V posledných rokoch mobilné trójske kone aktívne nahrádzajú trójske kone pre osobné počítače, takže objavenie sa nového malvéru pre staré dobré „autá“ a ich aktívne používanie kyberzločincami, aj keď nepríjemné, je stále udalosťou. Nedávno centrum CERT Group-IB s nepretržitou prevádzkou na riešenie incidentov v oblasti bezpečnosti informácií zistilo nezvyčajný phishingový e-mail, ktorý skrýval nový počítačový malvér, ktorý kombinuje funkcie Keylogger a PasswordStealer. Pozornosť analytikov upriamilo na to, ako sa spyware dostal do počítača používateľa – pomocou populárneho hlasového posla. Iľja Pomerantsev, špecialista na analýzu malvéru v CERT Group-IB, vysvetlil, ako malvér funguje, prečo je nebezpečný, a dokonca našiel svojho tvorcu vo vzdialenom Iraku.
Tak poďme pekne po poriadku. Pod rúškom prílohy takýto list obsahoval obrázok, po kliknutí na ktorý sa používateľ dostal na stránku cdn.discordapp.coma odtiaľ bol stiahnutý škodlivý súbor.
Používanie Discordu, bezplatného hlasového a textového messengeru, je dosť netradičné. Na tieto účely sa zvyčajne používajú iné instant messenger alebo sociálne siete.
Počas podrobnejšej analýzy bola identifikovaná skupina škodlivého softvéru. Ukázalo sa, že ide o nováčika na trhu s malvérom – 404 Keylogger.
Prvý inzerát na predaj keyloggeru bol zverejnený dňa hackforums používateľom pod prezývkou „404 Coder“ dňa 8. augusta.
Doména obchodu bola zaregistrovaná pomerne nedávno - 7. septembra 2019.
Ako hovoria vývojári na webe 404projektov[.]xyz, 404 je nástroj určený na pomoc spoločnostiam dozvedieť sa o aktivitách svojich zákazníkov (s ich povolením) alebo pre tých, ktorí chcú chrániť svoj binárny kód pred reverzným inžinierstvom. Pri pohľade dopredu povedzme, že s poslednou úlohou 404 určite nezvláda.
Rozhodli sme sa obrátiť jeden zo súborov a skontrolovať, čo je „NAJLEPŠÍ SMART KEYLOGGER“.
Ekosystém škodlivého softvéru
Loader 1 (AtillaCrypter)
Zdrojový súbor je chránený pomocou EaxObfuscator a vykoná dvojkrokové načítanie AtProtect zo sekcie zdrojov. Počas analýzy ďalších vzoriek nájdených na VirusTotal vyšlo najavo, že túto fázu nezabezpečil samotný vývojár, ale pridal ju jeho klient. Neskôr sa zistilo, že tento bootloader bol AtillaCrypter.
Bootloader 2 (AtProtect)
V skutočnosti je tento zavádzač integrálnou súčasťou malvéru a podľa zámeru vývojára by mal prevziať funkciu protihodnoty.
V praxi sú však ochranné mechanizmy mimoriadne primitívne a naše systémy tento malvér úspešne detegujú.
Hlavný modul sa načíta pomocou Franchy ShellCode rôzne verzie. Nevylučujeme však, že sa mohli použiť aj iné možnosti, napr. RunPE.
Konfiguračný súbor
Konsolidácia v systéme
Konsolidáciu v systéme zabezpečuje bootloader AtProtect, ak je nastavený zodpovedajúci príznak.
- Súbor sa skopíruje pozdĺž cesty %AppData%GFqaakZpzwm.exe.
- Súbor sa vytvára %AppData%GFqaakWinDriv.url, spustenie Zpzwm.exe.
- Vo vlákne HKCUSoftwareMicrosoftWindowsCurrentVersionRun vytvorí sa spúšťací kľúč WinDriv.url.
Interakcia s C&C
Nakladač AtProtect
Ak je prítomný príslušný príznak, malvér môže spustiť skrytý proces iexplorer a postupujte podľa zadaného odkazu, aby ste informovali server o úspešnej infekcii.
DataStealer
Bez ohľadu na použitú metódu, sieťová komunikácia začína získaním externej IP obete pomocou zdroja [http]://checkip[.]dyndns[.]org/.
