De siste årene har mobile trojanere aktivt erstattet trojanere for personlige datamaskiner, så fremveksten av ny skadelig programvare for de gode gamle "bilene" og deres aktive bruk av nettkriminelle, selv om det er ubehagelig, er fortsatt en begivenhet. Nylig oppdaget CERT Group-IBs XNUMX/XNUMX responssenter for informasjonssikkerhet hendelser en uvanlig phishing-e-post som skjulte en ny PC-skadevare som kombinerer funksjonene til Keylogger og PasswordStealer. Analytikernes oppmerksomhet ble trukket mot hvordan spionprogrammet kom inn på brukerens maskin – ved hjelp av en populær talemelding. Ilya Pomerantsev, en spesialist på malwareanalyse ved CERT Group-IB, forklarte hvordan skadelig programvare fungerer, hvorfor den er farlig, og fant til og med skaperen i det fjerne Irak.
Så, la oss gå i rekkefølge. Under dekke av et vedlegg inneholdt et slikt brev et bilde, ved å klikke på hvilket brukeren ble ført til nettstedet cdn.discordapp.com, og en ondsinnet fil ble lastet ned derfra.
Å bruke Discord, en gratis tale- og tekstmelding, er ganske ukonvensjonelt. Vanligvis brukes andre direktemeldinger eller sosiale nettverk til disse formålene.
Under en mer detaljert analyse ble en familie av skadelig programvare identifisert. Det viste seg å være en nykommer på malware-markedet - 404 Keylogger.
Den første annonsen for salg av en keylogger ble lagt ut på hackfora av bruker under kallenavnet "404 Coder" 8. august.
Butikkdomenet ble registrert ganske nylig - 7. september 2019.
Som utviklerne sier på nettstedet 404projects[.]xyz, 404 er et verktøy utviklet for å hjelpe bedrifter med å lære om kundenes aktiviteter (med deres tillatelse) eller for de som ønsker å beskytte sin binære fil mot omvendt utvikling. Ser vi fremover, la oss si det med den siste oppgaven 404 takler det definitivt ikke.
Vi bestemte oss for å reversere en av filene og sjekke hva "BEST SMART KEYLOGGER" er.
Økosystem for skadelig programvare
Loader 1 (AtillaCrypter)
Kildefilen er beskyttet ved hjelp av EaxObfuscator og utfører to-trinns lasting AtProtect fra ressursdelen. Under analysen av andre prøver funnet på VirusTotal ble det klart at dette stadiet ikke ble levert av utvikleren selv, men ble lagt til av hans klient. Det ble senere bestemt at denne bootloaderen var AtillaCrypter.
Bootloader 2 (AtProtect)
Faktisk er denne lasteren en integrert del av skadelig programvare, og i henhold til utviklerens intensjon bør den ta på seg funksjonaliteten til å motvirke analyse.
I praksis er imidlertid beskyttelsesmekanismene ekstremt primitive, og systemene våre oppdager denne skadelige programvaren.
Hovedmodulen lastes vha Franchy ShellCode forskjellige versjoner. Vi utelukker imidlertid ikke at andre alternativer kunne vært brukt, f.eks. RunPE.
Konfigurasjonsfil
Konsolidering i systemet
Konsolidering i systemet er sikret av bootloader AtProtect, hvis det tilsvarende flagget er satt.
- Filen kopieres langs banen %AppData%GFqaakZpzwm.exe.
- Filen blir opprettet %AppData%GFqaakWinDriv.url, lansering Zpzwm.exe.
- I tråden HKCUSoftwareMicrosoftWindowsCurrentVersionRun en oppstartsnøkkel opprettes WinDriv.url.
Interaksjon med C&C
Loader AtProtect
Hvis det riktige flagget er til stede, kan skadelig programvare starte en skjult prosess iexplorer og følg den angitte koblingen for å varsle serveren om vellykket infeksjon.
