În ultimii ani, troienii mobili au înlocuit în mod activ troienii pentru computerele personale, astfel încât apariția unor noi programe malware pentru vechile „mașini” bune și utilizarea lor activă de către infractorii cibernetici, deși neplăcut, este încă un eveniment. Recent, centrul de răspuns la incidentele de securitate a informațiilor CERT Group-IB XNUMX/XNUMX a detectat un e-mail neobișnuit de phishing care ascunde un nou malware pentru computer care combină funcțiile Keylogger și PasswordStealer. Atenția analiștilor a fost atrasă asupra modului în care programul spyware a ajuns pe computerul utilizatorului - folosind un mesager vocal popular. Ilya Pomerantsev, un specialist în analiză de malware la CERT Group-IB, a explicat cum funcționează malware-ul, de ce este periculos și chiar și-a găsit creatorul în îndepărtatul Irak.
Deci, hai să mergem în ordine. Sub masca unui atașament, o astfel de scrisoare conținea o imagine, la clic pe care utilizatorul a fost dus pe site cdn.discordapp.com, iar de acolo a fost descărcat un fișier rău intenționat.
Utilizarea Discord, un mesager vocal și text gratuit, este destul de neconvențional. De obicei, în aceste scopuri sunt folosite alte mesagerie instant sau rețele sociale.
În timpul unei analize mai detaliate, a fost identificată o familie de programe malware. S-a dovedit a fi un nou venit pe piața malware - 404 Keylogger.
Prima reclamă pentru vânzarea unui keylogger a fost postată pe hackforumuri de către utilizator sub porecla „404 Coder” pe 8 august.
Domeniul magazinului a fost înregistrat destul de recent - pe 7 septembrie 2019.
După cum spun dezvoltatorii pe site 404proiecte[.]xyz, 404 este un instrument conceput pentru a ajuta companiile să învețe despre activitățile clienților lor (cu permisiunea lor) sau pentru cei care doresc să-și protejeze binarul de inginerie inversă. Privind în viitor, să spunem asta cu ultima sarcină 404 cu siguranta nu face fata.
Am decis să inversăm unul dintre fișiere și să verificăm ce este „BEST SMART KEYLOGGER”.
Ecosistem malware
Încărcător 1 (AtillaCrypter)
Fișierul sursă este protejat folosind EaxObfuscator și efectuează încărcare în doi pași AtProtect din secțiunea resurse. În timpul analizei altor mostre găsite pe VirusTotal, a devenit clar că această etapă nu a fost furnizată de dezvoltator însuși, ci a fost adăugată de clientul său. Ulterior s-a stabilit că acest bootloader era AtillaCrypter.
Bootloader 2 (AtProtect)
De fapt, acest încărcător este o parte integrantă a malware-ului și, conform intenției dezvoltatorului, ar trebui să preia funcționalitatea analizei de contracarare.
Cu toate acestea, în practică, mecanismele de protecție sunt extrem de primitive, iar sistemele noastre detectează cu succes acest malware.
Modulul principal este încărcat folosind Franchy ShellCode versiuni diferite. Cu toate acestea, nu excludem că ar fi putut fi utilizate alte opțiuni, de exemplu, RunPE.
Fișier de configurare
Consolidarea în sistem
Consolidarea în sistem este asigurată de bootloader AtProtect, dacă este setat steag-ul corespunzător.
- Fișierul este copiat de-a lungul căii %AppData%GFqaakZpzwm.exe.
- Fișierul este în curs de creare %AppData%GFqaakWinDriv.url, lansare Zpzwm.exe.
- În fir HKCUSoftwareMicrosoftWindowsCurrentVersionRun este creată o cheie de pornire WinDriv.url.
Interacțiunea cu C&C
Loader AtProtect
Dacă este prezent indicatorul corespunzător, malware-ul poate lansa un proces ascuns iexplorator și urmați linkul specificat pentru a notifica serverul despre infectarea cu succes.
DataStealer
Indiferent de metoda folosită, comunicarea în rețea începe cu obținerea IP-ului extern al victimei folosind resursa [http]://checkip[.]dyndns[.]org/.
