V zadnjih letih so mobilni trojanci aktivno nadomeščali trojance za osebne računalnike, zato je pojav nove zlonamerne programske opreme za dobre stare "avtomobile" in njihova aktivna uporaba s strani kiberkriminalcev, čeprav neprijeten, še vedno dogodek. Nedavno je XNUMX-urni center za odziv na incidente informacijske varnosti CERT Group-IB zaznal nenavadno lažno e-poštno sporočilo, ki je skrivalo novo zlonamerno programsko opremo za osebni računalnik, ki združuje funkcije Keyloggerja in PasswordStealerja. Pozornost analitikov je pritegnilo, kako je vohunska programska oprema prišla na uporabnikov računalnik – s pomočjo priljubljenega glasovnega sporočila. Ilya Pomerantsev, specialist za analizo zlonamerne programske opreme pri CERT Group-IB, je razložil, kako zlonamerna programska oprema deluje, zakaj je nevarna in celo odkrila njenega ustvarjalca v daljnem Iraku.
Pa pojdimo po vrsti. Takšno pismo je pod krinko priponke vsebovalo sliko, s klikom na katero je bil uporabnik preusmerjen na spletno mesto cdn.discordapp.com, od tam pa je bila prenesena zlonamerna datoteka.
Uporaba Discorda, brezplačnega glasovnega in besedilnega sporočila, je precej nekonvencionalna. Običajno se za te namene uporabljajo drugi takojšnji messengerji ali družbena omrežja.
Med podrobnejšo analizo je bila identificirana družina zlonamerne programske opreme. Izkazalo se je, da je novinec na trgu zlonamerne programske opreme - 404 Keylogger.
Prvi oglas o prodaji keyloggerja objavili na hackforumi uporabnik pod vzdevkom “404 Coder” dne 8. avgusta.
Domena trgovine je bila registrirana pred kratkim - 7. septembra 2019.
Kot pravijo razvijalci na spletnem mestu 404projekti[.]xyz, 404 je orodje, zasnovano za pomoč podjetjem pri spoznavanju dejavnosti svojih strank (z njihovim dovoljenjem) ali za tiste, ki želijo zaščititi svojo dvojiško datoteko pred obratnim inženiringom. Če pogledamo naprej, recimo to z zadnjo nalogo 404 zagotovo ne prenese.
Odločili smo se, da obrnemo eno od datotek in preverimo, kaj je »BEST SMART KEYLOGGER«.
Ekosistem zlonamerne programske opreme
Nalagalnik 1 (AtillaCrypter)
Izvorna datoteka je zaščitena z uporabo EaxObfuscator in izvaja dvostopenjsko nalaganje AtProtect iz razdelka z viri. Med analizo drugih vzorcev, najdenih na VirusTotal, je postalo jasno, da te stopnje ni zagotovil razvijalec sam, ampak jo je dodal njegov odjemalec. Kasneje je bilo ugotovljeno, da je bil ta zagonski nalagalnik AtillaCrypter.
Zagonski nalagalnik 2 (AtProtect)
Pravzaprav je ta nakladalnik sestavni del zlonamerne programske opreme in bi moral po namenu razvijalca prevzeti funkcionalnost protianalize.
Vendar so v praksi zaščitni mehanizmi izjemno primitivni in naši sistemi to zlonamerno programsko opremo uspešno odkrijejo.
Glavni modul se naloži z uporabo Franchy ShellCode različne različice. Vendar ne izključujemo, da bi lahko uporabili druge možnosti, npr. RunPE.
Konfiguracijska datoteka
Konsolidacija v sistemu
Konsolidacijo v sistemu zagotavlja zagonski nalagalnik AtProtect, če je nastavljena ustrezna zastavica.
- Datoteka se kopira vzdolž poti %AppData%GFqaakZpzwm.exe.
- Datoteka je ustvarjena %AppData%GFqaakWinDriv.url, zagon Zpzwm.exe.
- V temi HKCUProgramska opremaMicrosoftWindowsCurrentVersionRun ustvarjen je zagonski ključ WinDriv.url.
