भरको स्थिति पुष्टि गर्न अनुरोध गरिएको छ कि यो फाइल सेवा गर्न तयार छ। सर्भर फिर्ता हुनुपर्छ "खुल्ला".
• लिंक द्वारा [डाउनलोड लिङ्क-बदल्नुहोस्] पेलोड डाउनलोड गरिएको छ।
• सहयोगको साथ FranchyShellcode पेलोड प्रक्रियामा इन्जेक्ट गरिएको छ [inj-बदल्नुहोस्].

डोमेन विश्लेषणको क्रममा 404 परियोजनाहरू [.] xyz VirusTotal मा थप उदाहरणहरू पहिचान गरियो 404 Keylogger, साथै धेरै प्रकारका लोडरहरू।

परम्परागत रूपमा, तिनीहरू दुई प्रकारमा विभाजित छन्:

1. डाउनलोड संसाधनबाट गरिन्छ 404 परियोजनाहरू [.] xyz.

   
   डाटा Base64 एन्कोड गरिएको छ र AES इन्क्रिप्टेड छ।

2. यो विकल्प धेरै चरणहरू समावेश गर्दछ र सम्भवतः बुटलोडरसँग संयोजनमा प्रयोग गरिन्छ AtProtect.

• पहिलो चरणमा, डाटा लोड हुन्छ पेस्टबिन र प्रकार्य प्रयोग गरेर डिकोड गरियो HexToByte.

  

• दोस्रो चरणमा, लोडिङको स्रोत हो 404 परियोजनाहरू [.] xyz। यद्यपि, decompression र डिकोडिङ प्रकार्यहरू DataStealer मा पाइने जस्तै छन्। यो सम्भवतः मूल रूपमा मुख्य मोड्युलमा बुटलोडर कार्यक्षमता लागू गर्न योजना गरिएको थियो।

  

• यस चरणमा, पेलोड पहिले नै संकुचित फारममा संसाधन प्रकटमा छ। मुख्य मोड्युलमा पनि यस्तै निकासी कार्यहरू फेला परेका थिए।

विश्लेषण गरिएका फाइलहरूमा डाउनलोडरहरू फेला परे njRat, स्पाइगेट र अन्य RATs।

Keylogger

लग पठाउने अवधि: 30 मिनेट।

सबै क्यारेक्टरहरू समर्थित छन्। विशेष पात्रहरू भागेका छन्। त्यहाँ ब्याकस्पेस र मेटाउने कुञ्जीहरूको लागि प्रशोधन भइरहेको छ। केस संवेदनशील।

क्लिपबोर्डलगर

लग पठाउने अवधि: 30 मिनेट।

बफर मतदान अवधि: ०.१ सेकेन्ड।

कार्यान्वयन गरिएको लिङ्क एस्केपिङ।

ScreenLogger

लग पठाउने अवधि: 60 मिनेट।

स्क्रिनसटहरू सुरक्षित छन् %HOMEDRIVE%%HOMEPATH% कागजातहरू404k404pic.png.

फोल्डर पठाए पछि 404k मेटिएको छ।

पासवर्ड चोर्ने

ब्राउजरहरू	मेल क्लाइन्टहरू	FTP ग्राहकहरू
क्रोम	आउटलुक	FileZilla
फायरफक्स	थन्डरबर्ड
SeaMonkey	फक्समेल
आइसड्रागन
पालेमुन
साइबरफक्स
क्रोम
ब्रेभ ब्राउजर
QQBrowser
इरिडियम ब्राउजर
XvastBrowser
चेडोट
४.१ ब्राउजर
कोमोडो ड्र्यागन
360Chrome
सुपरबर्ड
CentBrowser
भूत ब्राउजर
आइरन ब्राउजर
क्रोमियम
Vivaldi
स्लिमजेट ब्राउजर
अर्बिटम
CocCoc
मशाल
UCBrowser
एपिक ब्राउजर
BliskBrowser
ओपेरा