DataStealer
Uavhengig av metoden som brukes, begynner nettverkskommunikasjon med å skaffe den eksterne IP-en til offeret ved å bruke ressursen [http]://checkip[.]dyndns[.]org/.
Brukeragent: Mozilla/4.0 (kompatibel; MSIE 6.0; Windows NT 5.2; .NET CLR1.0.3705;)
Den generelle strukturen i meldingen er den samme. Overskrift til stede
|——- 404 Keylogger — {Type} ——-|Der {type} tilsvarer typen informasjon som overføres.
Følgende er informasjon om systemet:
_______ + OFFERINFO + _______
IP: {Ekstern IP}
Eiernavn: {Datamaskinnavn}
OS-navn: {OS-navn}
OS-versjon: {OS-versjon}
OS-plattform: {Plattform}
RAM-størrelse: {RAM-størrelse}
______________________________
Og til slutt, de overførte dataene.
SMTP
Emnet for brevet er som følger: 404 K | {Meldingstype} | Klientnavn: {Username}.
Interessant nok, å levere brev til klienten 404 Keylogger Utviklernes SMTP-server brukes.
Dette gjorde det mulig å identifisere enkelte klienter, samt e-posten til en av utviklerne.
FTP
Når du bruker denne metoden, lagres den innsamlede informasjonen i en fil og leses umiddelbart derfra.
Logikken bak denne handlingen er ikke helt klar, men den skaper en ekstra artefakt for å skrive atferdsregler.
%HOMEDRIVE%%HOMEPATH%DocumentsA{Vilkårlig nummer}.txt
Pastebin
På analysetidspunktet brukes denne metoden kun til å overføre stjålne passord. Dessuten brukes den ikke som et alternativ til de to første, men parallelt. Betingelsen er verdien av konstanten lik "Vavaa". Antagelig er dette kundens navn.
Interaksjon skjer via https-protokollen via API pastebin. Betydning api_paste_private er PASTE_UNLISTED, som forbyr søk etter slike sider i pastebin.
Krypteringsalgoritmer
Henter en fil fra ressurser
Nyttelasten lagres i oppstartslasterressurser AtProtect i form av bitmap-bilder. Utvinning utføres i flere stadier:
- En rekke byte trekkes ut fra bildet. Hver piksel behandles som en sekvens på 3 byte i BGR-rekkefølge. Etter ekstraksjon lagrer de første 4 bytene av matrisen lengden på meldingen, de påfølgende lagrer selve meldingen.
- Nøkkelen beregnes. For å gjøre dette, beregnes MD5 fra verdien "ZpzwmjMJyfTNiRalKVrcSkxCN" spesifisert som passord. Den resulterende hashen skrives to ganger.
- Dekryptering utføres ved hjelp av AES-algoritmen i ECB-modus.
Ondsinnet funksjonalitet
Downloader
Implementert i bootloader AtProtect.
- Ved å kontakte [activelink-repalce] Serverens status blir bedt om å bekrefte at den er klar til å betjene filen. Serveren skal komme tilbake "PÅ".
- linken [nedlastingslink-erstatt] Nyttelasten lastes ned.
- Med FranchyShell-kode nyttelasten injiseres i prosessen [inj-erstatt].
Under domeneanalyse 404projects[.]xyz ytterligere forekomster ble identifisert på VirusTotal 404 Keylogger, samt flere typer lastere.
Konvensjonelt er de delt inn i to typer:
- Nedlasting utføres fra ressursen 404projects[.]xyz.
Data er Base64-kodet og AES-kryptert. - Dette alternativet består av flere stadier og brukes mest sannsynlig i forbindelse med en bootloader AtProtect.
- I det første trinnet lastes data fra pastebin og dekodes ved hjelp av funksjonen HexToByte.
- På det andre trinnet er kilden til lasting 404projects[.]xyz. Imidlertid er dekompresjons- og dekodingsfunksjonene lik de som finnes i DataStealer. Det var sannsynligvis opprinnelig planlagt å implementere bootloader-funksjonaliteten i hovedmodulen.