User-Agent: Mozilla/4.0 (kompatibilný; MSIE 6.0; Windows NT 5.2; .NET CLR1.0.3705;)
Všeobecná štruktúra správy je rovnaká. Prítomná hlavička
|——- 404 Keylogger — {Typ} ——-|Kde {type} zodpovedá typu prenášanej informácie.
Nasledujú informácie o systéme:
_______ + INFO O OBETI + _______
IP: {External IP}
Meno vlastníka: {Názov počítača}
Názov OS: {OS Name}
Verzia OS: {Verzia OS}
Platforma OS: {Platform}
Veľkosť RAM: {Veľkosť RAM}
______________________________
A nakoniec prenášané dáta.
SMTP
Predmet listu je nasledovný: 404 K | {Typ správy} | Meno klienta: {Username}.
Zaujímavé je doručovať listy klientovi 404 Keylogger Používa sa SMTP server vývojára.
To umožnilo identifikovať niektorých klientov, ako aj e-mail jedného z vývojárov.
FTP
Pri použití tejto metódy sa zhromaždené informácie uložia do súboru a odtiaľ sa okamžite načítajú.
Logika tejto akcie nie je úplne jasná, ale vytvára ďalší artefakt na písanie pravidiel správania.
%HOMEDRIVE%%HOMEPATH%DocumentsA{ľubovoľné číslo}.txt
Pastebin
V čase analýzy sa táto metóda používa iba na prenos ukradnutých hesiel. Navyše sa nepoužíva ako alternatíva k prvým dvom, ale paralelne. Podmienkou je hodnota konštanty rovnajúca sa „Vavaa“. Pravdepodobne ide o meno klienta.
Interakcia prebieha cez protokol https cez API Pastebin... Význam api_paste_private je PASTE_UNLISTED, ktorý zakazuje vyhľadávanie takýchto stránok v Pastebin.
Šifrovacie algoritmy
Načítanie súboru zo zdrojov
Užitočné zaťaženie je uložené v zdrojoch zavádzača AtProtect vo forme bitmapových obrázkov. Extrakcia sa vykonáva v niekoľkých fázach:
- Z obrázku je extrahované pole bajtov. Každý pixel sa považuje za sekvenciu 3 bajtov v poradí BGR. Po extrakcii prvé 4 bajty poľa uchovávajú dĺžku správy, ďalšie ukladajú samotnú správu.
- Kľúč je vypočítaný. Na tento účel sa MD5 vypočíta z hodnoty „ZpzwmjMJyfTNiRalKVrcSkxCN“ zadanej ako heslo. Výsledný hash sa zapíše dvakrát.
- Dešifrovanie sa vykonáva pomocou algoritmu AES v režime ECB.
Škodlivá funkcia
downloader
Implementované v bootloaderi AtProtect.
- Kontaktovaním [activelink-repalce] Vyžaduje sa stav servera, aby sa potvrdilo, že je pripravený na poskytovanie súboru. Server by sa mal vrátiť „ZAP.“.
- odkaz [downloadlink-replace] Užitočné zaťaženie sa stiahne.
- S FranchyShellcode užitočné zaťaženie sa vstrekuje do procesu [inj-replace].
Počas analýzy domény 404projektov[.]xyz ďalšie prípady boli identifikované na VirusTotal 404 Keylogger, ako aj niekoľko typov nakladačov.
Zvyčajne sa delia na dva typy:
- Sťahovanie sa vykonáva zo zdroja 404projektov[.]xyz.
Dáta sú kódované Base64 a šifrované AES. - Táto možnosť pozostáva z niekoľkých fáz a s najväčšou pravdepodobnosťou sa používa v spojení s bootloaderom AtProtect.
- V prvej fáze sa načítavajú dáta z Pastebin a dekódovať pomocou funkcie HexToByte.
- V druhej fáze je zdrojom zaťaženia 404projektov[.]xyz. Funkcie dekompresie a dekódovania sú však podobné tým, ktoré nájdete v DataStealer. Pôvodne sa pravdepodobne plánovalo implementovať funkcionalitu bootloader do hlavného modulu.