Agent utilizator: Mozilla/4.0 (compatibil; MSIE 6.0; Windows NT 5.2; .NET CLR1.0.3705;)
Structura generală a mesajului este aceeași. Antet prezent
|——- 404 Keylogger — {Tip} ——-|Unde {tip} corespunde tipului de informaţie transmisă.
Următoarele sunt informații despre sistem:
_______ + INFORMAȚII VICTIMEI + _______
IP: {IP extern}
Nume proprietar: {Computer name}
Nume OS: {Nume OS}
Versiunea sistemului de operare: {Versiunea sistemului de operare}
Platformă OS: {Platform}
Dimensiunea RAM: {dimensiunea RAM}
______________________________
Și în sfârșit, datele transmise.
SMTP
Subiectul scrisorii este următorul: 404 K | {Tipul mesajului} | Nume client: {Username}.
Interesant, să livreze scrisori către client 404 Keylogger Este folosit serverul SMTP al dezvoltatorilor.
Acest lucru a făcut posibilă identificarea unor clienți, precum și e-mailul unuia dintre dezvoltatori.
FTP
Când utilizați această metodă, informațiile colectate sunt salvate într-un fișier și citite imediat de acolo.
Logica din spatele acestei acțiuni nu este complet clară, dar creează un artefact suplimentar pentru scrierea regulilor comportamentale.
%HOMEDRIVE%%HOMEPATH%DocumentsA{Număr arbitrar}.txt
Pastebin
La momentul analizei, această metodă este folosită doar pentru a transfera parolele furate. Mai mult, este folosit nu ca o alternativă la primele două, ci în paralel. Condiția este valoarea constantei egală cu „Vavaa”. Probabil că acesta este numele clientului.
Interacțiunea are loc prin protocolul https prin API pastebin. Sens api_paste_private este PASTE_NELISTED, care interzice căutarea unor astfel de pagini în pastebin.
Algoritmi de criptare
Preluarea unui fișier din resurse
Sarcina utilă este stocată în resursele bootloader-ului AtProtect sub formă de imagini Bitmap. Extracția se realizează în mai multe etape:
- Din imagine este extrasă o matrice de octeți. Fiecare pixel este tratat ca o secvență de 3 octeți în ordinea BGR. După extragere, primii 4 octeți ai matricei stochează lungimea mesajului, cei următori stochează mesajul în sine.
- Cheia este calculată. Pentru a face acest lucru, MD5 este calculat din valoarea „ZpzwmjMJyfTNiRalKVrcSkxCN” specificată ca parolă. Hashul rezultat este scris de două ori.
- Decriptarea se realizează folosind algoritmul AES în modul ECB.
Funcționalitate rău intenționată
Downloader
Implementat în bootloader AtProtect.
- Prin contact [activelink-repalce] Starea serverului este solicitată pentru a confirma că este pregătit pentru a servi fișierul. Serverul ar trebui să revină "PE".
- link-ul [descărcare link-înlocuire] Sarcina utilă este descărcată.
- Cu FranchyShellcode sarcina utilă este injectată în proces [inj-inlocuire].
În timpul analizei de domeniu 404proiecte[.]xyz instanțe suplimentare au fost identificate pe VirusTotal 404 Keylogger, precum și mai multe tipuri de încărcătoare.
În mod convențional, acestea sunt împărțite în două tipuri:
- Descărcarea se realizează din resursă 404proiecte[.]xyz.
Datele sunt codificate Base64 și criptate AES. - Această opțiune constă din mai multe etape și este cel mai probabil utilizată împreună cu un bootloader AtProtect.
- În prima etapă, datele sunt încărcate de la pastebin și decodificat folosind funcția HexToByte.
- În a doua etapă, sursa de încărcare este 404proiecte[.]xyz. Cu toate acestea, funcțiile de decompresie și decodare sunt similare cu cele găsite în DataStealer. Probabil că inițial a fost planificat să implementeze funcționalitatea bootloader-ului în modulul principal.