Interakcija s C&C
Nalagalnik AtProtect
Če je prisotna ustrezna zastavica, lahko zlonamerna programska oprema sproži skriti proces iexplorer in sledite navedeni povezavi, da obvestite strežnik o uspešni okužbi.
DataStealer
Ne glede na uporabljeno metodo se omrežna komunikacija začne s pridobitvijo zunanjega IP-ja žrtve z uporabo vira [http]://checkip[.]dyndns[.]org/.
Uporabniški agent: Mozilla/4.0 (združljiv; MSIE 6.0; Windows NT 5.2; .NET CLR1.0.3705;)
Splošna struktura sporočila je enaka. Prisotna glava
|——- 404 Keylogger — {Type} ——-|Če {type} ustreza vrsti informacije, ki se prenaša.
Sledijo informacije o sistemu:
_______ + PODATKI O ŽRTVI + _______
IP: {Zunanji IP}
Ime lastnika: {ime računalnika}
Ime OS: {OS Name}
Različica OS: {OS Version}
Platforma OS: {Platforma}
Velikost RAM-a: {RAM size}
______________________________
In končno, posredovani podatki.
SMTP
Zadeva pisma je naslednja: 404 K | {Vrsta sporočila} | Ime stranke: {Uporabniško ime}.
Zanimivo, dostaviti pisma stranki 404 Keylogger Uporabljen je strežnik SMTP razvijalca.
To je omogočilo identifikacijo nekaterih strank in e-pošte enega od razvijalcev.
FTP
Pri uporabi te metode se zbrani podatki shranijo v datoteko in se od tam takoj preberejo.
Logika tega dejanja ni povsem jasna, vendar ustvarja dodaten artefakt za pisanje vedenjskih pravil.
%HOMEDRIVE%%HOMEPATH%DocumentsA{poljubna številka}.txt
Pastebin
V času analize se ta metoda uporablja samo za prenos ukradenih gesel. Poleg tega se ne uporablja kot alternativa prvima dvema, ampak vzporedno. Pogoj je vrednost konstante, ki je enaka "Vavaa". Verjetno je to ime stranke.
Interakcija poteka prek protokola https prek API-ja pastebin... Pomen api_paste_private enako PASTE_UNESTED, ki prepoveduje iskanje tovrstnih strani v pastebin.
Algoritmi šifriranja
Pridobivanje datoteke iz virov
Tovor je shranjen v virih zagonskega nalagalnika AtProtect v obliki bitnih slik. Ekstrakcija poteka v več fazah:
- Iz slike se ekstrahira niz bajtov. Vsaka slikovna pika se obravnava kot zaporedje 3 bajtov v vrstnem redu BGR. Po ekstrakciji prvi 4 bajti matrike shranijo dolžino sporočila, naslednji shranijo samo sporočilo.
- Ključ je izračunan. Da bi to naredili, se MD5 izračuna iz vrednosti »ZpzwmjMJyfTNiRalKVrcSkxCN«, določene kot geslo. Dobljeni hash se zapiše dvakrat.
- Dešifriranje se izvaja z uporabo algoritma AES v načinu ECB.
Zlonamerna funkcionalnost
Downloader
Implementirano v zagonskem nalagalniku AtProtect.
- S kontaktiranjem [aktivna povezava-repalce] Status strežnika je zahtevan za potrditev, da je pripravljen za serviranje datoteke. Strežnik bi se moral vrniti »VKLOPLJENO«.
- Z referenco [povezava za prenos-zamenjaj] Tovor je prenesen.
- Z FranchyShellcode koristni tovor se vbrizga v proces [inj-replace].
Med analizo domene 404projekti[.]xyz na VirusTotal so bili odkriti dodatni primeri 404 Keylogger, pa tudi več vrst nakladalcev.
Običajno so razdeljeni na dve vrsti:
- Prenos se izvede iz vira 404projekti[.]xyz.
Podatki so kodirani Base64 in šifrirani AES. - Ta možnost je sestavljena iz več stopenj in se najverjetneje uporablja v povezavi z zagonskim nalagalnikom AtProtect.
- V prvi fazi se podatki naložijo iz pastebin in dekodiran s funkcijo HexToByte.
