W ostatnich latach mobilne trojany aktywnie zastępują trojany dla komputerów osobistych, więc pojawienie się nowego szkodliwego oprogramowania dla starych, dobrych „samochodów” i ich aktywne wykorzystanie przez cyberprzestępców, choć jest to nieprzyjemne wydarzenie, nadal jest wydarzeniem. Niedawno Centrum Reagowania na Incydenty Bezpieczeństwa Informacji Grupy CERT-IB XNUMX/XNUMX wykryło nietypową wiadomość phishingową, która ukrywała nowe złośliwe oprogramowanie dla komputerów PC, łączące funkcje Keyloggera i PasswordStealera. Uwagę analityków zwróciło to, w jaki sposób spyware dostało się na maszynę użytkownika – za pomocą popularnego komunikatora głosowego. Ilja Pomerancew, ekspert ds. analizy szkodliwego kodu CERT Group-IB, opowiedział, jak działa szkodliwe oprogramowanie, dlaczego jest niebezpieczne, a nawet znalazł jego twórcę – w odległym Iraku.
Więc chodźmy po kolei. Pod pozorem załącznika taki list zawierał zdjęcie, po kliknięciu którego użytkownik trafiał na stronę cdn.discordapp.com, skąd został pobrany szkodliwy plik.
Korzystanie z Discord, bezpłatnego komunikatora głosowego i tekstowego, jest całkiem proste. Zwykle do tych celów wykorzystywane są inne komunikatory lub sieci społecznościowe.
Podczas bardziej szczegółowej analizy zidentyfikowano rodzinę złośliwego oprogramowania. Okazało się, że jest to nowość na rynku złośliwego oprogramowania — 404 Keyloggera.
Pierwsze ogłoszenie o sprzedaży keyloggera pojawiło się na stronie hackfora użytkownika pod pseudonimem „404 Coder” 8 sierpnia.
Domena sklepu została zarejestrowana całkiem niedawno - 7 września 2019 r.
Według twórców na stronie 404projekty[.]xyz, 404 to narzędzie stworzone, aby pomóc firmom dowiedzieć się o działaniach ich klientów (za ich zgodą) lub dla tych, którzy chcą zabezpieczyć swój plik binarny przed inżynierią wsteczną. Patrząc w przyszłość, powiedzmy, że z ostatnim zadaniem 404 zdecydowanie nie działa.
Postanowiliśmy rozwiązać jeden z plików i sprawdzić, co to jest „BEST SMART KEYLOGGER”.
Ekosystem HPE
Program ładujący 1 (AtillaCrypter)
Oryginalny plik jest chroniony przez EaxObfuscator i wykonuje załadunek dwuetapowy WProtect z sekcji zasobów. Podczas analizy innych próbek znalezionych na VirusTotal stało się jasne, że ten etap nie był przewidziany przez samego dewelopera, ale został dodany przez jego klienta. Później okazało się, że tym bootloaderem jest AtillaCrypter.
Ładowarka 2 (AtProtect)
W rzeczywistości ten program ładujący jest integralną częścią szkodliwego oprogramowania i zdaniem twórcy powinien przejąć funkcję analizy kontrującej.
Jednak w praktyce mechanizmy ochrony są niezwykle prymitywne, a nasze systemy skutecznie wykrywają to złośliwe oprogramowanie.
Główny moduł jest ładowany za pomocą Franczyzowy kod Shell różne wersje. Nie wykluczamy jednak, że można skorzystać z innych opcji, np. UruchomPE.
Plik konfiguracyjny
Naprawa w systemie
Naprawę w systemie zapewnia bootloader WProtectjeśli ustawiona jest odpowiednia flaga.
- Plik jest kopiowany wzdłuż ścieżki %AppData%GFqaakZpzwm.exe.
- Trwa tworzenie pliku %AppData%GFqaakWinDriv.url, uruchamianie Zpzwm.exe.
- W oddziale HKCUOprogramowanieMicrosoftWindowsAktualna wersjaUruchom generowany jest klucz startowy WinDrive.url.
Interakcja z C&C
Ładowarka AtProtect
Jeśli obecna jest odpowiednia flaga, złośliwe oprogramowanie może uruchomić ukryty proces iexplorer i kliknij podany link, aby powiadomić serwer o udanej infekcji.
złodziej danych
Niezależnie od zastosowanej metody komunikacja sieciowa rozpoczyna się od pozyskania zewnętrznego adresu IP ofiary korzystającej z zasobu [http]://checkip[.]dyndns[.]org/.
