Keylogger med en overraskelse: analyse av keylogger og dekanon for utvikleren

I de senere årene har mobile trojanere aktivt erstattet PC-trojanere, så fremveksten av ny skadelig programvare som retter seg mot disse pålitelige enhetene og deres utbredte bruk av nettkriminelle er uheldig, men likevel en utvikling. Nylig oppdaget Group-IBs døgnåpne CERT (Communications Emergency Response Center) en uvanlig phishing-e-post forkledd som et nytt PC-skadelig programvareprogram som kombinerte Keylogger- og PasswordStealer-funksjonalitet. Analytikere ble tiltrukket av metoden som spionprogrammet ble infiltrert på brukerens maskin med – via en populær talemeldingstjeneste. Ilya PomerantsevEn spesialist på skadevareanalyse fra CERT Group-IB forklarte hvordan skadevaren fungerer, farene dens og til og med at dens skaper fant sted – i det fjerne Irak.

Så, la oss gå steg for steg. Denne e-posten inneholdt et bilde som vedlegg, som, når man klikket på det, tok brukeren til et nettsted. cdn.discordapp.com, og en skadelig fil ble lastet ned derfra.

Det er ganske ukonvensjonelt å bruke Discord, en gratis tale- og tekstmeldingsapp. Vanligvis brukes andre meldingsapper eller sosiale nettverk til disse formålene.

En mer detaljert analyse identifiserte skadevarefamilien. Det viste seg å være en nykommer på markedet for skadevare— 404-nøkkellogger.

Den første annonsen for salg av en keylogger ble lagt ut på hackforum av en bruker med kallenavnet «404-koder» 8. august.

Butikkens domene ble registrert ganske nylig – 7. september 2019.

Som utviklerne forsikrer på nettsiden 404prosjekter[.]xyz, 404 — er et verktøy utviklet for å hjelpe bedrifter med å lære om kundenes handlinger (med deres tillatelse) eller som trengs av de som ønsker å beskytte binærfilene sine mot reverse engineering. Når vi ser fremover, vil vi si at sistnevnte oppgave 404 Det fungerer definitivt ikke.

Vi bestemte oss for å reversere utviklingen av en av filene og sjekke hva den «BESTE SMARTE KEYLOGGEREN» handler om.

Økosystem for skadelig programvare

Bootloader 1 (AtillaCrypter)

Den opprinnelige filen er beskyttet med EaxObfuscator og utfører en to-trinns nedlasting AtProtect fra ressursdelen. Analyse av andre eksempler funnet på VirusTotal avslørte at dette trinnet ikke var ment av utvikleren, men ble lagt til av klienten. Det ble senere fastslått at denne lasteren var AtillaCrypter.

Laster 2 (AtProtect)

Faktisk er denne lasteren en integrert del av skadevaren, og i henhold til utviklerens intensjon skal den ta på seg funksjonaliteten til motanalyse.

I praksis er imidlertid beskyttelsesmekanismene ekstremt primitive, og systemene våre oppdager denne skadelige programvaren.

Hovedmodulen lastes inn ved hjelp av Franchy ShellCode ulike versjoner. Vi utelukker imidlertid ikke at andre alternativer kunne ha blitt brukt, for eksempel, RunPE.

Konfigurasjonsfil

Konsolidering i systemet

Bootloaderen sørger for at systemet er fikset. AtProtect, hvis det tilsvarende flagget er satt.

• Filen kopieres langs stien %AppData%GFqaakZpzwm.exe.
• En fil opprettes %AppData%GFqaakWinDrive.url, lansering Zpzwm.exe.
• I tråden HKCU-programvare MicrosoftWindowsCurrentVersionRun en oppstartsnøkkel opprettes WinDrive.url.

Samhandling med C&C

AtProtect-laster

Hvis det tilsvarende flagget er til stede, kan skadevaren starte en skjult prosess. iexplorer og følg lenken som er oppgitt for å varsle serveren om vellykket infeksjon.