- Na drugi stopnji je vir obremenitve 404projekti[.]xyz. Vendar sta funkciji dekompresije in dekodiranja podobni tistim v DataStealerju. Verjetno je bilo prvotno načrtovano implementirati funkcionalnost zagonskega nalagalnika v glavni modul.
- Na tej stopnji je koristni tovor že v manifestu vira v stisnjeni obliki. Podobne funkcije ekstrakcije so bile najdene tudi v glavnem modulu.
Med analiziranimi datotekami so bili najdeni prenašalci njRat, SpyGate in druge podgane.
keylogger
Čas pošiljanja dnevnika: 30 minut.
Podprti so vsi znaki. Posebni znaki so ubežni. Obstaja obdelava za tipki BackSpace in Delete. Razlikuje med velikimi in malimi črkami.
ClipboardLogger
Čas pošiljanja dnevnika: 30 minut.
Čas pozivanja medpomnilnika: 0,1 sekunde.
Implementirano ubežanje povezav.
ScreenLogger
Čas pošiljanja dnevnika: 60 minut.
Posnetki zaslona so shranjeni v %HOMEDRIVE%%HOMEPATH%Documents404k404pic.png.
Po pošiljanju mape 404k se izbriše.
PasswordStealer
Brskalniki | Poštni odjemalci | odjemalci FTP |
---|---|---|
Krom | Outlook | FileZilla |
Firefox | Thunderbird | |
SeaMonkey | Foxmail | |
IceDragon | ||
PaleMoon | ||
cyberfox | ||
Krom | ||
BraveBrowser | ||
QQBrowser | ||
Brskalnik Iridium | ||
XvastBrowser | ||
Čedot | ||
360 Brskalnik | ||
ComodoDragon | ||
360Chrome | ||
SuperBird | ||
CentBrowser | ||
GhostBrowser | ||
IronBrowser | ||
krom | ||
Vivaldi | ||
SlimjetBrowser | ||
orbitum | ||
CocCoc | ||
Torch | ||
UCBrowser | ||
EpicBrowser | ||
BliskBrowser | ||
deluje |
Proti dinamični analizi
- Preverjanje, ali je proces v analizi
Izvedeno z iskanjem po procesu penzum, ProcessHacker, procesexp64, procexp, procmon. Če je najdena vsaj ena, zlonamerna programska oprema zapusti.
- Preverjanje, ali ste v virtualnem okolju
Izvedeno z iskanjem po procesu vmtoolsd, VGAuthService, vmacthlp, VBoxService, VBoxTray. Če je najdena vsaj ena, zlonamerna programska oprema zapusti.
- Zaspite za 5 sekund
- Predstavitev različnih vrst pogovornih oken
Lahko se uporablja za obhod nekaterih peskovnikov.
- Obhod UAC
Izvede se z urejanjem registrskega ključa EnableLUA v nastavitvah pravilnika skupine.
- Uporabi atribut "Hidden" za trenutno datoteko.
- Možnost brisanja trenutne datoteke.
Neaktivne funkcije
Med analizo zagonskega nalagalnika in glavnega modula so bile ugotovljene funkcije, ki so bile odgovorne za dodatno funkcionalnost, vendar se ne uporabljajo nikjer. To je verjetno posledica dejstva, da je zlonamerna programska oprema še v razvoju in da bo funkcionalnost kmalu razširjena.
Nalagalnik AtProtect
Najdena je bila funkcija, ki je odgovorna za nalaganje in vbrizgavanje v proces msiexec.exe poljuben modul.