User-Agent: Mozilla/4.0 (kompatybilny; MSIE 6.0; Windows NT 5.2; .NET CLR1.0.3705;)
Ogólna struktura wiadomości jest taka sama. Tytuł obecny
|——- 404 Keylogger — {Typ} ——-|Gdzie {typ} odpowiada rodzajowi przesyłanych informacji.
Poniżej informacje o systemie:
_______ + INFORMACJE O OFIARIE + _______
IP: {zewnętrzny adres IP}
Nazwa właściciela: {nazwa komputera}
Nazwa systemu operacyjnego: {nazwa systemu operacyjnego}
Wersja systemu operacyjnego: {wersja systemu operacyjnego}
Platforma systemu operacyjnego: {platforma}
Rozmiar pamięci RAM: {Rozmiar pamięci RAM}
______________________________
I wreszcie przesyłane dane.
SMTP
Temat e-maila wygląda następująco: 404K | {typ wiadomości} | Nazwa klienta: {nazwa użytkownika}.
Co ciekawe, aby dostarczać listy do klienta 404 Keyloggera używany jest serwer SMTP dewelopera.
Umożliwiło to zidentyfikowanie niektórych klientów, a także poczty jednego z programistów.
FTP
Podczas korzystania z tej metody zebrane informacje są zapisywane do pliku i natychmiast stamtąd odczytywane.
Logika tego działania nie jest do końca jasna, ale tworzy dodatkowy artefakt do pisania reguł behawioralnych.
%HOMEDRIVE%%HOMEPATH%DocumentsA{Numer niestandardowy}.txt
pastebin
W momencie analizy metoda ta wykorzystywana jest wyłącznie do przekazywania skradzionych haseł. Co więcej, jest używany nie jako alternatywa dla dwóch pierwszych, ale równolegle. Warunek jest wartością stałej równej „Vavaa”. Przypuszczalnie jest to nazwa klienta.
Interakcja odbywa się za pośrednictwem protokołu https za pośrednictwem interfejsu API pastebin. Oznaczający api_paste_private równa się WKLEJ_NIELISTED, co uniemożliwia przeszukiwanie takich stron pastebin.
Algorytmy szyfrowania
Pobieranie pliku z zasobów
Ładunek jest przechowywany w zasobach programu ładującego WProtect w postaci bitmap. Ekstrakcja odbywa się w kilku etapach:
- Tablica bajtów jest wyodrębniana z obrazu. Każdy piksel jest traktowany jako sekwencja 3 bajtów w kolejności BGR. Po ekstrakcji pierwsze 4 bajty tablicy przechowują długość wiadomości, kolejne - samą wiadomość.
- Klucz jest obliczany. W tym celu MD5 jest obliczana na podstawie wartości „ZpzwmjMJyfTNiRalKVrcSkxCN” określonej jako hasło. Wynikowy skrót jest zapisywany dwukrotnie.
- Deszyfrowanie odbywa się za pomocą algorytmu AES w trybie EBC.
Złośliwa funkcjonalność
Downloader
Zaimplementowane w bootloaderze WProtect.
- Odwołanie przez [aktywna wymiana linków] żądany jest status serwera o gotowości do oddania pliku. Serwer powinien wrócić "NA".
- Łącze [link do pobrania-zastąp] ładunek jest pobierany.
- Z FranczyShellcode ładunek jest wstrzykiwany do procesu [wtrysk-wymiana].
Podczas analizy domeny 404projekty[.]xyz dodatkowe przypadki zostały zidentyfikowane w VirusTotal 404 Keyloggera, a także kilka rodzajów ładowarek.
Konwencjonalnie dzielą się na dwa typy:
- Ładowanie odbywa się z zasobu 404projekty[.]xyz.
Dane są zakodowane w standardzie Base64 i szyfrowane AES. - Ta opcja składa się z kilku etapów i najprawdopodobniej jest używana w połączeniu z bootloaderem WProtect.
- W pierwszym etapie dane są ładowane z pastebin i dekodowane za pomocą funkcji HexToByte.
- W drugim etapie źródłem pobierania jest samo 404projekty[.]xyz. Jednocześnie funkcje dekompresji i dekodowania są podobne do tych, które można znaleźć w DataStealer. Prawdopodobnie pierwotnie planowano zaimplementować funkcjonalność modułu ładującego w module głównym.
