تازن سالن ۾، موبائل ٽروجن فعال طور تي ذاتي ڪمپيوٽرن لاء ٽرجن کي تبديل ڪري رهيا آهن، تنهنڪري سٺي پراڻي "ڪارون" لاء نئين مالويئر جو اڀار ۽ سائبر ڪرمنلز پاران انهن جو فعال استعمال، جيتوڻيڪ ناپسنديده، اڃا تائين هڪ واقعو آهي. تازو، CERT Group-IB جي 24/7 انفارميشن سيڪيورٽي واقعن جي جوابي مرڪز هڪ غير معمولي فشنگ اي ميل معلوم ڪئي جيڪا لڪائي رهي هئي هڪ نئون PC مالويئر جيڪو Keylogger ۽ PasswordStealer جي ڪمن کي گڏ ڪري ٿو. تجزيه نگارن جو ڌيان ان طرف ڇڪايو ويو ته ڪيئن اسپائي ويئر صارف جي مشين تي پهتو - هڪ مشهور وائس ميسينجر استعمال ڪندي. اليا PomerantsevCERT Group-IB ۾ هڪ مالويئر تجزيي جي ماهر، وضاحت ڪئي ته مالويئر ڪيئن ڪم ڪري ٿو، اهو خطرناڪ ڇو آهي، ۽ ان جو خالق به ڏورانهن عراق ۾ مليو.
سو، اچو ته ترتيب سان هلون. هڪ منسلڪ جي آڙ ۾، اهڙي خط ۾ هڪ تصوير شامل آهي، جنهن تي ڪلڪ ڪرڻ تي صارف کي سائيٽ تي ورتو ويو cdn.discordapp.com، ۽ هڪ خراب فائل اتان کان ڊائون لوڊ ڪيو ويو.
Discord استعمال ڪندي، هڪ آزاد آواز ۽ ٽيڪسٽ ميسينجر، ڪافي غير روايتي آهي. عام طور تي، ٻيا فوري پيغام يا سماجي نيٽ ورڪ انهن مقصدن لاء استعمال ڪيا ويا آهن.
وڌيڪ تفصيلي تجزيو دوران، مالويئر جي ھڪڙي خاندان جي سڃاڻپ ڪئي وئي. اهو مالويئر مارڪيٽ ۾ هڪ نئون اچڻ وارو ثابت ٿيو - 404 Keylogger.
هڪ keylogger جي وڪري لاء پهريون اشتهار تي پوسٽ ڪيو ويو hackforums 404 آگسٽ تي "8 ڪوڊر" جي نالي سان استعمال ڪندڙ.
اسٽور ڊومين تازو ئي رجسٽر ٿيو - سيپٽمبر 7، 2019 تي.
جيئن ڊولپرز ويب سائيٽ تي چون ٿا 404 منصوبا[.]xyz, 404 ھڪڙو اوزار آھي جيڪو ڪمپنين کي پنھنجي گراهڪن جي سرگرمين جي باري ۾ سکڻ ۾ مدد ڏيڻ لاء تيار ڪيو ويو آھي (سندن اجازت سان) يا انھن لاء جيڪي پنھنجي بائنري کي ريورس انجنيئرنگ کان بچائڻ چاھين ٿا. اڳتي ڏسي، اچو ته اهو آخري ڪم سان 404 يقيني طور تي برداشت نه ڪندو.
اسان فيصلو ڪيو ته ڪنهن هڪ فائل کي ريورس ڪيو ۽ چيڪ ڪيو ته ”BEST SMART KEYLOGGER“ ڇا آهي.
مالويئر ماحولياتي نظام
لوڊ ڪندڙ 1 (AtillaCrypter)
ذريعو فائل استعمال ڪندي محفوظ آهي EaxObfuscator ۽ ٻن قدمن جي لوڊشيڊنگ کي انجام ڏئي ٿو AtProtect وسيلن جي سيڪشن مان. VirusTotal تي مليل ٻين نمونن جي تجزيي دوران، اهو واضح ٿي ويو ته اهو اسٽيج ڊولپر پاران مهيا ڪيل نه هو، پر هن جي ڪلائنٽ طرفان شامل ڪيو ويو آهي. اهو بعد ۾ طئي ڪيو ويو ته هي بوٽ لوڊر AtillaCrypter هو.
