De afgelopen jaren hebben mobiele Trojaanse paarden actief Trojaanse paarden voor pc's vervangen, dus de opkomst van nieuwe malware voor de goede oude 'auto's' en het actieve gebruik ervan door cybercriminelen, hoewel onaangenaam, is nog steeds een gebeurtenis. Onlangs heeft het XNUMX/XNUMX responscentrum voor informatiebeveiligingsincidenten van CERT Group-IB een ongebruikelijke phishing-e-mail gedetecteerd die nieuwe pc-malware verborg die de functies van Keylogger en PasswordStealer combineert. De aandacht van analisten werd gevestigd op de manier waarop de spyware op de computer van de gebruiker terechtkwam - met behulp van een populaire voice messenger. Ilja Pomerantsev, een malware-analysespecialist bij CERT Group-IB, legde uit hoe de malware werkt, waarom deze gevaarlijk is, en vond de maker ervan zelfs in het verre Irak.
Laten we dus in volgorde gaan. Onder het mom van een bijlage bevatte zo'n brief een foto, waarna de gebruiker bij het aanklikken naar de site werd geleid cdn.discordapp.com, en daar werd een kwaadaardig bestand gedownload.
Het gebruik van Discord, een gratis spraak- en sms-messenger, is behoorlijk onconventioneel. Meestal worden voor deze doeleinden andere instant messengers of sociale netwerken gebruikt.
Tijdens een meer gedetailleerde analyse werd een familie van malware geïdentificeerd. Het bleek een nieuwkomer op de malwaremarkt te zijn - 404 Keylogger.
De eerste advertentie voor de verkoop van een keylogger werd geplaatst op hackforums door een gebruiker onder de bijnaam “404 Coder” op 8 augustus.
Het winkeldomein is vrij recent geregistreerd - op 7 september 2019.
Zoals de ontwikkelaars op de website zeggen 404projecten[.]xyz, 404 is een tool die is ontworpen om bedrijven te helpen meer te weten te komen over de activiteiten van hun klanten (met hun toestemming) of voor degenen die hun binaire bestanden willen beschermen tegen reverse engineering. Vooruitkijkend, laten we dat zeggen bij de laatste taak 404 valt absoluut niet mee.
We hebben besloten een van de bestanden om te keren en te controleren wat “BEST SMART KEYLOGGER” is.
Malware-ecosysteem
Lader 1 (AtillaCrypter)
Het bronbestand is beveiligd met EaxObfuscator en voert laden in twee stappen uit BijProtect uit het bronnengedeelte. Tijdens de analyse van andere monsters gevonden op VirusTotal werd duidelijk dat deze fase niet door de ontwikkelaar zelf was geleverd, maar door zijn klant was toegevoegd. Later werd vastgesteld dat deze bootloader AtillaCrypter was.
Bootloader 2 (AtProtect)
In feite is deze lader een integraal onderdeel van de malware en zou hij, volgens de bedoeling van de ontwikkelaar, de functionaliteit van tegenanalyse moeten overnemen.
In de praktijk zijn de beschermingsmechanismen echter uiterst primitief en onze systemen detecteren deze malware met succes.
De hoofdmodule wordt geladen met Franchy ShellCode verschillende versies. We sluiten echter niet uit dat andere opties hadden kunnen worden gebruikt, bijvoorbeeld Voer PE uit.
Configuratiebestand
Consolidatie in het systeem
Consolidatie in het systeem wordt verzekerd door de bootloader BijProtect, als de overeenkomstige vlag is ingesteld.
- Het bestand wordt langs het pad gekopieerd %AppData%GFqaakZpzwm.exe.
- Het bestand is gemaakt %AppData%GFqaakWinDriv.url, lancering Zpzwm.exe.
- In de draad HKCUSoftwareMicrosoftWindowsHuidigeVersieUitvoeren er wordt een opstartsleutel gemaakt WinDriv.url.
Interactie met C&C
Lader AtProtect
Als de juiste vlag aanwezig is, kan de malware een verborgen proces starten IExplorer en volg de opgegeven link om de server op de hoogte te stellen van een succesvolle infectie.
GegevensStealer
Ongeacht de gebruikte methode begint netwerkcommunicatie met het verkrijgen van het externe IP-adres van het slachtoffer dat de bron gebruikt [http]://checkip[.]dyndns[.]org/.
