Keylogger s presenečenjem: analiza keyloggerja in deanon njegovega razvijalca

V zadnjih letih so mobilni trojanci aktivno nadomeščali trojance za osebne računalnike, zato je pojav nove zlonamerne programske opreme za dobre stare "avtomobile" in njihova aktivna uporaba s strani kiberkriminalcev, čeprav neprijeten, še vedno dogodek. Nedavno je XNUMX-urni center za odziv na incidente informacijske varnosti CERT Group-IB zaznal nenavadno lažno e-poštno sporočilo, ki je skrivalo novo zlonamerno programsko opremo za osebni računalnik, ki združuje funkcije Keyloggerja in PasswordStealerja. Pozornost analitikov je pritegnilo, kako je vohunska programska oprema prišla na uporabnikov računalnik – s pomočjo priljubljenega glasovnega sporočila. Ilya Pomerantsev, specialist za analizo zlonamerne programske opreme pri CERT Group-IB, je razložil, kako zlonamerna programska oprema deluje, zakaj je nevarna in celo odkrila njenega ustvarjalca v daljnem Iraku.

Pa pojdimo po vrsti. Takšno pismo je pod krinko priponke vsebovalo sliko, s klikom na katero je bil uporabnik preusmerjen na spletno mesto cdn.discordapp.com, od tam pa je bila prenesena zlonamerna datoteka.

Uporaba Discorda, brezplačnega glasovnega in besedilnega sporočila, je precej nekonvencionalna. Običajno se za te namene uporabljajo drugi takojšnji messengerji ali družbena omrežja.

Med podrobnejšo analizo je bila identificirana družina zlonamerne programske opreme. Izkazalo se je, da je novinec na trgu zlonamerne programske opreme - 404 Keylogger.

Prvi oglas o prodaji keyloggerja objavili na hackforumi uporabnik pod vzdevkom “404 Coder” dne 8. avgusta.

Domena trgovine je bila registrirana pred kratkim - 7. septembra 2019.

Kot pravijo razvijalci na spletnem mestu 404projekti[.]xyz, 404 je orodje, zasnovano za pomoč podjetjem pri spoznavanju dejavnosti svojih strank (z njihovim dovoljenjem) ali za tiste, ki želijo zaščititi svojo dvojiško datoteko pred obratnim inženiringom. Če pogledamo naprej, recimo to z zadnjo nalogo 404 zagotovo ne prenese.

Odločili smo se, da obrnemo eno od datotek in preverimo, kaj je »BEST SMART KEYLOGGER«.

Ekosistem zlonamerne programske opreme

Nalagalnik 1 (AtillaCrypter)

Izvorna datoteka je zaščitena z uporabo EaxObfuscator in izvaja dvostopenjsko nalaganje AtProtect iz razdelka z viri. Med analizo drugih vzorcev, najdenih na VirusTotal, je postalo jasno, da te stopnje ni zagotovil razvijalec sam, ampak jo je dodal njegov odjemalec. Kasneje je bilo ugotovljeno, da je bil ta zagonski nalagalnik AtillaCrypter.

Zagonski nalagalnik 2 (AtProtect)

Pravzaprav je ta nakladalnik sestavni del zlonamerne programske opreme in bi moral po namenu razvijalca prevzeti funkcionalnost protianalize.

Vendar so v praksi zaščitni mehanizmi izjemno primitivni in naši sistemi to zlonamerno programsko opremo uspešno odkrijejo.

Glavni modul se naloži z uporabo Franchy ShellCode različne različice. Vendar ne izključujemo, da bi lahko uporabili druge možnosti, npr. RunPE.

Konfiguracijska datoteka

Konsolidacija v sistemu

Konsolidacijo v sistemu zagotavlja zagonski nalagalnik AtProtect, če je nastavljena ustrezna zastavica.

• Datoteka se kopira vzdolž poti %AppData%GFqaakZpzwm.exe.
• Datoteka je ustvarjena %AppData%GFqaakWinDriv.url, zagon Zpzwm.exe.
• V temi HKCUProgramska opremaMicrosoftWindowsCurrentVersionRun ustvarjen je zagonski ključ WinDriv.url.