DataStealer
- Konsolidacija v sistemu
- Funkcije dekompresije in dešifriranja
Verjetno bo kmalu uvedeno šifriranje podatkov med omrežno komunikacijo. - Prekinitev protivirusnih procesov
zlclient | Dvp95_0 | Pavsched | avgserv9 |
egui | Ecengine | Pavw | avgserv9schedapp |
bdagent | Esafe | PCCIOMON | avgemc |
npfmsg | Espwatch | PCCMAIN | ashwebsv |
olydbg | F-Agnt95 | Pccwin98 | ashdisp |
anubis | Findvir | Pcfwallicon | ashmaisv |
Wireshark | Fprot | Persfw | ashserv |
avastui | F-Prot | POP3TRAP | aswUpdSv |
_Avp32 | F-Prot95 | PVIEW95 | symwsc |
vsmon | Fp-Win | rav7 | norton |
mbam | Frw | Rav7win | Norton Auto-Protect |
šifrirnik tipk | F-Stopw | Rescue | norton_av |
_Avpcc | Iamapp | Safeweb | nortonav |
_Avpm | Iamserv | Skeniraj 32 | ccsetmgr |
Ackwin32 | Ibmasn | Skeniraj 95 | ccevtmgr |
Outpost | Ibmavsp | Scanpm | avaadmin |
Anti-Trojan | Icload95 | Scrscan | avcenter |
ANTIVIR | Icloadnt | Serv95 | avgnt |
Apvxdwin | Icmon | smc | avguard |
ATRACK | Icsupp95 | SMCSERVICE | avnotify |
Autodown | Icsuppnt | Snort | avscan |
Avconsol | Iface | Sphinx | guardgui |
Ave32 | Iomon98 | Sweep95 | nod32krn |
Avgctrl | Jedi | SYMPROXYSVC | nod32kui |
Avkserv | Zaklepanje 2000 | Tbscan | clamscan |
Avnt | Pazi | Tca | clamTray |
Avp | Luall | Tds2-98 | clamWin |
Avp32 | mcafee | Tds2-Nt | freshclam |
Avpcc | Moolive | TermiNET | oladin |
Avpdos32 | MPftray | Vet95 | sigtool |
Avpm | N32scanw | Vettray | w9xpopen |
Avptc32 | NAVAPSVC | Vscan40 | Zapri |
Avpupd | NAVAPW32 | Vsecomr | cmgrdian |
Avsched32 | NAVLU32 | Vshwin32 | alogserv |
AVSYNMGR | Navnt | Vsstat | mcshield |
Avwin95 | NAVRUNR | Webscanx | vshwin32 |
Avwupd32 | Navw32 | Spletna stran | avconsol |
Blackd | Navwnt | Wfindv32 | vsstat |
Črn led | NeoWatch | Zonealarm | avsynmgr |
Cfiadmin | NISSERV | ZAKLEP 2000 | avcmd |
Cfiaudit | Nisum | REŠITEV32 | avconfig |
Cfinet | Nmain | LUCOMSERVER | licmgr |
Cfinet32 | Normist | avgcc | razpored |
Kremplj 95 | NORTON | avgcc | preupd |
Claw95cf | Nadgradnja | avgamsvr | MsMpEng |
Čistilo | Nvc95 | avgupsvc | MSASCui |
Čistilec3 | Outpost | povpr | Avira.Systray |
Defwatch | Padmin | avgcc32 | |
Dvp95 | Pavcl | avgserv |
- Samouničenje
- Nalaganje podatkov iz določenega manifesta vira
- Kopiranje datoteke po poti %Temp%tmpG[trenutni datum in čas v milisekundah].tmp
Zanimivo je, da je enaka funkcija prisotna v zlonamerni programski opremi AgentTesla. - Funkcionalnost črva
Zlonamerna programska oprema prejme seznam izmenljivih medijev. Kopija zlonamerne programske opreme se ustvari v korenu medijskega datotečnega sistema z imenom Sys.exe. Samodejni zagon se izvaja z uporabo datoteke autorun.inf.
Profil napadalca
Med analizo ukaznega centra je bilo mogoče ugotoviti e-pošto in vzdevek razvijalca - Razer, alias Brwa, Brwa65, HiDDen PerSOn, 404 Coder. Nato smo na YouTubu našli zanimiv video, ki prikazuje delo z gradbenikom.
To je omogočilo iskanje prvotnega razvijalskega kanala.
Postalo je jasno, da ima izkušnje s pisanjem kriptografov. Navedene so tudi povezave do strani na družbenih omrežjih, pa tudi pravo ime avtorja. Izkazalo se je, da je prebivalec Iraka.
Takole naj bi izgledal razvijalec 404 Keylogger. Fotografija z njegovega osebnega Facebook profila.
CERT Group-IB je objavil novo grožnjo - 404 Keylogger - XNUMX-urni center za spremljanje in odziv na kibernetske grožnje (SOC) v Bahrajnu.
Vir: www.habr.com