गतिशील विश्लेषण को प्रतिवाद

• एक प्रक्रिया विश्लेषण अन्तर्गत छ कि छैन जाँच गर्दै

  प्रक्रिया खोज प्रयोग गरेर बाहिर निकालियो टास्कमगर, प्रोसेस ह्याकर, procexp64, procexp, procmon। यदि कम्तिमा एक फेला पर्यो भने, मालवेयर बाहिर निस्कन्छ।

• यदि तपाईं भर्चुअल वातावरणमा हुनुहुन्छ भने जाँच गर्दै

  प्रक्रिया खोज प्रयोग गरेर बाहिर निकालियो vmtoolsd, VGAuthService, vmacthlp, VBoxService, VBoxTray। यदि कम्तिमा एक फेला पर्यो भने, मालवेयर बाहिर निस्कन्छ।

• 5 सेकेन्डको लागि सुत्ने
• विभिन्न प्रकारका संवाद बक्सहरूको प्रदर्शन

  केही स्यान्डबक्सहरू बाइपास गर्न प्रयोग गर्न सकिन्छ।

• UAC बाइपास

  रजिस्ट्री कुञ्जी सम्पादन गरेर प्रदर्शन EnableLUA समूह नीति सेटिङहरूमा।

• हालको फाइलमा "लुकेको" विशेषता लागू गर्दछ।
• हालको फाइल मेटाउने क्षमता।

निष्क्रिय सुविधाहरू

बुटलोडर र मुख्य मोड्युलको विश्लेषणको क्रममा, कार्यहरू फेला पर्‍यो जुन थप कार्यक्षमताका लागि जिम्मेवार थिए, तर तिनीहरू कतै पनि प्रयोग गरिएन। यो सम्भवतः यस तथ्यको कारण हो कि मालवेयर अझै विकासमा छ र कार्यक्षमता चाँडै विस्तार गरिनेछ।

लोडर AtProtect

एक प्रकार्य फेला पर्‍यो जुन प्रक्रियामा लोड गर्न र इन्जेक्सन गर्न जिम्मेवार छ msiexec.exe मनमानी मोड्युल।

DataStealer

• प्रणालीमा एकीकरण

  

• डिकम्प्रेसन र डिक्रिप्शन प्रकार्यहरू

  
  