Interakcija s C&C

Nalagalnik AtProtect

Če je prisotna ustrezna zastavica, lahko zlonamerna programska oprema sproži skriti proces iexplorer in sledite navedeni povezavi, da obvestite strežnik o uspešni okužbi.

DataStealer

Ne glede na uporabljeno metodo se omrežna komunikacija začne s pridobitvijo zunanjega IP-ja žrtve z uporabo vira [http]://checkip[.]dyndns[.]org/.

Uporabniški agent: Mozilla/4.0 (združljiv; MSIE 6.0; Windows NT 5.2; .NET CLR1.0.3705;)

Splošna struktura sporočila je enaka. Prisotna glava
|——- 404 Keylogger — {Type} ——-|Če {type} ustreza vrsti informacije, ki se prenaša.
Sledijo informacije o sistemu:

_______ + PODATKI O ŽRTVI + _______

IP: {Zunanji IP}
Ime lastnika: {ime računalnika}
Ime OS: {OS Name}
Različica OS: {OS Version}
Platforma OS: {Platforma}
Velikost RAM-a: {RAM size}
______________________________

In končno, posredovani podatki.

SMTP

Zadeva pisma je naslednja: 404 K | {Vrsta sporočila} | Ime stranke: {Uporabniško ime}.

Zanimivo, dostaviti pisma stranki 404 Keylogger Uporabljen je strežnik SMTP razvijalca.

To je omogočilo identifikacijo nekaterih strank in e-pošte enega od razvijalcev.

FTP

Pri uporabi te metode se zbrani podatki shranijo v datoteko in se od tam takoj preberejo.

Logika tega dejanja ni povsem jasna, vendar ustvarja dodaten artefakt za pisanje vedenjskih pravil.

%HOMEDRIVE%%HOMEPATH%DocumentsA{poljubna številka}.txt

Pastebin

V času analize se ta metoda uporablja samo za prenos ukradenih gesel. Poleg tega se ne uporablja kot alternativa prvima dvema, ampak vzporedno. Pogoj je vrednost konstante, ki je enaka "Vavaa". Verjetno je to ime stranke.

Interakcija poteka prek protokola https prek API-ja pastebin... Pomen api_paste_private enako PASTE_UNESTED, ki prepoveduje iskanje tovrstnih strani v pastebin.

Algoritmi šifriranja

Pridobivanje datoteke iz virov

Tovor je shranjen v virih zagonskega nalagalnika AtProtect v obliki bitnih slik. Ekstrakcija poteka v več fazah:

• Iz slike se ekstrahira niz bajtov. Vsaka slikovna pika se obravnava kot zaporedje 3 bajtov v vrstnem redu BGR. Po ekstrakciji prvi 4 bajti matrike shranijo dolžino sporočila, naslednji shranijo samo sporočilo.

  

• Ključ je izračunan. Da bi to naredili, se MD5 izračuna iz vrednosti »ZpzwmjMJyfTNiRalKVrcSkxCN«, določene kot geslo. Dobljeni hash se zapiše dvakrat.

  

• Dešifriranje se izvaja z uporabo algoritma AES v načinu ECB.

Zlonamerna funkcionalnost

Downloader

Implementirano v zagonskem nalagalniku AtProtect.

• S kontaktiranjem [aktivna povezava-repalce] Status strežnika je zahtevan za potrditev, da je pripravljen za serviranje datoteke. Strežnik bi se moral vrniti »VKLOPLJENO«.
• Z referenco [povezava za prenos-zamenjaj] Tovor je prenesen.
• Z FranchyShellcode koristni tovor se vbrizga v proces [inj-replace].

Med analizo domene 404projekti[.]xyz na VirusTotal so bili odkriti dodatni primeri 404 Keylogger, pa tudi več vrst nakladalcev.

Običajno so razdeljeni na dve vrsti:

1. Prenos se izvede iz vira 404projekti[.]xyz.

   
   Podatki so kodirani Base64 in šifrirani AES.