- În această etapă, sarcina utilă este deja în manifestul resursei într-o formă comprimată. Funcții de extracție similare au fost găsite și în modulul principal.
Printre fișierele analizate au fost găsite programe de descărcare njRat, SpyGate și alți RAT-uri.
Keylogger
Perioada de trimitere a jurnalului: 30 de minute.
Toate caracterele sunt acceptate. Caracterele speciale sunt scăpate. Există procesare pentru tastele BackSpace și Delete. Caz sensibil.
ClipboardLogger
Perioada de trimitere a jurnalului: 30 de minute.
Perioada de interogare a tamponului: 0,1 secunde.
S-a implementat evadarea legăturii.
ScreenLogger
Perioada de trimitere a jurnalului: 60 de minute.
Capturile de ecran sunt salvate în %HOMEDRIVE%%HOMEPATH%Documents404k404pic.png.
După trimiterea folderului 404k este eliminat.
PasswordStealer
browsere | Clienții de corespondență | Clienți FTP |
---|---|---|
Chrome | Perspectivă | FileZilla |
Firefox | Thunderbird | |
SeaMonkey | Foxmail | |
Icedragon | ||
Lună palidă | ||
cyberfox | ||
Chrome | ||
BraveBrowser | ||
QQBrowser | ||
IridiumBrowser | ||
XvastBrowser | ||
Chedot | ||
360 Browser | ||
ComodoDragon | ||
360 Chrome | ||
SuperBird | ||
CentBrowser | ||
GhostBrowser | ||
IronBrowser | ||
Crom | ||
Vivaldi | ||
SlimjetBrowser | ||
Orbit | ||
CocCoc | ||
Lanternă | ||
UCBrowser | ||
EpicBrowser | ||
BliskBrowser | ||
Operă |
Contracararea analizei dinamice
- Verificarea dacă un proces este în curs de analiză
Efectuat folosind căutarea procesului taskmgr, ProcessHacker, procesexp64, procexp, procmon. Dacă se găsește cel puțin unul, malware-ul iese.
- Verificați dacă vă aflați într-un mediu virtual
Efectuat folosind căutarea procesului vmtoolsd, VGAuthService, vmachlp, VBoxService, VBoxTray. Dacă se găsește cel puțin unul, malware-ul iese.
- Adormi timp de 5 secunde
- Demonstrarea diferitelor tipuri de casete de dialog
Poate fi folosit pentru a ocoli unele cutii cu nisip.
- Ocoli UAC
Efectuat prin editarea cheii de registry EnableLUA în setările politicii de grup.
- Aplică atributul „Hidden” fișierului curent.
- Posibilitatea de a șterge fișierul curent.
Caracteristici inactive
În timpul analizei bootloader-ului și a modulului principal, s-au găsit funcții care erau responsabile pentru funcționalități suplimentare, dar nu sunt folosite nicăieri. Acest lucru se datorează probabil faptului că malware-ul este încă în dezvoltare și funcționalitatea va fi extinsă în curând.
Loader AtProtect
A fost găsită o funcție care este responsabilă pentru încărcarea și injectarea în proces msiexec.exe modul arbitrar.