بوٽ لوڊر 2 (AtProtect)
حقيقت ۾، هي لوڊر مالويئر جو هڪ لازمي حصو آهي ۽، ڊولپر جي ارادي جي مطابق، تجزيي جي تجزيي جي ڪارڪردگي تي عمل ڪرڻ گهرجي.
جڏهن ته، عملي طور تي، حفاظتي ميڪانيزم انتهائي ابتدائي آهن، ۽ اسان جا سسٽم ڪاميابيء سان هن مالويئر کي ڳوليندا آهن.
مکيه ماڊل استعمال ڪندي لوڊ ٿيل آهي فرينچ شيل ڪوڊ مختلف نسخو. تنهن هوندي، اسان کي خارج نه ڪيو وڃي ته ٻيا اختيار استعمال ڪيا ويا هوندا، مثال طور، هلائڻ.
ٺاھ جوڙ فائيل
سسٽم ۾ استحڪام
سسٽم ۾ استحڪام کي بوٽ لوڊ ڪندڙ طرفان يقيني بڻايو ويو آهي AtProtect، جيڪڏهن لاڳاپيل پرچم مقرر ڪيو ويو آهي.
- فائل رستي ۾ نقل ڪئي وئي آهي %AppData%GFqaakZpzwm.exe.
- فائل ٺاهي وئي آهي %AppData%GFqaakWinDriv.url، لانچ ڪرڻ Zpzwm.exe.
- سلسلي ۾ HKCUSsoftwareMicrosoftWindowsCurrentVersionRun هڪ شروعاتي چيڪ ٺاهي وئي آهي WinDriv.url.
C&C سان رابطو
لوڊر AtProtect
جيڪڏهن مناسب پرچم موجود آهي، مالويئر هڪ لڪيل عمل شروع ڪري سگهي ٿو ايڪسپلورر ۽ ڪامياب انفيڪشن بابت سرور کي اطلاع ڏيڻ لاءِ مخصوص لنڪ جي پيروي ڪريو.
ڊيٽا اسٽيلر
استعمال ٿيل طريقي جي باوجود، نيٽ ورڪ ڪميونيڪيشن شروع ٿئي ٿو وسيلا استعمال ڪندي مقتول جي خارجي IP حاصل ڪرڻ سان [http]://checkip[.]dyndns[.]org/.
استعمال ڪندڙ-ايجنٽ: Mozilla/4.0 (مطابقت؛ MSIE 6.0؛ Windows NT 5.2؛ .NET CLR1.0.3705؛)
پيغام جي عام جوڙجڪ ساڳي آهي. هيڊر حاضر
|——- 404 Keylogger — {قسم} ——-|ڪٿي {قسم} معلومات جي منتقلي جي قسم سان مطابقت رکي ٿي.
هيٺ ڏنل سسٽم بابت ڄاڻ آهي:
_______ + مقتول جي ڄاڻ + ______
IP: {بيروني IP}
مالڪ جو نالو: {ڪمپيوٽر جو نالو}
او ايس جو نالو: {OS نالو}
او ايس ورزن: {OS ورجن}
او ايس پليٽ فارم: {پليٽ فارم}
رام جي ماپ: {رام سائيز}
______________________________
۽ آخرڪار، منتقل ٿيل ڊيٽا.
SMTP
خط جو موضوع هن ريت آهي: 404 ڪ | {پيغام جو قسم} | صارف جو نالو: {Username}.
دلچسپ ڳالهه، ڪلائنٽ کي خط پهچائڻ لاء 404 Keylogger ڊولپرز جو SMTP سرور استعمال ڪيو ويندو آهي.