  यो सम्भव छ कि नेटवर्क संचार को समयमा डाटा ईन्क्रिप्शन चाँडै लागू हुनेछ।

• एन्टिभाइरस प्रक्रियाहरू समाप्त गर्दै

zlclient	Dvp95_0	Pavsched	avgserv9
egui	इन्जिन	Pavw	avgserv9schedapp
bdagent	Esafe	PCIOMON	avgemc
npfmsg	एस्पवाच	PCCMAIN	ashwebsv
olydbg	F-Agnt95	Pccwin98	ashdisp
anubis	खोज्नुहोस्	Pcfwallicon	ashmaisv
wireshark	Fprot	Persfw	ashserv
avastui	फा-Prot	POP3TRAP	aswUpdSv
_Avp32	F-Prot95	PVIEW95	symwsc
vsmon	Fp-विन	रव 7	नोर्टन
mbam	Frw	Rav7win	Norton स्वत: सुरक्षा
कुञ्जी स्क्र्याम्बलर	F-Stopw	उद्धार गर्नु	norton_av
_Avpcc	Iamapp	सेफवेब	nortonav
_Avpm	Iamserv	स्क्यान २	ccsetmgr
Ackwin32	Ibmasn	स्क्यान २	ccevtmgr
आउटस्टोस्ट	Ibmavsp	Scanpm	avadmin
ट्रोजन विरोधी	Icload95	स्क्यान गर्नुहोस्	avcenter
ANTIVIR	आइक्लोडन्ट	सेवा ९५	औसत
Apvxdwin	Icmon	Smc	avguard
ATRACK	Icsupp95	SMCSERVICE	सूचित गर्नुहोस्
अटोडाउन	Icsuppt	स्नोर्ट	avscan
Avconsol	Iface	sphinx	guardgui
Ave32	Iomon98	स्वीप२	nod32krn
Avgctrl	जेडी	SYMPROXYSVC	nod32kui
Avkserv	लकडाउन २०००	Tbscan	clamscan
Avnt	बाहिर हेर	Tca	clamTray
Avp	लुआल	Tds2-98	clamWin
Avp32	mcafee	Tds2-Nt	freshclam
Avpcc	मूलिभ	TermiNET	ओलादिन
Avpdos32	MPftray	पशु चिकित्सक ९५	sigtool
Avpm	N32 स्क्यान गर्नुहोस्	Vetray	w9xpopen
Avptc32	NAVAPSVC	Vscan40	बन्द गर्नुहोस्
Avpupd	NAVAPW32	Vsecomr	cmgrdian
Avsched32	NAVLU32	Vshwin32	alogserv
AVSYNMGR	Navnt	Vsstat	mcshield
Avwin95	NAVRUNR	Webscanx	vshwin32
Avwupd32	Navw32	WEBTRAP	avconsol
कालो	नव्वन्त	Wfindv32	vsstat
कालो बरफ	NeoWatch	जोन अलार्म	avsynmgr
Cfiadmin	NISSERV	लकडाउन2000	avcmd
Cfiaudit	निसुम	RECUE32	avconfig
Cfinet	Nmain	LUCOMSERVER	licmgr
Cfinet32	नर्मिस्ट	avgcc	समय तालिका
पंजा ९५	नॉर्टन	avgcc	preupd
Claw95cf	अपग्रेड गर्नुहोस्	avgamsvr	MsMpEng
क्लीनर	Nvc95	avgupsvc	MSASCui
क्लिनर ३	आउटस्टोस्ट	avgw	Avira.Systray
डिफवाच	पद्मिन	avgcc32
Dvp95	Pavcl	avgserv

• आत्म घाती
• निर्दिष्ट स्रोत म्यानिफेस्टबाट डाटा लोड गर्दै

  

• बाटोमा फाइल प्रतिलिपि गर्दै %Temp%tmpG[मिलिसेकेन्डमा हालको मिति र समय].tmp

  
  चाखलाग्दो कुरा के छ भने, एजेन्टटेस्ला मालवेयरमा समान प्रकार्य अवस्थित छ।

• कीरा कार्यक्षमता

  मालवेयरले हटाउन सकिने मिडियाको सूची प्राप्त गर्दछ। मालवेयरको प्रतिलिपि नामको साथ मिडिया फाइल प्रणालीको रूटमा सिर्जना गरिएको छ Sys.exe। Autorun फाइल प्रयोग गरेर लागू गरिएको छ autorun.inf.

  

आक्रमणकारी प्रोफाइल

कमाण्ड सेन्टरको विश्लेषणको क्रममा, विकासकर्ताको इमेल र उपनाम स्थापना गर्न सम्भव थियो - Razer, उर्फ ​​Brwa, Brwa65, HiDDen PerSON, 404 Coder। अर्को, हामीले YouTube मा एक रोचक भिडियो फेला पार्‍यौं जसले निर्माणकर्तासँग काम गर्ने प्रदर्शन गर्दछ।

यसले मूल विकासकर्ता च्यानल फेला पार्न सम्भव बनायो।

यो स्पष्ट भयो कि उहाँसँग क्रिप्टोग्राफरहरू लेख्ने अनुभव थियो। सामाजिक सञ्जालहरूमा पृष्ठहरूमा लिङ्कहरू पनि छन्, साथै लेखकको वास्तविक नाम। उनी इराकका बासिन्दा हुन् ।

यो एक 404 Keylogger विकासकर्ता जस्तो देखिन्छ। उनको व्यक्तिगत फेसबुक प्रोफाइलबाट फोटो।

CERT Group-IB ले एउटा नयाँ खतरा घोषणा गरेको छ - 404 Keylogger - एक XNUMX-घण्टा निगरानी र प्रतिक्रिया केन्द्र फर साइबर खतराहरू (SOC) बहराइनमा।

स्रोत: www.habr.com