په وروستي کلونو کې، ګرځنده ټروجن په فعاله توګه د شخصي کمپیوټرونو لپاره د Trojans ځای نیسي، نو د ښه زاړه "موټرو" لپاره د نوي مالویر ظهور او د سایبر جنایتکارانو لخوا د دوی فعاله کارول، که څه هم ناخوښه، لاهم یوه پیښه ده. په دې وروستیو کې، د CERT ګروپ-IB د 24/7 معلوماتو امنیتي پیښو غبرګون مرکز یو غیر معمولي فشینګ بریښنالیک کشف کړ چې د کمپیوټر نوي مالویر پټوي چې د کیلوګر او پاسورډ سټیلر دندې ترکیب کوي. د شنونکو پام دې ته راواړول شو چې څنګه د یو مشهور غږ رسولو په کارولو سره د کارونکي ماشین ته سپایویر ورسید. Ilya Pomerantsevپه CERT Group-IB کې د مالویر تحلیل متخصص، تشریح کړه چې مالویر څنګه کار کوي، ولې خطرناک دی، او حتی په عراق کې یې جوړونکی موندلی.
نو، راځئ چې په ترتیب سره لاړ شو. د ضمیمې په څیر، دا ډول لیک یو انځور لري، په کلیک کولو سره چې کارن سایټ ته لیږدول شوی و. cdn.discordapp.com، او له هغه ځایه یو ناوړه فایل ډاونلوډ شوی و.
د ډیسکارډ کارول ، د وړیا غږ او متن میسینجر ، خورا غیر دودیز دی. عموما، نور فوري پیغام رسونکي یا ټولنیز شبکې د دې موخو لپاره کارول کیږي.
د یو ډیر مفصل تحلیل په جریان کې، د مالویر یوه کورنۍ وپیژندل شوه. دا د مالویر بازار ته نوی راغلی - 404 Keylogger.
د keylogger د خرڅلاو لپاره لومړی اعلان په پوسته شوی و هیک فورمونه د اګست په 404 د "8 کوډر" مستعار نوم لاندې د کارونکي لخوا.
د پلورنځي ډومین په دې وروستیو کې ثبت شوی و - د سپتمبر په 7، 2019.
لکه څنګه چې پراختیا کونکي په ویب پاڼه کې وايي 404 پروژې[.]xyz, 404 یوه وسیله ده چې د شرکتونو سره د خپلو پیرودونکو فعالیتونو په اړه زده کړې (د دوی په اجازې سره) یا د هغو کسانو لپاره چې غواړي خپل بائنری د ریورس انجینرۍ څخه خوندي کړي ډیزاین کړي. مخ ته ګورو، راځئ چې د وروستي کار سره ووایو 404 حتماً مقابله نه کوي.
موږ پریکړه وکړه چې یو له فایلونو څخه راوګرځوو او وګورو چې "غوره سمارټ کیلوګر" څه شی دی.
د مالویر ایکوسیستم
لوډر 1 (AtillaCrypter)
د سرچینې فایل په کارولو سره خوندي شوی EaxObfuscator او دوه مرحلې بار کول ترسره کوي AtProtect د سرچینو برخې څخه. په VirusTotal کې موندل شوي د نورو نمونو تحلیل په جریان کې، دا څرګنده شوه چې دا مرحله پخپله د پراختیا کونکي لخوا نه وه چمتو شوې، مګر د هغه د پیرودونکي لخوا اضافه شوې. وروسته معلومه شوه چې دا بوټلوډر AtillaCrypter و.
بوټلوډر 2 (AtProtect)
په حقیقت کې ، دا لوډر د مالویر لازمي برخه ده او د پراختیا کونکي ارادې سره سم باید د تحلیل ضد فعالیت فعالیت په غاړه واخلي.
په هرصورت، په عمل کې، د ساتنې میکانیزمونه خورا ابتدايي دي، او زموږ سیسټمونه په بریالیتوب سره دا مالویر کشف کوي.