اهو ممڪن آهي ته ڪجهه گراهڪن کي سڃاڻڻ، انهي سان گڏ هڪ ڊولپر جي اي ميل.
ايف ٽي پي
جڏهن هن طريقي کي استعمال ڪندي، گڏ ڪيل معلومات فائل ۾ محفوظ ڪئي وئي آهي ۽ فوري طور تي اتان کان پڙهي ويندي آهي.
هن عمل جي پويان منطق مڪمل طور تي واضح ناهي، پر اهو رويي جي ضابطن کي لکڻ لاء هڪ اضافي نموني ٺاهي ٿو.
%HOMEDRIVE%%HOMEPATH%DocumentsA{آربيٽريري نمبر}.txt
Pastebin
تجزيي جي وقت، هي طريقو صرف چوري ٿيل پاسورڊ کي منتقل ڪرڻ لاء استعمال ڪيو ويندو آهي. ان کان علاوه، اهو استعمال نه ڪيو ويو آهي هڪ متبادل طور پهرين ٻن لاء، پر متوازي ۾. حالت مسلسل جي قيمت آهي "واوا" جي برابر. غالباً هي ڪلائنٽ جو نالو آهي.
تعامل ٿئي ٿو https پروٽوڪول ذريعي API ذريعي پيسٽبين. مطلب api_paste_private برابر PASTE_UNLISTED, جنهن ۾ اهڙن صفحن جي ڳولا کي منع ڪري ٿو پيسٽبين.
انڪرپشن الگورتھم
وسيلن مان فائل ٻيهر حاصل ڪرڻ
پيل لوڊ بوٽ لوڊر وسيلن ۾ ذخيرو ٿيل آهي AtProtect Bitmap تصويرن جي صورت ۾. ڪڍڻ ڪيترن ئي مرحلن ۾ ڪيو ويندو آهي:
- تصوير مان بائيٽ جو هڪ صف ڪڍيو ويو آهي. BGR آرڊر ۾ هر پکسل کي 3 بائيٽ جي ترتيب طور سمجهيو ويندو آهي. ڪڍڻ کان پوءِ، صف جا پھريون 4 بائيٽ پيغام جي ڊگھائي کي ذخيرو ڪندا آھن، بعد وارا پاڻ پيغام کي محفوظ ڪندا آھن.
- مکيه حساب ڪيو ويو آهي. هن کي ڪرڻ لاء، MD5 جي حساب سان "ZpzwmjMJyfTNiRalKVrcSkxCN" قدر مان ڳڻيو ويو آهي پاسورڊ طور بيان ڪيل. نتيجو هيش ٻه ڀيرا لکيو ويو آهي.
- ECB موڊ ۾ AES الورورٿم استعمال ڪندي ڊسڪشن ڪيو ويندو آهي.
خراب ڪارڪردگي
ڊائون لوڊ
بوٽ لوڊر ۾ لاڳو ڪيو ويو AtProtect.
- رابطو ڪندي [activelink-repalce] سرور جي صورتحال جي تصديق ڪرڻ جي درخواست ڪئي وئي آهي ته اهو فائل جي خدمت ڪرڻ لاء تيار آهي. سرور کي واپس اچڻ گهرجي ”آن“.
- لنڪ طرفان [ڊائون لوڊ لنڪ-بدلج] ادا لوڊ ٿيل آهي.
- جي مدد سان فرينچ شيل ڪوڊ پيل لوڊ عمل ۾ injected آهي [انج- بدلي].
ڊومين جي تجزيي دوران 404 منصوبا[.]xyz وائرس ٽوٽل تي اضافي مثالن جي نشاندهي ڪئي وئي 404 Keylogger، انهي سان گڏ ڪيترن ئي قسمن جا لوڊ ڪندڙ.
روايتي طور تي، اهي ٻن قسمن ۾ ورهايل آهن:
- ڊائون لوڊ وسيلن مان ڪيو ويندو آهي 404 منصوبا[.]xyz.