User-agent: Mozilla/4.0 (compatibel; MSIE 6.0; Windows NT 5.2; .NET CLR1.0.3705;)
De algemene structuur van het bericht is hetzelfde. Kop aanwezig
|——- 404 Keylogger — {Type} ——-|Waar {type} komt overeen met het soort verzonden informatie.
Hieronder vindt u informatie over het systeem:
_______ + SLACHTOFFERINFO + _______
IP: {Extern IP}
Naam eigenaar: {Computernaam}
OS-naam: {OS-naam}
OS-versie: {OS-versie}
OS-platform: {Platform}
RAM-grootte: {RAM-grootte}
______________________________
En ten slotte de verzonden gegevens.
SMTP
Het onderwerp van de brief luidt als volgt: 404 K | {Berichttype} | Klantnaam: {Gebruikersnaam}.
Interessant genoeg om brieven aan de klant te bezorgen 404 Keylogger Er wordt gebruik gemaakt van de SMTP-server van de ontwikkelaar.
Dit maakte het mogelijk om enkele klanten te identificeren, evenals het e-mailadres van een van de ontwikkelaars.
FTP
Bij gebruik van deze methode wordt de verzamelde informatie opgeslagen in een bestand en van daaruit onmiddellijk uitgelezen.
De logica achter deze actie is niet helemaal duidelijk, maar het creëert een extra artefact voor het schrijven van gedragsregels.
%HOMEDRIVE%%HOMEPATH%DocumentenA{Willekeurig nummer}.txt
Pastebin
Op het moment van analyse wordt deze methode alleen gebruikt om gestolen wachtwoorden over te dragen. Bovendien wordt het niet als alternatief voor de eerste twee gebruikt, maar parallel. De voorwaarde is de waarde van de constante gelijk aan “Vavaa”. Vermoedelijk is dit de naam van de cliënt.
Interactie vindt plaats via het https-protocol via de API pastebin. Betekenis api_paste_private is PASTE_UNLISTED, waardoor het zoeken naar dergelijke pagina's in pastebin.
Encryptie-algoritmen
Een bestand ophalen uit bronnen
De payload wordt opgeslagen in bootloader-bronnen BijProtect in de vorm van bitmapafbeeldingen. Extractie wordt in verschillende fasen uitgevoerd:
- Er wordt een array van bytes uit de afbeelding gehaald. Elke pixel wordt behandeld als een reeks van 3 bytes in BGR-volgorde. Na extractie slaan de eerste 4 bytes van de array de lengte van het bericht op, de daaropvolgende bytes het bericht zelf.
- De sleutel wordt berekend. Om dit te doen, wordt MD5 berekend op basis van de waarde “ZpzwmjMJyfTNiRalKVrcSkxCN” die als wachtwoord is opgegeven. De resulterende hash wordt tweemaal geschreven.
- De decodering wordt uitgevoerd met behulp van het AES-algoritme in de ECB-modus.
Schadelijke functionaliteit
Downloader
Geïmplementeerd in de bootloader BijProtect.
- Door contact op te nemen [activelink-vervanging] De status van de server wordt gevraagd om te bevestigen dat deze klaar is om het bestand te serveren. De server zou moeten terugkeren "AAN".
- de link [downloadlink-vervangen] De payload wordt gedownload.
- Met FranchyShellcode de lading wordt in het proces geïnjecteerd [inj-vervangen].
Tijdens domeinanalyse 404projecten[.]xyz Er zijn aanvullende exemplaren geïdentificeerd op VirusTotal 404 Keylogger, evenals verschillende soorten laders.
Conventioneel zijn ze verdeeld in twee typen:
- Het downloaden wordt uitgevoerd vanaf de bron 404projecten[.]xyz.
Gegevens zijn Base64-gecodeerd en AES-gecodeerd. - Deze optie bestaat uit verschillende fasen en wordt hoogstwaarschijnlijk gebruikt in combinatie met een bootloader BijProtect.
- In de eerste fase worden gegevens geladen van pastebin en gedecodeerd met behulp van de functie HexToByte.
- In de tweede fase is de bron van belasting de 404projecten[.]xyz. De decompressie- en decoderingsfuncties zijn echter vergelijkbaar met die in DataStealer. Waarschijnlijk was het oorspronkelijk de bedoeling om de bootloader-functionaliteit in de hoofdmodule te implementeren.