اصلي ماډل په کارولو سره بار شوی فرانچي شیل کوډ مختلف نسخې. په هرصورت، موږ دا نه ردوو چې نور انتخابونه کارول کیدی شي، د بیلګې په توګه، رن ای پی.
د ترتیب فایل
په سیسټم کې یووالی
په سیسټم کې یوځای کول د بوټلوډر لخوا تضمین کیږي AtProtect، که اړونده بیرغ ترتیب شوی وي.
- فایل د لارې په اوږدو کې کاپي شوی %AppData%GFqaakZpzwm.exe.
- فایل به جوړ شي %AppData%GFqaakWinDriv.urlپیل کول Zpzwm.exe.
- په تار کې HKCUSsoftwareMicrosoftWindowsCurrentVersionRun د پیل کولو کیلي رامینځته کیږي WinDriv.url.
د C&C سره تعامل
Loader AtProtect
که مناسب بیرغ شتون ولري، مالویر کولی شي پټه پروسه پیل کړي iexplorer او ټاکل شوې لینک تعقیب کړئ ترڅو سرور ته د بریالي انفیکشن په اړه خبر ورکړئ.
ډاټا سټیلر
پرته له دې چې کارول شوي میتود ته په پام سره، د شبکې اړیکه د سرچینې په کارولو سره د قرباني بهرني IP ترلاسه کولو سره پیل کیږي [http]://checkip[.]dyndns[.]org/.
د کارونکي ایجنټ: موزیلا/4.0 (مطابق؛ MSIE 6.0؛ وینډوز NT 5.2؛ .NET CLR1.0.3705؛)
د پیغام عمومي جوړښت ورته دی. سرلیک حاضر دی
|——- 404 Keylogger — {ډول} ——-|چیرته {ډول} د لیږد شوي معلوماتو ډول سره مطابقت لري.
لاندې د سیسټم په اړه معلومات دي:
________ + د قربانیانو معلومات + _______
IP: {بهرنی IP}
د مالک نوم: {د کمپیوټر نوم}
د OS نوم: {OS نوم}
د OS نسخه: {OS نسخه}
د OS پلیټ فارم: {پلیټ فارم}
د رام اندازه: {RAM اندازه}
______________________________
او په پای کې، لیږدول شوي ډاټا.
SMTP
د مکتوب موضوع په لاندې ډول ده: 404 K | {د پیغام ډول} | د پیرودونکي نوم: {کارن نوم}.
په زړه پورې، مراجعینو ته د لیکونو رسولو لپاره 404 Keylogger د پراختیا کونکو SMTP سرور کارول کیږي.
دې کار دا ممکنه کړه چې ځینې پیرودونکي وپیژني، په بیله بیا د یو پراختیا کونکي بریښنالیک.
FTP
کله چې دا طریقه کاروئ، راټول شوي معلومات په فایل کې خوندي کیږي او سمدلاسه له هغه ځایه لوستل کیږي.
د دې عمل تر شا منطق په بشپړه توګه روښانه نه دی، مګر دا د چلند قواعدو لیکلو لپاره اضافي آثار رامینځته کوي.
%HOMEDRIVE%%HOMEPATH% سندونهA{حساب نمبر}.txt
Pastebin
د تحلیل په وخت کې، دا طریقه یوازې د غلا شوي پاسورډونو لیږدولو لپاره کارول کیږي. سربیره پردې، دا د لومړي دوه لپاره د بدیل په توګه نه کارول کیږي، مګر په موازي توګه. شرط د "واوا" سره مساوي ثابت ارزښت دی. شاید دا د پیرودونکي نوم وي.
تعامل د API له لارې د https پروتوکول له لارې پیښیږي پیسټبین. مطلب api_paste_private مساوي PASTE_UNLISTED, کوم چې د دې ډول پاڼو لټون منع کوي پیسټبین.