- V tejto fáze sa už obsah nachádza v manifeste prostriedku v komprimovanej forme. Podobné funkcie extrakcie sa našli aj v hlavnom module.
Medzi analyzovanými súbormi boli nájdené sťahovače njRat, SpyGate a iné RAT.
Keylogger
Doba odoslania denníka: 30 minút.
Všetky postavy sú podporované. Špeciálne znaky sú uniknuté. Prebieha spracovanie klávesov BackSpace a Delete. Rozlišovať malé a veľké písmená.
ClipboardLogger
Doba odoslania denníka: 30 minút.
Interval pollingu medzipamäte: 0,1 sekundy.
Implementované escapovanie odkazu.
ScreenLogger
Doba odoslania denníka: 60 minút.
Snímky obrazovky sú uložené v %HOMEDRIVE%%HOMEPATH%Documents404k404pic.png.
Po odoslaní priečinka 404k je odstránený.
PasswordStealer
| Prehliadače | Poštoví klienti | FTP klienti |
|---|---|---|
| chróm | výhľad | FileZilla |
| Firefox | Buřňák | |
| SeaMonkey | Foxmail | |
| ľadový drak | ||
| PaleMesiac | ||
| Cyberfox | ||
| chróm | ||
| BraveBrowser | ||
| QQBrowser | ||
| IridiumBrowser | ||
| XvastBrowser | ||
| Chedot | ||
| 360prehliadač | ||
| ComodoDragon | ||
| 360 Chrome | ||
| SuperBird | ||
| CentBrowser | ||
| GhostBrowser | ||
| IronBrowser | ||
| Chróm | ||
| Vivaldi | ||
| SlimjetBrowser | ||
| Orbitum | ||
| CocCoc | ||
| Pochodeň | ||
| UCBrowser | ||
| EpicBrowser | ||
| BliskBrowser | ||
| Opera |
Protiváha dynamickej analýzy
- Kontrola, či prebieha analýza procesu
Vykonáva sa pomocou vyhľadávania procesov taskmgr, ProcessHacker, postup64, procexp, procmon. Ak sa nájde aspoň jeden, malvér sa ukončí.
- Kontrola, či ste vo virtuálnom prostredí
Vykonáva sa pomocou vyhľadávania procesov vmtoolsd, VGAuthService, vmacthlp, VBoxService, VBoxTray. Ak sa nájde aspoň jeden, malvér sa ukončí.
- Zaspávanie na 5 sekúnd
- Ukážka rôznych typov dialógových okien
Dá sa použiť na obídenie niektorých pieskovísk.
- Obísť UAC
Vykonáva sa úpravou kľúča databázy Registry EnableLUA v nastaveniach skupinovej politiky.
- Použije atribút "Skryté" na aktuálny súbor.
- Schopnosť odstrániť aktuálny súbor.
Neaktívne funkcie
Pri analýze zavádzača a hlavného modulu sa našli funkcie, ktoré boli zodpovedné za ďalšie funkcie, ale nikde sa nepoužívajú. Pravdepodobne je to spôsobené tým, že malvér je stále vo vývoji a čoskoro bude rozšírená funkčnosť.
Nakladač AtProtect
Bola nájdená funkcia, ktorá je zodpovedná za nakladanie a vstrekovanie do procesu Msiexec.exe ľubovoľný modul.