DataStealer
- Consolidarea în sistem
- Funcții de decompresie și decriptare
Este probabil ca criptarea datelor în timpul comunicării în rețea să fie implementată în curând. - Încheierea proceselor antivirus
zlclient | Dvp95_0 | Pavsched | avgserv9 |
egui | Ecengine | Pavw | avgserv9schedapp |
bdagent | Esafe | PCCIOMON | avgemc |
npfmsg | Espwatch | PCCMAIN | ashwebsv |
olydbg | F-Agnt95 | Pccwin98 | ashdisp |
Anubis | Findvir | Pcfwallicon | ashmaisv |
Wireshark | Fprot | Persfw | ashserv |
avastui | F-PROT | POP3TRAP | aswUpdSv |
_Avp32 | F-Prot95 | PVIEW95 | symwsc |
vsmon | Fp-Win | rav7 | norton |
mbam | Frw | Rav7win | Norton Auto-Protect |
amestecător de taste | F-Stopw | Salvare | norton_av |
_Avpcc | Iamapp | Safeweb | nortonav |
_Avpm | Iamserv | Scanează32 | ccsetmgr |
Acwin32 | Ibmasn | Scanează95 | ccevtmgr |
Avanpost | Ibmavsp | Scanpm | avadmin |
Anti-troian | Icload95 | Scrscan | avcenter |
AntiVir | Icloadnt | Serv95 | avgnt |
Apvxdwin | Icmon | smc | avguard |
UN CAMION | Icsupp95 | SMCSERVICE | avnotify |
Autodown | Icsuppnt | sforăit | avscan |
Avconsol | Eu înfrunt | Sfinx | guardgui |
Ave32 | Iomon98 | Mătura 95 | nod32krn |
Avgctrl | Jedi | SYMPROXYSVC | nod32kui |
Avkserv | Lockdown2000 | Tbscan | clamscan |
Avnt | Atenţie | TCA | clamTray |
Avp | Luall | Tds2-98 | clamWin |
Avp32 | mcafee | Tds2-Nt | freshclam |
Avpcc | Moolive | TerminNET | oladdin |
Avpdos32 | MPftray | Vet95 | sigtool |
Avpm | N32scanw | Vettray | w9xpopen |
Avptc32 | NAVAPSVC | Vscan40 | Închide |
Avpupd | NAVAPW32 | Vsecomr | cmgrdian |
Avsched32 | NAVLU32 | Vshwin32 | alogserv |
AVSYNMGR | Navnt | Vsstat | mcshield |
Avwin95 | NAVRUNR | Webscanx | vshwin32 |
Avwupd32 | Navw32 | WEBTRAP | avconsol |
Blackd | Navwnt | Wfindv32 | vsstat |
Blackice | NeoWatch | ZoneAlarm | avsynmgr |
Cfiadmin | NISSERV | BLOCARE2000 | avcmd |
Cfiaudit | Nisum | SALVARE32 | avconfig |
Cfinet | Nmain | LUCOMSERVER | licmgr |
Cfinet32 | Normist | avgcc | programat |
Gheara95 | NORTON | avgcc | preupd |
Claw95cf | Nupgrade | avgamsvr | MsMpEng |
Cleaner | Nvc95 | avgupsvc | MSASCui |
Curățător3 | Avanpost | avgw | Avira.Systray |
Defwatch | Padmin | avgcc32 | |
Dvp95 | Pavcl | avgserv |
- distrugere de sine
- Se încarcă date din manifestul de resurse specificat
- Copierea unui fișier de-a lungul unei căi %Temp%tmpG[Data și ora curente în milisecunde].tmp
Interesant este că o funcție identică este prezentă în malware AgentTesla. - Funcționalitatea viermilor
Programul malware primește o listă de medii amovibile. O copie a malware-ului este creată în rădăcina sistemului de fișiere media cu numele Sys.exe. Autorun este implementat folosind un fișier autorun.inf.
Profilul atacatorului
În timpul analizei centrului de comandă, a fost posibil să se stabilească e-mailul și porecla dezvoltatorului - Razer, alias Brwa, Brwa65, HiDDen PerSOn, 404 Coder. În continuare, am găsit un videoclip interesant pe YouTube care demonstrează lucrul cu constructorul.
Acest lucru a făcut posibilă găsirea canalului de dezvoltator original.
A devenit clar că avea experiență în scris criptografi. Există și link-uri către pagini de pe rețelele de socializare, precum și numele real al autorului. S-a dovedit a fi un rezident al Irakului.
Așa se presupune că arată un dezvoltator 404 Keylogger. Fotografie de pe profilul lui personal de Facebook.
CERT Group-IB a anunțat o nouă amenințare - 404 Keylogger - un centru de monitorizare și răspuns XNUMX de ore din XNUMX pentru amenințările cibernetice (SOC) în Bahrain.
Sursa: www.habr.com