د کوډ کولو الګوریتم
د سرچینو څخه د فایل ترلاسه کول
تادیه د بوټلوډر سرچینو کې زیرمه شوې AtProtect د Bitmap انځورونو په بڼه. استخراج په څو مرحلو کې ترسره کیږي:
- د انځور څخه د بایټونو یو لړۍ ایستل کیږي. هر پکسل د BGR ترتیب کې د 3 بایټس ترتیب په توګه چلند کیږي. د استخراج وروسته، د سرې لومړی 4 بایټ د پیغام اوږدوالی ذخیره کوي، وروسته بیا پیغام پخپله ذخیره کوي.
- کلیمه محاسبه کیږي. د دې کولو لپاره، MD5 د "ZpzwmjMJyfTNiRalKVrcSkxCN" ارزښت څخه محاسبه کیږي چې د پاسورډ په توګه مشخص شوي. پایله لرونکی هش دوه ځله لیکل شوی.
- ډیکریپشن په ECB حالت کې د AES الګوریتم په کارولو سره ترسره کیږي.
ناوړه فعالیت
ښکته
په بوټلوډر کې تطبیق شوی AtProtect.
- په تماس کې [فعال لینک-ریپلس] د سرور حالت غوښتنه کیږي چې تایید کړي چې دا د فایل خدمت کولو لپاره چمتو دی. سرور باید بیرته راشي "پر".
- لینک [د لینک بدلولو ډاونلوډ کړئ] پېلوډ ډاونلوډ شوی دی.
- د مرستې په مرسته FranchyShellcode تادیه په پروسه کې داخلیږي [انج-بدلون].
د ډومین تحلیل په جریان کې 404 پروژې[.]xyz اضافي مثالونه په VirusTotal کې پیژندل شوي 404 Keylogger، او همدارنګه د لوډرونو ډیری ډولونه.
په دودیز ډول، دوی په دوه ډوله ویشل شوي دي:
- ډاونلوډ کول د سرچینې څخه ترسره کیږي 404 پروژې[.]xyz.
ډاټا بیس 64 کوډ شوی او AES کوډ شوی دی. - دا اختیار په څو مرحلو مشتمل دی او ډیری احتمال د بوټلوډر سره په ګډه کارول کیږي AtProtect.
- په لومړي مرحله کې، ډاټا له دې څخه ډکیږي پیسټبین او د فنکشن په کارولو سره ډیکوډ شوی HexToByte.
- په دوهم پړاو کې، د بارولو سرچینه ده 404 پروژې[.]xyz. په هرصورت، د ډیکمپریشن او کوډ کولو افعال ورته ورته دي چې په ډیټا سټیلر کې موندل شوي. دا شاید په اصل کې پلان شوی و چې په اصلي ماډل کې د بوټلوډر فعالیت پلي کړي.
- په دې مرحله کې، تادیه لا دمخه د سرچینې په شکل کې په کمپریس شوي بڼه کې ده. د استخراج ورته دندې هم په اصلي ماډل کې موندل شوي.
ډاونلوډونکي د تحلیل شوي فایلونو په مینځ کې وموندل شول njRat, SpyGate او نور RATs.
کیليګر
د ننوتلو موده: 30 دقیقې.
ټول کرکټرونه ملاتړ کیږي. ځانګړي کرکټرونه تښتیدلي دي. د BackSpace او Delete کیلي لپاره پروسس کیږي. حساس مقدمه.
کلپبورډ لاګر
د ننوتلو موده: 30 دقیقې.
د رای ورکولو بفر موده: 0,1 ثانیې.
تطبیق شوي لینک فرار.
ScreenLogger
د ننوتلو موده: 60 دقیقې.
سکرین شاټونه په کې خوندي شوي %HOMEDRIVE%%HOMEPATH% اسناد404k404pic.png.