ڊيٽا بيس 64 انڪوڊ ٿيل آهي ۽ AES انڪوڊ ٿيل آهي. - هي اختيار ڪيترن ئي مرحلن تي مشتمل آهي ۽ گهڻو ڪري استعمال ڪيو ويندو آهي بوٽ لوڊر سان گڏ AtProtect.
- پهرين مرحلي ۾، ڊيٽا کي لوڊ ڪيو ويندو آهي پيسٽبين ۽ فنڪشن کي استعمال ڪندي ڊيڪوڊ ڪيو ويو HexToByte.
- ٻئي مرحلي ۾، لوڊ ڪرڻ جو ذريعو آهي 404 منصوبا[.]xyz. بهرحال، ڊيڪپريشن ۽ ڊيڪوڊنگ افعال ساڳيا آهن جيڪي DataStealer ۾ مليا آهن. اهو شايد اصل ۾ بنيادي ماڊل ۾ بوٽ لوڊر ڪارڪردگي کي لاڳو ڪرڻ جي منصوبابندي ڪئي وئي هئي.
- هن اسٽيج تي، پيل لوڊ اڳ ۾ ئي وسيلن جي ظاهر ۾ هڪ کمپريس فارم ۾ آهي. ساڳي طرح ڪڍڻ وارا ڪم مکيه ماڊل ۾ پڻ مليا.
تجزيو ڪيل فائلن مان ڊائون لوڊ ڪندڙ مليا njRat, اسپائي گيٽ ۽ ٻيا RATs.
ڪيليجر
لاگ موڪلڻ جي مدت: 30 منٽ.
سڀني ڪردارن جي حمايت ڪئي وئي آهي. خاص ڪردار ڀڄي ويا آهن. BackSpace ۽ Delete keys لاءِ پروسيسنگ آهي. ڪيس حساس.
ڪلپ بورڊ لاگر
لاگ موڪلڻ جي مدت: 30 منٽ.
بفر پولنگ جي مدت: 0,1 سيڪنڊ.
لاڳو ٿيل لنڪ فرار.
اسڪرين لاگر
لاگ موڪلڻ جي مدت: 60 منٽ.
اسڪرين شاٽ محفوظ ٿيل آهن %HOMEDRIVE%%HOMEPATH%دستاويز404k404pic.png.
فولڊر موڪلڻ کان پوء 404k حذف ڪيو ويو آهي.
پاسورڊ چوريندڙ
| برائوزر | ميل کلائنٽ | ايف ٽي پي کلائنٽ |
|---|---|---|
| ڪروم | لک | FileZilla |
| يقين ڪريو | تندورڊڊ | |
| سامونڊي بندر | فاڪس ميل | |
| آئس ڊريگن | ||
| ڪليمون | ||
| سائبرفڪس | ||
| ڪروم | ||
| بهادر برائوزر | ||
| QQ برائوزر | ||
| Iridium برائوزر | ||
| Xvast Browser | ||
| چيدوٽ | ||
| 360 برائوزر | ||
| ڪوموڊو ڊريگن | ||
| 360 ڪروم | ||
| سپر برڊ | ||
| سينٽر برائوزر | ||
| گھوسٽ برائوزر | ||
| آئرن برائوزر | ||
| Chromium | ||
| ويivalدي | ||
| Slimjet برائوزر | ||
| مدار | ||
| ڪوڪوڪ | ||
| مشعل | ||
| يو سي برائوزر | ||
| ايپيڪ برائوزر | ||
| Blisk برائوزر | ||
| ناٽڪ |
متحرڪ تجزيي جي مقابلي ۾
- چيڪ ڪرڻ ته ڇا هڪ عمل تجزيو هيٺ آهي
عمل جي ڳولا کي استعمال ڪندي ڪيو ويو ٽاسڪ گرام, پروسيس هيڪر, procexp64, پروسيس, procmon. جيڪڏهن گهٽ ۾ گهٽ هڪ مليو آهي، مالويئر نڪرندو آهي.