- På dette stadiet er nyttelasten allerede i ressursmanifestet i komprimert form. Lignende ekstraksjonsfunksjoner ble også funnet i hovedmodulen.
Nedlastere ble funnet blant de analyserte filene njRat, SpyGate og andre RAT-er.
Keylogger
Logg sendeperiode: 30 minutter.
Alle karakterer støttes. Spesialtegn unnslippes. Det er behandling for BackSpace- og Delete-tastene. Skiller mellom store og små bokstaver.
ClipboardLogger
Logg sendeperiode: 30 minutter.
Bufferavstemningsperiode: 0,1 sekunder.
Implementert link-escape.
Skjermlogger
Logg sendeperiode: 60 minutter.
Skjermbilder lagres i %HOMEDRIVE%%HOMEPATH%Documents404k404pic.png.
Etter sending av mappen 404k er fjernet.
PasswordStealer
lesere | E-postklienter | FTP-klienter |
---|---|---|
Chrome | Outlook | fileZilla |
Firefox | Thunderbird | |
SeaMonkey | Foxmail | |
Icedragon | ||
PaleMoon | ||
Cyberfox | ||
Chrome | ||
BraveBrowser | ||
QQBrowser | ||
IridiumBrowser | ||
XvastBrowser | ||
Chedot | ||
360-nettleser | ||
ComodoDragon | ||
360 Krom | ||
SuperBird | ||
CentBrowser | ||
GhostBrowser | ||
IronBrowser | ||
Chromium | ||
Vivaldi | ||
SlimjetBrowser | ||
Orbitum | ||
CocCoc | ||
Torch | ||
UCB-nettleser | ||
EpicBrowser | ||
BliskBrowser | ||
Opera |
Motvirkning til dynamisk analyse
- Sjekke om en prosess er under analyse
Utføres ved hjelp av prosesssøk Oppgave, ProcessHacker, procexp64, procexp, påkalle. Hvis minst en blir funnet, avsluttes skadelig programvare.
- Sjekker om du er i et virtuelt miljø
Utføres ved hjelp av prosesssøk vmtoolsd, VGAuthService, vmacthlp, VBoxService, VBoxTray. Hvis minst en blir funnet, avsluttes skadelig programvare.
- Sovner i 5 sekunder
- Demonstrasjon av ulike typer dialogbokser
Kan brukes til å omgå noen sandkasser.
- Omgå UAC
Utføres ved å redigere registernøkkelen EnableLUA i gruppepolicyinnstillinger.
- Bruker "Skjult"-attributtet på gjeldende fil.
- Evne til å slette gjeldende fil.
Inaktive funksjoner
Under analysen av bootloaderen og hovedmodulen ble det funnet funksjoner som var ansvarlige for tilleggsfunksjonalitet, men de brukes ikke noe sted. Dette skyldes sannsynligvis at skadevaren fortsatt er under utvikling og funksjonaliteten vil bli utvidet snart.
Loader AtProtect
Det ble funnet en funksjon som er ansvarlig for lasting og injisering i prosessen Msiexec.exe vilkårlig modul.