د فولډر لیږلو وروسته 404k حذف کیږي
پټنوم غلا کوونکی
| براوزرونه | میل مشتریان | د FTP پیرودونکي |
|---|---|---|
| کروم | Outlook | فایلزیلا |
| د فایرفوکس | تندرډر | |
| سمندر سمندري | فاکس میل | |
| icedragon | ||
| پیلیمون | ||
| سایبر فاکس | ||
| کروم | ||
| زړور براوزر | ||
| QQBrowser | ||
| Iridium براوزر | ||
| XvastBrowser | ||
| چیډوټ | ||
| 360 براوزر | ||
| کوموډوډریګن | ||
| 360Chrome | ||
| سوپربرډ | ||
| CentBrowser | ||
| GhostBrowser | ||
| د اوسپنې براوزر | ||
| کروموم | ||
| ویالیلدي | ||
| SlimjetBrowser | ||
| مدار | ||
| کوکوک | ||
| تورچ | ||
| UCBrowser | ||
| EpicBrowser | ||
| BliskBrowser | ||
| اوپرا |
د متحرک تحلیل سره مقابله
- چک کول چې ایا پروسه تر تحلیل لاندې ده
د پروسې لټون په کارولو سره ترسره کیږي کاريګرم, ProcessHacker, procexp64, procexp, procmon. که لږترلږه یو وموندل شي، مالویر وځي.
- چک کول که تاسو په مجازی چاپیریال کې یاست
د پروسې لټون په کارولو سره ترسره کیږي vmtoolsd, VGAuthService, vmacthlp, VBoxService, VBoxTray. که لږترلږه یو وموندل شي، مالویر وځي.
- د 5 ثانیو لپاره خوب کول
- د ډیالوګ بکسونو مختلف ډولونو ښودل
د ځینې شګو بکسونو څخه د تیریدو لپاره کارول کیدی شي.
- د UAC بای پاس
د راجسټری کیلي ترمیم کولو سره ترسره شوی EnableLUA د ګروپ پالیسۍ ترتیباتو کې.
- اوسني فایل ته د "پټ" خاصیت پلي کوي.
- د اوسني فایل حذف کولو وړتیا.
غیر فعال ځانګړتیاوې
د بوټلوډر او اصلي ماډل د تحلیل په جریان کې، داسې فعالیتونه وموندل شول چې د اضافي فعالیت لپاره مسؤل وو، مګر دوی چیرته نه کارول کیږي. دا شاید د دې حقیقت له امله وي چې مالویر لاهم په پراختیا کې دی او فعالیت به ډیر ژر پراخ شي.
Loader AtProtect
یو فنکشن وموندل شو چې په پروسه کې د بارولو او انجیکشن لپاره مسؤل دی msiexec.exe خپلمنځي ماډل.
ډاټا سټیلر
- په سیسټم کې یووالی
- د کمپریشن او ډیکریپشن دندې
دا احتمال شته چې د شبکې اړیکو په جریان کې د معلوماتو کوډ کول به ډیر ژر پلي شي. - د انټي ویروس پروسې ختمول
| zlclient | Dvp95_0 | Pavsched | اوسط9 |
| egui | اکسین | Pavw | avgserv9schedapp |
| bdagent | ایساف | PCIOMON | avgemc |
| npfmsg | Espwatch | PCCMAIN | ashwebsv |
| olydbg | F-Agnt95 | Pccwin98 | ashdisp |
| aubis | Findvir | Pcfwallicon | ashmaisv |
| ویسټشیر | Fprot | Persfw | ashserv |
| avastui | F-Prot | POP3TRAP | aswUpdSv |
| _Avp32 | F-Prot95 | PVIEW95 | symwsc |
| vsmon | Fp-Win | راو 7 | Norton |
| mbam | Frw | Rav7win | نورټون اتومات محافظت |
| کیسکریبلر | F-Stopw | د ژغورنې د | norton_av |
| _Avpcc | Iamapp | سیف ویب | نورتوناو |
| _Avpm | Iamserv | سکین 32 | ccsetmgr |
| اکوین۳۲ | Ibmasn | سکین 95 | ccevtmgr |
| پوسټ | Ibmavsp | Scanpm | avadmin |