- In dit stadium bevindt de payload zich al in het resourcemanifest in gecomprimeerde vorm. Soortgelijke extractiefuncties werden ook gevonden in de hoofdmodule.
Onder de geanalyseerde bestanden zijn downloaders aangetroffen njRat, SpyGate en andere RAT's.
Keylogger
Verzendperiode log: 30 minuten.
Alle karakters worden ondersteund. Speciale tekens worden geëscaped. Er vindt verwerking plaats voor de BackSpace- en Delete-toetsen. Hoofdlettergevoelig.
KlembordLogger
Verzendperiode log: 30 minuten.
Bufferpolingperiode: 0,1 seconden.
Geïmplementeerde link-escape.
ScreenLogger
Verzendperiode log: 60 minuten.
Schermafbeeldingen worden opgeslagen in %HOMEDRIVE%%HOMEPATH%Documenten404k404pic.png.
Na het versturen van de map 404k is verwijderd.
WachtwoordStealer
Browsers | Mail-clients | FTP-clients |
---|---|---|
Chrome | Outlook | FileZilla |
Firefox | Thunderbird | |
SeaMonkey | Foxmail | |
Icedragon | ||
Flauwe maan | ||
cybervos | ||
Chrome | ||
BraveBrowser | ||
QQBrowser | ||
IridiumBrowser | ||
XvastBrowser | ||
Chedot | ||
360 Browser | ||
ComodoDraak | ||
360Chroom | ||
SuperVogel | ||
CentBrowser | ||
GhostBrowser | ||
IronBrowser | ||
Chromium | ||
Vivaldi | ||
Slimjet-browser | ||
orbitum | ||
CocCoc | ||
Fakkel | ||
UC browser | ||
Epische Browser | ||
BliskBrowser | ||
Opera |
Tegenreactie op dynamische analyse
- Controleren of een proces wordt geanalyseerd
Uitgevoerd met behulp van proceszoeken taskmgr, ProcessHacker, procesexp64, procesexp, procomon. Als er minstens één wordt gevonden, wordt de malware afgesloten.
- Controleren of u zich in een virtuele omgeving bevindt
Uitgevoerd met behulp van proceszoeken vmtoolsd, VGAuthService, vmacthlp, VBoxService, VBoxTray. Als er minstens één wordt gevonden, wordt de malware afgesloten.
- 5 seconden in slaap vallen
- Demonstratie van verschillende soorten dialoogvensters
Kan worden gebruikt om enkele sandboxes te omzeilen.
- Omzeil UAC
Uitgevoerd door de registersleutel te bewerken EnableLUA in Groepsbeleid-instellingen.
- Past het kenmerk "Verborgen" toe op het huidige bestand.
- Mogelijkheid om het huidige bestand te verwijderen.
Inactieve functies
Tijdens de analyse van de bootloader en de hoofdmodule zijn functies gevonden die verantwoordelijk waren voor extra functionaliteit, maar deze worden nergens gebruikt. Dit komt waarschijnlijk doordat de malware nog in ontwikkeling is en de functionaliteit binnenkort zal worden uitgebreid.
Lader AtProtect
Er is een functie gevonden die verantwoordelijk is voor het laden en injecteren in het proces msiexec.exe willekeurige module.