DataStealer
- Konsolidering i systemet
- Dekompresjon og dekryptering funksjoner
Det er sannsynlig at datakryptering under nettverkskommunikasjon snart vil bli implementert. - Avslutte antivirusprosesser
zlclient | Dvp95_0 | Pavsched | avgserv9 |
egui | Ecengine | Pavw | avgserv9schedapp |
bdagent | Esafe | PCCIOMON | avgemc |
npfmsg | Espwatch | PCCMAIN | ashwebsv |
olydbg | F-Agnt95 | Pccwin98 | askedisp |
anubis | Finnvir | Pcfwallicon | ashmaisv |
Wireshark | Fprot | Persfw | ashserv |
avastui | F-PROT | POP3TRAP | aswUpdSv |
_Avp32 | F-Prot95 | PVIEW95 | symwsc |
vsmon | Fp-vinn | Rav7 | norton |
mbam | Frw | Rav7win | Norton Auto-Protect |
keyscrambler | F-Stoppw | Rescue | norton_av |
_Avpcc | Iamapp | Safeweb | nortonav |
_Avpm | Iamserv | Scan32 | ccsetmgr |
Ackwin32 | Ibmasn | Scan95 | ccevtmgr |
Outpost | Ibmavsp | Skann pm | avadmin |
Anti-Trojan | Icload95 | Scrscan | avcenter |
ANTIVIR | Icloadnt | Serv95 | gjennomsnittlig |
Apvxdwin | Icmon | smc | avguard |
ET SPOR | Icsupp95 | SMCSERVICE | avnotify |
Autoned | Icsuppnt | Snort | avscan |
Avconsol | Jeg står overfor | Sphinx | guardgui |
Ave32 | Iomon98 | Fei 95 | nod32krn |
Avgctrl | Jedi | SYMPROXYSVC | nod32kui |
Avkserv | Lockdown 2000 | Tbscan | clamscan |
Avn | Lookout | TCA | clamTray |
AVP | Luall | Tds2-98 | clamWin |
Avp32 | mcafee | Tds2-Nt | freshclam |
Avpcc | Moolive | TermiNET | oladdin |
Avpdos32 | MPftray | Vet95 | sigtool |
Avpm | N32scanw | Vettray | w9xpopen |
Avptc32 | NAVAPSVC | Vscan40 | Lukk |
Avpupd | NAVAPW32 | Vsecomr | cmgrdian |
Avsched32 | NAVLU32 | Vshwin32 | alogserv |
AVSYNMGR | Navnt | Vsstat | mcshield |
Avwin95 | NAVRUNR | Webscanx | vshwin32 |
Avwupd32 | Navw32 | NETTFELLE | avconsol |
Blackd | Navwnt | Wfindv32 | vsstat |
Svart is | NeoWatch | Zonealarm | avsynmgr |
Cfiadmin | NISSERV | LOCKDOWN2000 | avcmd |
Cfirevisjon | Nisum | REDNING32 | avconfig |
Cfinet | Nmain | LUCOMSERVER | licmgr |
Cfinet32 | Normist | avgcc | planlegge |
Klo95 | NORTON | avgcc | preupd |
Claw95cf | Oppgrader | avgamsvr | MsMpEng |
Renere | Nvc95 | avgupsvc | MSASCui |
Rengjøringsmiddel 3 | Outpost | avgw | Avira.Systray |
Defwatch | Padmin | avgcc32 | |
Dvp95 | Pavcl | avgserv |
- Selvutslettelse
- Laster inn data fra det angitte ressursmanifestet
- Kopiere en fil langs en bane %Temp%tmpG[Gjeldende dato og klokkeslett i millisekunder].tmp
Interessant nok er det en identisk funksjon i AgentTesla malware. - Ormefunksjonalitet
Skadevaren mottar en liste over flyttbare medier. En kopi av skadelig programvare opprettes i roten av mediefilsystemet med navnet Sys.exe. Autorun implementeres ved hjelp av en fil autorun.inf.
Angriperprofil
Under analysen av kommandosenteret var det mulig å etablere e-post og kallenavn til utvikleren - Razer, aka Brwa, Brwa65, HiDDen PerSOn, 404 Coder. Deretter fant vi en interessant video på YouTube som demonstrerer arbeidet med byggherren.
Dette gjorde det mulig å finne den originale utviklerkanalen.
Det ble klart at han hadde erfaring med å skrive kryptografer. Det er også lenker til sider på sosiale nettverk, samt forfatterens virkelige navn. Han viste seg å være bosatt i Irak.
Dette er hvordan en 404 Keylogger-utvikler visstnok ser ut. Bilde fra hans personlige Facebook-profil.
CERT Group-IB har annonsert en ny trussel - 404 Keylogger - et XNUMX-timers overvåkings- og responssenter for cybertrusler (SOC) i Bahrain.
Kilde: www.habr.com