DataStealer

Uansett hvilken metode som brukes, begynner nettverksinteraksjonen med å innhente offerets eksterne IP-adresse ved hjelp av en ressurs. [http]://checkip[.]dyndns[.]org/.

Brukeragent: Mozilla/4.0 (kompatibel; MSIE 6.0; Windows NT 5.2; .NET CLR1.0.3705;)

Den generelle strukturen i meldingen er den samme. Det er en overskrift.
|——- 404 Tastelogger — {Type} ——-|Der {type} samsvarer med typen informasjon som overføres.
Følgende er informasjon om systemet:

_______ + OFFERINFORMASJON + _______

IP: {Ekstern IP}
Eiernavn: {Datamaskinnavn}
OS-navn: {OS-navn}
OS-versjon: {OS-versjon}
OS-plattform: {Plattform}
RAM-størrelse: {RAM-størrelse}
______________________________

Og til slutt, dataene som overføres.

SMTP

Emnet for brevet er som følger: 404 K | {Meldingstype} | Klientnavn: {Brukernavn}.

Det er interessant at for levering av brev til klienten 404-nøkkellogger Utviklerens SMTP-server brukes.

Dette gjorde det mulig å identifisere noen klienter, samt e-postadressen til en av utviklerne.

FTP

Når du bruker denne metoden, lagres den innsamlede informasjonen i en fil og leses derfra umiddelbart.

Logikken bak denne handlingen er ikke helt klar, men den skaper en ekstra artefakt for å skrive atferdsregler.

%HOMEDRIVE%%HOMEPATH%DocumentsA{Et hvilket som helst tall}.txt

Pastebin

På analysetidspunktet brukes denne metoden utelukkende til å overføre stjålne passord. Dessuten brukes den parallelt med de to første metodene, ikke som et alternativ. Betingelsen er konstantverdien «Vavaa», antagelig klientens navn.

Samhandling skjer via https-protokollen gjennom et API pastebin. Betydning api_paste_privat er Lim inn_ikke_oppført, som forbyr søking etter slike sider i pastebin.

Krypteringsalgoritmer

Utpakking av en fil fra ressurser

Nyttelasten er lagret i lasterressursene. AtProtect i form av bitmap-bilder. Utvinningen utføres i flere trinn:

• En matrise med byte hentes fra bildet. Hver piksel behandles som en sekvens på tre byte i BGR-rekkefølge. Etter uttrekking lagrer de første fire bytene i matrisen meldingslengden, og de påfølgende fire bytene lagrer selve meldingen.

  

• Nøkkelen beregnes. For å gjøre dette beregnes MD5 fra verdien «ZpzwmjMJyfTNiRalKVrcSkxCN» som er spesifisert som passord. Den resulterende hashen skrives to ganger.

  

• Dekryptering utføres ved hjelp av AES-algoritmen i ECB-modus.

Ondsinnet funksjonalitet

Downloader

Implementert i bootloader AtProtect.

• Ved anke [activelink-erstatning] Serverstatusen blir forespurt angående om den er klar til å levere filen. Serveren må returnere "PÅ".
• linken [nedlastingslenke-erstatt] Nyttelasten lastes ned.
• Med FranchyShellcode nyttelasten injiseres i prosessen [inj-erstatt].

Under domeneanalysen 404prosjekter[.]xyz ytterligere forekomster ble identifisert på VirusTotal 404-nøkkellogger, samt flere typer lastere.

Konvensjonelt er de delt inn i to typer:

1. Nedlastingen gjøres fra ressursen 404prosjekter[.]xyz.

   
   Dataene er Base64-kodet og AES-kryptert.

2. Dette alternativet består av flere trinn og brukes mest sannsynlig i forbindelse med oppstartslasteren. AtProtect.

• I første trinn lastes dataene inn fra pastebin og dekodes ved hjelp av funksjonen Heksadesimal til byte.

  

• I det andre trinnet er lastekilden seg selv 404prosjekter[.]xyzDekompresjons- og dekodingsfunksjonene ligner på de som finnes i DataStealer. Det er sannsynlig at den opprinnelige planen var å implementere lasterfunksjonaliteten i hovedmodulen.