GegevensStealer
- Consolidatie in het systeem
- Decompressie- en decoderingsfuncties
Het is waarschijnlijk dat data-encryptie tijdens netwerkcommunicatie binnenkort zal worden geïmplementeerd. - Antivirusprocessen beëindigen
zlclient | Dvp95_0 | Pavsched | gemserv9 |
egui | Ecmotor | Pavw | avgserv9schedapp |
bdagent | Esafe | PCCIOMON | gemiddeld |
npfmsg | Espwatch | PCCMAIN | aswebbenv |
olydbg | F-Agnt95 | Pccwin98 | asdisp |
Anubis | Vindvir | Pcfwallicon | asmaisv |
wireshark | Fprot | Pers | asserv |
avastui | F-Prot | POP3TRAP | aswUpdSv |
_Avp32 | F-Prot95 | PVIEW95 | symwsc |
vsmon | Fp-Win | Rav7 | norton |
mbam | Frw | Rav7win | Norton Auto Protect |
sleutelscrambler | F-Stopw | Redden | norton_av |
_Avpcc | Ikapp | Safeweb | nortonav |
_Gevpm | Ikserv | Scan32 | ccsetmgr |
Acwin32 | Ibmasn | Scan95 | ccevtmgr |
Buitenpost | Ibmavsp | Scan pm | avadmin |
Anti-Trojaans | Icload95 | Scrscan | avcentrum |
AntiVir | Ik laad niet | Serv95 | gem |
Apvxdwin | Ikoon | smc | voorhoede |
EEN SPOOR | Icsupp95 | SMCSERVICE | avnotify |
Automatisch uitschakelen | Ik ondersteunt | snuiven | avscan |
Avconsol | gezicht | Sfinx | bewakergui |
Ave32 | Iomon98 | Vegen95 | knik32krn |
Gem.ctrl | Jedi | SYMPROXYSVC | knik32kui |
Avkserv | Vergrendeling2000 | Tbscan | schelpdieren |
Avnt | Pas op | Tca | clamdienblad |
AvP | Lual | Tds2-98 | clamWin |
Avp32 | mcafee | Tds2-Nt | freshclam |
Avpcc | Moolief | TermiNET | Oladdin |
Avpdos32 | MPftray | Dierenarts95 | sigtool |
Gem | N32scanw | Vetbak | w9xopen |
Avptc32 | NAVAPSVC | Vscan40 | Dichtbij |
Avp | NAVAPW32 | Vsecomr | cmgrdiaans |
Avsched32 | NAVLU32 | Vshwin32 | alogserv |
AVSYNMGR | Navnt | VSstat | mcshield |
Avwin95 | NAVRUNR | Webscanx | vshwin32 |
Avwupd32 | Navw32 | WEBTRAP | avconsol |
zwart | Navwnt | Wfindv32 | vsstat |
Zwart ijs | NeoWatch | ZoneAlarm | avsynmgr |
Cfiadmin | NISSERV | LOCKDOWN2000 | avcmd |
Cfiaudit | Nisum | REDDING32 | avconfig |
Cfinet | Nhoofd | LUCOMSERVER | licgr |
Cfinet32 | Normist | gemcc | gepland |
Klauw95 | NORTON | gemcc | vooraf |
Klauw95cf | Nupgrade | Avgamsvr | MsMpEng |
schoonmaakster | Nvc95 | gemupsvc | MSASCui |
Schoner3 | Buitenpost | gem | Avira.Systray |
Defwatch | Padmin | gemcc32 | |
Dvp95 | Pavcl | gem.serv |
- Zelfvernietiging
- Gegevens laden uit het opgegeven bronmanifest
- Een bestand langs een pad kopiëren %Temp%tmpG[Huidige datum en tijd in milliseconden].tmp
Interessant is dat een identieke functie aanwezig is in de AgentTesla-malware. - Worm-functionaliteit
De malware ontvangt een lijst met verwijderbare media. Er wordt een kopie van de malware gemaakt in de root van het mediabestandssysteem met de naam Sys.exe. Autorun wordt geïmplementeerd met behulp van een bestand autorun.inf.
Aanvaller profiel
Tijdens de analyse van het commandocentrum was het mogelijk om het e-mailadres en de bijnaam van de ontwikkelaar vast te stellen: Razer, ook bekend als Brwa, Brwa65, HiDDen PerSOn, 404 Coder. Vervolgens vonden we op YouTube een interessante video waarin het werken met de bouwer wordt gedemonstreerd.
Hierdoor werd het mogelijk om het oorspronkelijke ontwikkelaarskanaal te vinden.
Het werd duidelijk dat hij ervaring had met het schrijven van cryptografen. Er zijn ook links naar pagina's op sociale netwerken, evenals de echte naam van de auteur. Hij bleek een inwoner van Irak te zijn.
Dit is hoe een 404 Keylogger-ontwikkelaar eruit zou moeten zien. Foto van zijn persoonlijke Facebook-profiel.
CERT Group-IB heeft een nieuwe dreiging aangekondigd - 404 Keylogger - een XNUMX-uurs monitoring- en responscentrum voor cyberdreigingen (SOC) in Bahrein.
Bron: www.habr.com