- W tym momencie ładunek znajduje się już w manifeście zasobów w postaci skompresowanej. Podobne funkcje ekstrakcji znaleziono również w module głównym.
Wśród analizowanych plików znaleziono programy ładujące njSzczur, SpyGate i inne RAT.
Keylogger
Okres wysyłania dziennika: 30 minut.
Obsługiwane są wszystkie znaki. Znaki specjalne są zmieniane. Istnieje przetwarzanie klawiszy BackSpace i Delete. Rejestracja jest brana pod uwagę.
rejestrator schowka
Okres wysyłania dziennika: 30 minut.
Okres odpytywania bufora: 0,1 sekundy.
Zaimplementowano uciekanie linków.
Rejestrator ekranu
Okres wysyłania dziennika: 60 minut.
Zrzuty ekranu są zapisywane w %HOMEDRIVE%%HOMEPATH%Documents404k404pic.png.
Po przesłaniu folderu 404k jest usunięty.
Złodziej haseł
Przeglądarki | Klienci poczty e-mail | Klienci FTP |
---|---|---|
Chrom | Outlook | fileZilla |
Firefox | Thunderbird | |
SeaMonkey | foxmail | |
Icedragon | ||
Blady księżyc | ||
Cyberfox | ||
Chrom | ||
Odważna przeglądarka | ||
Przeglądarka QQ | ||
Przeglądarka Iridium | ||
Przeglądarka Xvast | ||
Chedot | ||
360Przeglądarka | ||
Smok Komodo | ||
360 Chrome | ||
Super Ptak | ||
Przeglądarka Cent | ||
Przeglądarka Ghost | ||
Przeglądarka IronBrowser | ||
chrom | ||
Vivaldi | ||
Przeglądarka Slimjet | ||
orbita | ||
CocCoc | ||
Pochodnia | ||
Przeglądarka UC | ||
Epicka przeglądarka | ||
Przeglądarka Blisk | ||
Opera |
Sprzeciw wobec analizy dynamicznej
- Sprawdzenie, czy proces jest w trakcie analizy
Przeprowadzane poprzez wyszukiwanie procesów taskmgr, Proces Hacker, procexp64, procexp, promon. Jeśli zostanie znaleziony co najmniej jeden, złośliwe oprogramowanie zakończy działanie.
- Sprawdzanie, czy znajdujesz się w środowisku wirtualnym
Przeprowadzane poprzez wyszukiwanie procesów vmtoolsd, Usługa uwierzytelniania VGA, vmacthlp, Usługa VBox, VBoxTray. Jeśli zostanie znaleziony co najmniej jeden, złośliwe oprogramowanie zakończy działanie.
- Zasnąć na 5 sekund
- Demonstracja różnych typów okien dialogowych
Może być użyty do ominięcia niektórych piaskownic.
- Omiń UAC
Wykonywane przez edycję klucza rejestru EnableLUA w ustawieniach zasad grupy.
- Zastosuj atrybut Ukryty do bieżącego pliku.
- Możliwość usunięcia bieżącego pliku.
Nieaktywne funkcje
Podczas analizy modułu ładującego i modułu głównego znaleziono funkcje, które odpowiadają za dodatkową funkcjonalność, ale nigdzie nie są używane. Wynika to prawdopodobnie z faktu, że szkodliwe oprogramowanie jest wciąż w fazie rozwoju, a jego funkcjonalność zostanie wkrótce rozszerzona.
Ładowarka AtProtect
Znaleziono funkcję odpowiedzialną za ładowanie i wstrzykiwanie do procesu msiexec.exe dowolny moduł.