- چيڪ ڪريو ته ڇا توهان مجازي ماحول ۾ آهيو
عمل جي ڳولا کي استعمال ڪندي ڪيو ويو vmtoolsd, VGAuthService, vmacthlp, VBoxService, VBoxTray. جيڪڏهن گهٽ ۾ گهٽ هڪ مليو آهي، مالويئر نڪرندو آهي.
- 5 سيڪنڊن لاءِ سمهڻ
- ڊائلاگ باڪس جي مختلف قسمن جو مظاهرو
ڪجھ سينڊ باڪسز کي بائي پاس ڪرڻ لاءِ استعمال ڪري سگھجي ٿو.
- UAC بائي پاس
رجسٽري ڪيچ کي تبديل ڪندي انجام ڏنو EnableLUA گروپ پاليسي سيٽنگون ۾.
- موجوده فائل تي "لڪيل" وصف لاڳو ڪريو.
- موجوده فائل کي ختم ڪرڻ جي صلاحيت.
غير فعال خاصيتون
بوٽ لوڊر ۽ مکيه ماڊل جي تجزيي دوران، فنڪشن مليا ويا جيڪي اضافي ڪارڪردگي لاء ذميوار هئا، پر اهي ڪٿي به استعمال نه ڪيا ويا آهن. اهو شايد انهي حقيقت جي ڪري آهي ته مالويئر اڃا ترقي ۾ آهي ۽ ڪارڪردگي کي جلدي وڌايو ويندو.
لوڊر AtProtect
ھڪڙو فنڪشن مليو آھي جيڪو عمل ۾ لوڊ ڪرڻ ۽ انجڻ جي ذميوار آھي msiexec.exe خودمختياري ماڊل.
ڊيٽا اسٽيلر
- سسٽم ۾ استحڪام
- Decompression ۽ decryption افعال
اهو امڪان آهي ته نيٽ ورڪ ڪميونيڪيشن دوران ڊيٽا انڪرپشن کي جلد لاڳو ڪيو ويندو. - اينٽي وائرس جي عمل کي ختم ڪرڻ
| zlclient | Dvp95_0 | پاڇيل | avgserv9 |
| egui | ايڪيجن | پاوا | avgserv9schedapp |
| bdagent | ايساف | PCIOMON | avgemc |
| npfmsg | ايسپ واچ | PCCMAIN | ashwebsv |
| olydbg | F-Agnt95 | پي سي سي وين 98 | ashdisp |
| اينبس | ڳوليو | Pcfwallicon | ashmaisv |
| ويڙهاڪ | فروٽ | Persfw | ashserv |
| avastui | ايف پرو | POP3TRAP | aswUpdSv |
| _Avp32 | F-Prot95 | PVIEW95 | symwsc |
| vsmon | Fp-Win | Rav7 ، | باغن جي |
| mbam | فرو | Rav7win | نورٽن آٽو پروٽيڪٽس |
| چاٻي هڻڻ وارو | F-Stopw | ریسکيو | norton_av |
| _Avpcc | Iamapp | محفوظ ويب | نورتون |
| _Avpm | Iamserv | اسڪين 32 | ccsetmgr |
| اکون 32 | Ibmasn | اسڪين 95 | ccevtmgr |
| ٻاھر | Ibmavsp | اسڪين پي ايم | ايڊمن |
| مخالف ٽروجن | آئڪ لوڊ95 | اسڪين | مرڪز |
| ANTIVIR | آئل لوڊنٽ | خدمت95 | اوسط |
| Apvxdwin | آئيڪون | Smc | بچاءُ |
| ATRACK | Icsupp95 | SMCSERVICE | اطلاع ڏيڻ |
| خودڪشي | Icsupnt | اسرار | avscan |
| Avconsol | Iface | sphinx | guardgui |
| Ave32 | آئيمون98 | ڇڪڻ 95 | nod32krn |
| سراسري | جدي | SYMPROXYSVC | nod32kui |
| Avkserv | لاڪ ڊائون 2000 | Tbscan | clamscan |