  

• På dette stadiet er nyttelasten allerede i ressursmanifestet i komprimert form. Lignende utvinningsfunksjoner ble også funnet i hovedmodulen.

Lastere ble funnet blant de analyserte filene. njRat, SpyGate og andre RAT-er.

Keylogger

Sendeperiode for logg: 30 minutter.

Alle tegn støttes. Spesialtegn er escape-tegn. BackSpace- og Delete-tastene støttes. Det skilles mellom store og små bokstaver.

UtklippstavleLogger

Sendeperiode for logg: 30 minutter.

Bufferavspørringsperiode: 0,1 sekunder.

Lenkeescape er implementert.

Skjermlogger

Sendeperiode for logg: 60 minutter.

Skjermbilder lagres i %HOMEDRIVE%%HOMEPATH%Dokumenter404k404bilde.png.

Etter å ha sendt mappen 404k er slettet.

Passordtyveri

Motvirkende dynamisk analyse

• Sjekke om en prosess er under analyse

  Det utføres ved hjelp av prosessøk Oppgave, ProsessHacker, procexp64, procexp, prokmonHvis minst én blir funnet, avsluttes skadevaren.

• Sjekker om du er i et virtuelt miljø

  Det utføres ved hjelp av prosessøk vmtoolsd, VGAuth-tjeneste, vmacthlp, VBoxService, VBoxTrayHvis minst én blir funnet, avsluttes skadevaren.

• Sovner i 5 sekunder
• Demonstrasjon av ulike typer dialogbokser

  Kan brukes til å omgå noen sandkasser.

• Omgå UAC

  Det utføres ved å redigere en registernøkkel. EnableLUA i gruppepolicyinnstillingene.

• Bruk attributtet Skjult på gjeldende fil.
• Mulighet til å slette gjeldende fil.

Inaktive funksjoner

Analyse av oppstartslasteren og hovedmodulen avdekket funksjoner som er ansvarlige for tilleggsfunksjonalitet, men de brukes ikke noe sted. Dette er sannsynligvis fordi skadevaren fortsatt er under utvikling, og funksjonaliteten vil bli utvidet snart.

AtProtect-laster

En funksjon som er ansvarlig for lasting og injisering i prosessen ble funnet Msiexec.exe vilkårlig modul.

DataStealer

• Konsolidering i systemet

  

• Dekompresjons- og dekrypteringsfunksjoner

  
  
  Datakryptering for nettverkskommunikasjon vil sannsynligvis bli implementert snart.

• Avslutte antivirusprosesser

• Selvutslettelse
• Laster inn data fra det angitte ressursmanifestet

  

• Kopiere en fil til en sti %Temp%tmpG[Gjeldende dato og klokkeslett i millisekunder].tmp

  
  Interessant nok finnes en identisk funksjon i AgentTesla-programvaren.

• Ormfunksjonalitet

  Skadevaren mottar en liste over flyttbare medier. En kopi av skadevaren opprettes i roten av mediets filsystem med navnet Sys.exeAutostart implementeres ved hjelp av en fil autorun.inf.

  

Angriperprofil

Mens vi analyserte kommandosenteret, klarte vi å identifisere utviklerens e-postadresse og brukernavn: Razer, også kjent som Brwa, Brwa65, HiDDen PerSOn, 404 Coder. Deretter fant vi en interessant YouTube-video som demonstrerte byggeren.

Dette gjorde det mulig å finne den opprinnelige utviklerkanalen.

Det ble klart at han hadde erfaring med å skrive kryptovalutaer. Det var også lenker til sider på sosiale medier, samt forfatterens virkelige navn. Han viste seg å være bosatt i Irak.

Slik skal utvikleren av 404 Keylogger visstnok se ut. Bildet er fra hans personlige Facebook-profil.

Group-IBs CERT, et døgnåpent senter (SOC) for overvåking og respons på cybersikkerhetstrusler i Bahrain, har utstedt et nytt varsel – 404 Keylogger.

Kilde: www.habr.com