złodziej danych
- Naprawa w systemie
- Funkcje dekompresji i deszyfrowania
Prawdopodobnie wkrótce zostanie wdrożone szyfrowanie danych podczas interakcji w sieci. - Kończenie procesów antywirusowych
zlklient | Dvp95_0 | Pavsched | średnia serw9 |
np | Ecenina | Pawł | avgserv9schedapp |
bdagent | Bezpieczny | PCCIOMON | śr |
npfmsg | Espwatch | PCCMAIN | ashwebsv |
olydbg | F-Agnt95 | pccwin98 | popiół |
anubis | Znajdź wirusa | Pcfwallicon | ashmaisv |
Wireshark | fprot | Perfw | popiół |
Avastui | F-Prot | POP3TRAP | aswUpdSv |
_Śr32 | F-Prot95 | PWID95 | symws |
vsmon | Wygraj FP | rav7 | norton |
mbam | frw | Rav7win | Autoochrona Nortona |
szyfrator kluczy | F-Stopw | Ratowanie | norton_av |
_Śrpcc | imapp | Bezpieczna sieć | Nortonav |
_Śr.pm | Iamserv | Scan32 | ccsetmgr |
Potwierdź32 | Ibmasn | Scan95 | ccevtmgr |
Placówka | Ibmavsp | skanpm | awadmin |
Anty-trojan | Icload95 | Skanuj | Avcenter |
ANTYWIR | Ładowanie | serw95 | śr |
Apvxdwin | imon | smc | awangarda |
TOR | Icsupp95 | SERWIS SMC | avnotify |
automatyczne wyłączanie | Icsuppnt | Parsknięcie | avscan |
AVconsol | Spotykam | Sfinks | strażnik |
Śr32 | Iomon98 | Zamiatanie 95 | skinienie głową32krn |
Śr | Jedi | SYMPROKSYSVC | nod32kui |
Avkserv | Blokada2000 | Tbskan | małż |
Avnt | Uważaj | ok | taca z małżami |
AVP | Luall | Tds2-98 | małżWin |
śr.32 | mcafee | Tds2-Nt | freshclam |
śr.pc | Mooliwy | TerminNET | oladyn |
Avpdos32 | mpftray | Weterynarz95 | narzędzie do znakowania |
Śr | Skanowanie N32 | Vettaray | w9xpopen |
Avptc32 | NAVAPSVC | Vscan40 | Zamknąć |
Śr | NAVAPW32 | Vsecomr | cmgrdian |
Avsched32 | NAVLU32 | Vshwin32 | alogserv |
AVSYNMGR | Navnt | Vsstat | mcshield |
Avwin95 | NAVRUNR | webscanx | vshwin32 |
Avwupd32 | Navw32 | PUŁAPKA SIECIOWA | avconsol |
czarny | Nawigacja | Wfindv32 | vsstat |
Czarny lód | neowatch | Alarm strefy | avsynmgr |
cfiadmin | NISSERV | BLOKADA2000 | avcmd |
Cfiaudyt | Nisum | RATUNEK32 | avconfig |
Cfinet | n główny | LUCOMSERWER | limgr |
Cfinet32 | normista | średnio | harmonogram |
Pazur95 | NORTON | średnio | przygotowanie |
pazur95cf | Uaktualnienie | średnia | MsMpInż |
Odkurzacz | Nvc95 | śr.gpsvc | MSASCui |
Sprzątaczka 3 | Placówka | śr | Avira.Systray |
Defwatch | Admin | śr.cc32 | |
Dvp95 | pavcl | śr.serw |
- Samozniszczenie
- Ładowanie danych z określonego zasobu manifestu
- Kopiowanie pliku wzdłuż ścieżki %Temp%tmpG[Aktualna data i godzina w milisekundach].tmp
Co ciekawe, identyczna funkcja występuje w złośliwym oprogramowaniu AgentTesla. - Funkcjonalność robaka
Złośliwe oprogramowanie otrzymuje listę nośników wymiennych. Kopia złośliwego oprogramowania jest tworzona w katalogu głównym systemu plików multimedialnych z nazwą sys.exe. Autostart jest realizowany przy użyciu pliku autorun.inf.
Profil atakującego
Podczas analizy centrum dowodzenia udało się ustalić pocztę i pseudonim dewelopera - Razer, czyli Brwa, Brwa65, HiDDen PerSOn, 404 Coder. Ponadto na YouTube znaleziono interesujący film, który pokazuje pracę z konstruktorem.
Umożliwiło to znalezienie oryginalnego kanału deweloperskiego.
Stało się jasne, że ma doświadczenie w pisaniu programów kryptograficznych. Istnieją również linki do stron w sieciach społecznościowych, a także prawdziwe nazwisko autora. Okazało się, że to mieszkaniec Iraku.
Tak podobno wygląda programista 404 Keylogger. Zdjęcie z jego osobistego profilu na Facebooku.
Grupa CERT-IB ogłosiła nowe zagrożenie – 404 Keylogger – całodobowe centrum monitorowania i reagowania na zagrożenia cybernetyczne (SOC) w Bahrajnie.
Źródło: www.habr.com