| Avnt | ڏسو | Tca | ڪلم ٽري |
| ايپ پي | لوال | Tds2-98 | clamWin |
| Avp32 | ميڪافي | Tds2-Nt | تازو |
| اي پي سي سي | مولائي | ٽرمينيٽ | ولادين |
| Avpdos32 | ايم پي فري | ويٽ95 | sigtool |
| Avpm | N32 scanw | ويٽري | w9xpopen |
| Avptc32 | NAVAPSVC | Vscan40 | بند |
| اي پي پي ڊي | NAVAPW32 | ويسڪومر | cmgrdian |
| Avsched32 | NAVLU32 | ويشوين 32 | alogserv |
| AVSYNMGR | نيونٽ | Vsstat | mcshield |
| Avwin95 | NAVRUNR | ويب اسڪينڪس | vshwin32 |
| Avwupd32 | Navw32 | ويب ٽراپ | avconsol |
| ڪارو | نيونٽ | Wfindv32 | vsstat |
| ڪاري برف | نيو واچ | زون الارم | avsynmgr |
| Cfiadmin | NISSERV | لاڪ ڊائون 2000 | avcmd |
| Cfiaudit | نسيم | بچاءُ 32 | avconfig |
| ڪيفينٽ | نالو | LUCOMSERVER | licmgr |
| Cfinet32 | نارمل | avgcc | شيڊول |
| ڪلو 95 | نورڊن | avgcc | preupd |
| ڪلو 95 سي ايف | اپ گريڊ | avgamsvr | MsMpEng |
| صاف ڪندڙ | Nvc95 | avgupsvc | MSASCui |
| صفائي ڪندڙ 3 | ٻاھر | avgw | Avira.Systray |
| Defwatch | پدم | avgcc32 | |
| ڊي وي پي 95 | Pavcl | سراسري |
- خود تباهي
- بيان ڪيل وسيلن جي منشور مان ڊيٽا لوڊ ڪندي
- ھڪڙي رستي تي ھڪڙي فائل کي نقل ڪندي %Temp%tmpG[موجوده تاريخ ۽ وقت مليس سيڪنڊن ۾].tmp
دلچسپ ڳالهه اها آهي ته، هڪ جيتري فنڪشن AgentTesla مالويئر ۾ موجود آهي. - ورم جي ڪارڪردگي
مالويئر کي هٽائڻ واري ميڊيا جي هڪ فهرست ملي ٿي. نالي سان ميڊيا فائل سسٽم جي روٽ ۾ مالويئر جي هڪ ڪاپي ٺاهي وئي آهي Sys.exe. Autorun هڪ فائل استعمال ڪندي لاڳو ڪيو ويو آهي autorun.inf.
حملو ڪندڙ پروفائل
ڪمانڊ سينٽر جي تجزيي دوران، ڊولپر جو اي ميل ۽ عرفي نالو قائم ڪرڻ ممڪن هو - Razer، عرف بروا، Brwa65، HiDDen PerSOn، 404 ڪوڊر. اڳيون، اسان يوٽيوب تي هڪ دلچسپ وڊيو مليا جيڪا ڏيکاري ٿي بلڊر سان ڪم ڪرڻ.
اهو اهو ممڪن بڻيو ته اصل ڊولپر چينل ڳولڻ لاء.
اهو واضح ٿيو ته هن کي cryptographers لکڻ ۾ تجربو هو. سماجي نيٽ ورڪن تي صفحن جا لنڪ پڻ آهن، انهي سان گڏ ليکڪ جو اصل نالو. هو عراق جو رهاڪو نڪتو.
اھو اھو آھي جيڪو ھڪڙو 404 Keylogger ڊولپر وانگر لڳي ٿو. سندس ذاتي Facebook پروفائل مان فوٽو.
CERT Group-IB هڪ نئين خطري جو اعلان ڪيو آهي - 404 Keylogger - بحرين ۾ سائبر خطرن لاءِ XNUMX ڪلاڪ نگراني ۽ جوابي مرڪز (SOC).
جو ذريعو: www.habr.com