DataStealer
- Konsolidácia v systéme
- Funkcie dekompresie a dešifrovania
Je pravdepodobné, že čoskoro bude implementované šifrovanie dát počas sieťovej komunikácie. - Ukončenie antivírusových procesov
| zlclient | Dvp95_0 | Pavsched | avgserv9 |
| egui | Ecengine | Pavw | avgserv9schedapp |
| bdagent | Esafe | PCCIOMON | avgemc |
| npfmsg | Espwatch | PCCMAIN | ashwebsv |
| olydbg | F-Agnt95 | Pccwin98 | ashdisp |
| anubis | Findvir | Pcfwallicon | ashmaisv |
| Wireshark | Fprot | Persfw | ashserv |
| avastui | F-Prot | POP3TRAP | aswUpdSv |
| _Avp32 | F-Prot95 | PVIEW95 | symwsc |
| vsmon | Fp-Win | Rav7 | norton |
| mbam | Frw | Rav7win | Norton Auto-Protect |
| keycrambler | F-Stopw | Zachrániť | norton_av |
| _Avpcc | Iamapp | Safeweb | nortonav |
| _Avpm | Iamserv | Skenovať32 | ccsetmgr |
| Ackwin32 | Ibmasn | Skenovať95 | ccevtmgr |
| vyspať | Ibmavsp | Scanpm | avadmin |
| Anti-Trojan | Icload95 | Scrscan | avcenter |
| ANTIVIR | Icloadnt | Serv95 | priem |
| Apvxdwin | Icmon | smc | avgarde |
| ATRACK | Icsupp95 | SMCSERVICE | avnotify |
| Autodown | Icsuppnt | opäť normálne | avscan |
| Avconsol | Čelím | Sfinga | guardgui |
| Ave32 | Iomon98 | Sweep95 | nod32krn |
| Avgctrl | Jedi | SYMPROXYSVC | nod32kui |
| Avkserv | Uzamknutie 2000 | Tbscan | clamscan |
| Avnt | Dávaj pozor | Tca | clamTray |
| Avp | Luall | Tds2-98 | clamWin |
| Avp32 | mcafee | Tds2-Nt | Freshclam |
| Avpcc | Moolive | TermiNET | oladdin |
| Avpdos32 | MPftray | Vet95 | sigtool |
| Avpm | N32scanw | Vettray | w9xpopen |
| Avptc32 | NAVAPSVC | Vscan40 | Zavrieť |
| Avpupd | NAVAPW32 | Všecomr | cmgrdian |
| Avsched32 | NAVLU32 | Vshwin32 | alogserv |
| AVSYNMGR | Navnt | Vsstat | mcshield |
| Avwin95 | NAVRUNR | Webscanx | vshwin32 |
| Avwupd32 | Navw32 | WEBTRAP | avconsol |
| Blackd | Navwnt | Wfindv32 | vsstat |
| Čierny ľad | NeoWatch | Zonealarm | avsynmgr |
| Cfiadmin | NISSERV | ZAMKNUTIE2000 | avcmd |
| Cfiaudit | Nisum | ZÁCHRANA32 | avconfig |
| Cfinet | Nmain | LUCOMSERVER | licmgr |
| Cfinet32 | Normista | avgcc | plánovaná |
| Pazúr95 | NORTON | avgcc | preupd |
| Claw95cf | Nupgrade | avgamsvr | MsMpEng |
| Čistič | Nvc95 | avgupsvc | MSASCui |
| Čistič3 | vyspať | priem | Avira.Systray |
| Defwatch | Padmin | avgcc32 | |
| Dvp95 | Pavlom | avgserv |
- Sebazničenie
- Načítavajú sa údaje z manifestu zadaného prostriedku
- Kopírovanie súboru pozdĺž cesty %Temp%tmpG[Aktuálny dátum a čas v milisekundách].tmp
Je zaujímavé, že identická funkcia je prítomná v malvéri AgentTesla. - Funkcia červa
Malvér dostane zoznam vymeniteľných médií. Kópia škodlivého softvéru sa vytvorí v koreňovom adresári systému súborov médií s názvom sys.exe. Autorun je implementovaný pomocou súboru autorun.inf.
Profil útočníka
Počas analýzy riadiaceho centra bolo možné zistiť e-mail a prezývku vývojára - Razer, aka Brwa, Brwa65, HiDDen PerSOn, 404 Coder. Ďalej sme na YouTube našli zaujímavé video, ktoré demonštruje prácu so staviteľom.
To umožnilo nájsť pôvodný vývojársky kanál.
Ukázalo sa, že má skúsenosti s písaním kryptografov. Nechýbajú ani odkazy na stránky na sociálnych sieťach, ako aj skutočné meno autora. Ukázalo sa, že je obyvateľom Iraku.
Takto vraj vyzerá vývojár 404 Keylogger. Fotografia z jeho osobného facebookového profilu.
CERT Group-IB oznámila novú hrozbu – 404 Keylogger – XNUMX-hodinové monitorovacie a reakčné centrum pre kybernetické hrozby (SOC) v Bahrajne.
Zdroj: hab.com