2. Ta možnost je sestavljena iz več stopenj in se najverjetneje uporablja v povezavi z zagonskim nalagalnikom AtProtect.

• V prvi fazi se podatki naložijo iz pastebin in dekodiran s funkcijo HexToByte.

  

• Na drugi stopnji je vir obremenitve 404projekti[.]xyz. Vendar sta funkciji dekompresije in dekodiranja podobni tistim v DataStealerju. Verjetno je bilo prvotno načrtovano implementirati funkcionalnost zagonskega nalagalnika v glavni modul.

  

• Na tej stopnji je koristni tovor že v manifestu vira v stisnjeni obliki. Podobne funkcije ekstrakcije so bile najdene tudi v glavnem modulu.

Med analiziranimi datotekami so bili najdeni prenašalci njRat, SpyGate in druge podgane.

keylogger

Čas pošiljanja dnevnika: 30 minut.

Podprti so vsi znaki. Posebni znaki so ubežni. Obstaja obdelava za tipki BackSpace in Delete. Razlikuje med velikimi in malimi črkami.

ClipboardLogger

Čas pošiljanja dnevnika: 30 minut.

Čas pozivanja medpomnilnika: 0,1 sekunde.

Implementirano ubežanje povezav.

ScreenLogger

Čas pošiljanja dnevnika: 60 minut.

Posnetki zaslona so shranjeni v %HOMEDRIVE%%HOMEPATH%Documents404k404pic.png.

Po pošiljanju mape 404k se izbriše.

PasswordStealer

Brskalniki	Poštni odjemalci	odjemalci FTP
Krom	Outlook	FileZilla
Firefox	Thunderbird
SeaMonkey	Foxmail
IceDragon
PaleMoon
cyberfox
Krom
BraveBrowser
QQBrowser
Brskalnik Iridium
XvastBrowser
Čedot
360 Brskalnik
ComodoDragon
360Chrome
SuperBird
CentBrowser
GhostBrowser
IronBrowser
krom
Vivaldi
SlimjetBrowser
orbitum
CocCoc
Torch
UCBrowser
EpicBrowser
BliskBrowser
deluje

Proti dinamični analizi

• Preverjanje, ali je proces v analizi

  Izvedeno z iskanjem po procesu penzum, ProcessHacker, procesexp64, procexp, procmon. Če je najdena vsaj ena, zlonamerna programska oprema zapusti.

• Preverjanje, ali ste v virtualnem okolju

  Izvedeno z iskanjem po procesu vmtoolsd, VGAuthService, vmacthlp, VBoxService, VBoxTray. Če je najdena vsaj ena, zlonamerna programska oprema zapusti.

• Zaspite za 5 sekund
• Predstavitev različnih vrst pogovornih oken

  Lahko se uporablja za obhod nekaterih peskovnikov.

• Obhod UAC

  Izvede se z urejanjem registrskega ključa EnableLUA v nastavitvah pravilnika skupine.

• Uporabi atribut "Hidden" za trenutno datoteko.
• Možnost brisanja trenutne datoteke.

Neaktivne funkcije

Med analizo zagonskega nalagalnika in glavnega modula so bile ugotovljene funkcije, ki so bile odgovorne za dodatno funkcionalnost, vendar se ne uporabljajo nikjer. To je verjetno posledica dejstva, da je zlonamerna programska oprema še v razvoju in da bo funkcionalnost kmalu razširjena.

Nalagalnik AtProtect

Najdena je bila funkcija, ki je odgovorna za nalaganje in vbrizgavanje v proces msiexec.exe poljuben modul.

DataStealer

• Konsolidacija v sistemu

  

• Funkcije dekompresije in dešifriranja

  
  
  Verjetno bo kmalu uvedeno šifriranje podatkov med omrežno komunikacijo.