| د ټروجن ضد | Icload95 | سکرین | مرکز |
| ANTIVIR | آیکلوډنټ | خدمت95 | اوسط |
| Apvxdwin | Icmon | Smc | ساتونکی |
| ATRACK | Icsupp95 | SMCSERVICE | خبرتیا |
| اتوماتیک | Icsupnt | سحر | avscan |
| Avconsol | Iface | په منڅنی | guardgui |
| Ave32 | Iomon98 | سویپ95 | nod32krn |
| Avgctrl | Jedi | SYMPROXYSVC | nod32kui |
| Avkserv | لاک ډاون 2000 | Tbscan | clamscan |
| Avnt | پام کوه | Tca | clamTray |
| Avp | لول | Tds2-98 | clamWin |
| Avp32 | mcafee | Tds2-Nt | تازه کښته |
| avpcc | مولوي | TermiNET | عمرالدین |
| Avpdos32 | MPftray | Vet95 | sigtool |
| Avpm | N32scanw | ویټری | w9xpopen |
| Avptc32 | NAVAPSVC | Vscan40 | تړل |
| avpupd | NAVAPW32 | د Vsecomr | cmgrdian |
| Avsched32 | NAVLU32 | Vshwin32 | alogserv |
| AVSYNMGR | نوټ | Vsstat | mcshield |
| Avwin95 | NAVRUNR | ویبسکانکس | vshwin32 |
| Avwupd32 | Navw32 | ویبټراپ | avconsol |
| تور | نیوونټ | Wfindv32 | vsstat |
| بلیکیس | NeoWatch | زون الارم | avsynmgr |
| Cfiadmin | NISSERV | LOCKDOWN2000 | avcmd |
| Cfiaudit | نسیم | RESCUE32 | avconfig |
| Cfinet | نوم | LUCOMSERVER | licmgr |
| Cfinet32 | نورمست | avgcc | مهالویش |
| کلی95 | نورتون | avgcc | preupd |
| Claw95cf | نوي کول | avgamsvr | MsMpEng |
| پاکونکی | Nvc95 | avgupsvc | MSASCui |
| کلینر3 | پوسټ | avgw | Avira.Systray |
| Defwatch | پډمین | avgcc32 | |
| Dvp95 | Pavcl | اوسط |
- ځان تباه کول
- د ټاکل شوي سرچینې منشور څخه د معلوماتو بارول
- د لارې په اوږدو کې د فایل کاپي کول %Temp%tmpG[اوسنی نیټه او وخت په ملی ثانیو کې].tmp
په زړه پورې خبره دا ده چې یو ورته فعالیت په AgentTesla مالویر کې شتون لري. - د ورم فعالیت
مالویر د لرې کولو وړ رسنیو لیست ترلاسه کوي. د مالویر یوه کاپي د نوم سره د میډیا فایل سیسټم په ریښه کې رامینځته کیږي Sys.exe. Autorun د فایل په کارولو سره پلي کیږي autorun.inf.
د برید کونکي پروفایل
د قوماندې مرکز تحلیل په جریان کې ، دا ممکنه وه چې د پراختیا کونکي بریښنالیک او مستعار نوم رامینځته کړئ - Razer ، aka Brwa ، Brwa65 ، HiDDen PerSOn ، 404 Coder. بیا، موږ په یوټیوب کې یو په زړه پورې ویډیو وموندله چې د جوړونکي سره کار کوي.
دا د اصلي پراختیا کونکي چینل موندلو امکان رامینځته کړی.
دا څرګنده شوه چې هغه د کریپټوګرافر لیکلو تجربه درلوده. په ټولنیزو شبکو کې د پاڼو لینکونه هم شتون لري، او همدارنګه د لیکوال اصلي نوم. هغه د عراق اوسیدونکی و.
دا هغه څه دي چې د 404 Keylogger پراختیا کونکی داسې ښکاري. عکس د هغه د شخصي فیسبوک پروفایل څخه.
CERT ګروپ-IB یو نوی ګواښ اعلان کړی - 404 Keylogger - په بحرین کې د سایبر ګواښونو (SOC) لپاره د XNUMX ساعتونو څارنې او غبرګون مرکز.
سرچینه: www.habr.com