• Prekinitev protivirusnih procesov

zlclient	Dvp95_0	Pavsched	avgserv9
egui	Ecengine	Pavw	avgserv9schedapp
bdagent	Esafe	PCCIOMON	avgemc
npfmsg	Espwatch	PCCMAIN	ashwebsv
olydbg	F-Agnt95	Pccwin98	ashdisp
anubis	Findvir	Pcfwallicon	ashmaisv
Wireshark	Fprot	Persfw	ashserv
avastui	F-Prot	POP3TRAP	aswUpdSv
_Avp32	F-Prot95	PVIEW95	symwsc
vsmon	Fp-Win	rav7	norton
mbam	Frw	Rav7win	Norton Auto-Protect
šifrirnik tipk	F-Stopw	Rescue	norton_av
_Avpcc	Iamapp	Safeweb	nortonav
_Avpm	Iamserv	Skeniraj 32	ccsetmgr
Ackwin32	Ibmasn	Skeniraj 95	ccevtmgr
Outpost	Ibmavsp	Scanpm	avaadmin
Anti-Trojan	Icload95	Scrscan	avcenter
ANTIVIR	Icloadnt	Serv95	avgnt
Apvxdwin	Icmon	smc	avguard
ATRACK	Icsupp95	SMCSERVICE	avnotify
Autodown	Icsuppnt	Snort	avscan
Avconsol	Iface	Sphinx	guardgui
Ave32	Iomon98	Sweep95	nod32krn
Avgctrl	Jedi	SYMPROXYSVC	nod32kui
Avkserv	Zaklepanje 2000	Tbscan	clamscan
Avnt	Pazi	Tca	clamTray
Avp	Luall	Tds2-98	clamWin
Avp32	mcafee	Tds2-Nt	freshclam
Avpcc	Moolive	TermiNET	oladin
Avpdos32	MPftray	Vet95	sigtool
Avpm	N32scanw	Vettray	w9xpopen
Avptc32	NAVAPSVC	Vscan40	Zapri
Avpupd	NAVAPW32	Vsecomr	cmgrdian
Avsched32	NAVLU32	Vshwin32	alogserv
AVSYNMGR	Navnt	Vsstat	mcshield
Avwin95	NAVRUNR	Webscanx	vshwin32
Avwupd32	Navw32	Spletna stran	avconsol
Blackd	Navwnt	Wfindv32	vsstat
Črn led	NeoWatch	Zonealarm	avsynmgr
Cfiadmin	NISSERV	ZAKLEP 2000	avcmd
Cfiaudit	Nisum	REŠITEV32	avconfig
Cfinet	Nmain	LUCOMSERVER	licmgr
Cfinet32	Normist	avgcc	razpored
Kremplj 95	NORTON	avgcc	preupd
Claw95cf	Nadgradnja	avgamsvr	MsMpEng
Čistilo	Nvc95	avgupsvc	MSASCui
Čistilec3	Outpost	povpr	Avira.Systray
Defwatch	Padmin	avgcc32
Dvp95	Pavcl	avgserv

• Samouničenje
• Nalaganje podatkov iz določenega manifesta vira

  

• Kopiranje datoteke po poti %Temp%tmpG[trenutni datum in čas v milisekundah].tmp

  
  Zanimivo je, da je enaka funkcija prisotna v zlonamerni programski opremi AgentTesla.

• Funkcionalnost črva

  Zlonamerna programska oprema prejme seznam izmenljivih medijev. Kopija zlonamerne programske opreme se ustvari v korenu medijskega datotečnega sistema z imenom Sys.exe. Samodejni zagon se izvaja z uporabo datoteke autorun.inf.

  

Profil napadalca

Med analizo ukaznega centra je bilo mogoče ugotoviti e-pošto in vzdevek razvijalca - Razer, alias Brwa, Brwa65, HiDDen PerSOn, 404 Coder. Nato smo na YouTubu našli zanimiv video, ki prikazuje delo z gradbenikom.

To je omogočilo iskanje prvotnega razvijalskega kanala.

Postalo je jasno, da ima izkušnje s pisanjem kriptografov. Navedene so tudi povezave do strani na družbenih omrežjih, pa tudi pravo ime avtorja. Izkazalo se je, da je prebivalec Iraka.

Takole naj bi izgledal razvijalec 404 Keylogger. Fotografija z njegovega osebnega Facebook profila.

CERT Group-IB je objavil novo grožnjo - 404 Keylogger - XNUMX-urni center za spremljanje in odziv na kibernetske grožnje (SOC) v Bahrajnu.

Vir: www.habr.com