Keylogger s presenečenjem: analiza keyloggerja in deanon njegovega razvijalca

V zadnjih letih so mobilni trojanci aktivno nadomeščali trojance za osebne računalnike, zato je pojav nove zlonamerne programske opreme za dobre stare "avtomobile" in njihova aktivna uporaba s strani kiberkriminalcev, čeprav neprijeten, še vedno dogodek. Nedavno je XNUMX-urni center za odziv na incidente informacijske varnosti CERT Group-IB zaznal nenavadno lažno e-poštno sporočilo, ki je skrivalo novo zlonamerno programsko opremo za osebni računalnik, ki združuje funkcije Keyloggerja in PasswordStealerja. Pozornost analitikov je pritegnilo, kako je vohunska programska oprema prišla na uporabnikov računalnik – s pomočjo priljubljenega glasovnega sporočila. Ilya Pomerantsev, specialist za analizo zlonamerne programske opreme pri CERT Group-IB, je razložil, kako zlonamerna programska oprema deluje, zakaj je nevarna in celo odkrila njenega ustvarjalca v daljnem Iraku.

Pa pojdimo po vrsti. Takšno pismo je pod krinko priponke vsebovalo sliko, s klikom na katero je bil uporabnik preusmerjen na spletno mesto cdn.discordapp.com, od tam pa je bila prenesena zlonamerna datoteka.

Uporaba Discorda, brezplačnega glasovnega in besedilnega sporočila, je precej nekonvencionalna. Običajno se za te namene uporabljajo drugi takojšnji messengerji ali družbena omrežja.

Med podrobnejšo analizo je bila identificirana družina zlonamerne programske opreme. Izkazalo se je, da je novinec na trgu zlonamerne programske opreme - 404 Keylogger.

Prvi oglas o prodaji keyloggerja objavili na hackforumi uporabnik pod vzdevkom “404 Coder” dne 8. avgusta.

Domena trgovine je bila registrirana pred kratkim - 7. septembra 2019.

Kot pravijo razvijalci na spletnem mestu 404projekti[.]xyz, 404 je orodje, zasnovano za pomoč podjetjem pri spoznavanju dejavnosti svojih strank (z njihovim dovoljenjem) ali za tiste, ki želijo zaščititi svojo dvojiško datoteko pred obratnim inženiringom. Če pogledamo naprej, recimo to z zadnjo nalogo 404 zagotovo ne prenese.

Odločili smo se, da obrnemo eno od datotek in preverimo, kaj je »BEST SMART KEYLOGGER«.

Ekosistem zlonamerne programske opreme

Nalagalnik 1 (AtillaCrypter)

Izvorna datoteka je zaščitena z uporabo EaxObfuscator in izvaja dvostopenjsko nalaganje AtProtect iz razdelka z viri. Med analizo drugih vzorcev, najdenih na VirusTotal, je postalo jasno, da te stopnje ni zagotovil razvijalec sam, ampak jo je dodal njegov odjemalec. Kasneje je bilo ugotovljeno, da je bil ta zagonski nalagalnik AtillaCrypter.

Zagonski nalagalnik 2 (AtProtect)

Pravzaprav je ta nakladalnik sestavni del zlonamerne programske opreme in bi moral po namenu razvijalca prevzeti funkcionalnost protianalize.

Vendar so v praksi zaščitni mehanizmi izjemno primitivni in naši sistemi to zlonamerno programsko opremo uspešno odkrijejo.

Glavni modul se naloži z uporabo Franchy ShellCode različne različice. Vendar ne izključujemo, da bi lahko uporabili druge možnosti, npr. RunPE.

Konfiguracijska datoteka

Konsolidacija v sistemu

Konsolidacijo v sistemu zagotavlja zagonski nalagalnik AtProtect, če je nastavljena ustrezna zastavica.

• Datoteka se kopira vzdolž poti %AppData%GFqaakZpzwm.exe.
• Datoteka je ustvarjena %AppData%GFqaakWinDriv.url, zagon Zpzwm.exe.
• V temi HKCUSoftwareMicrosoftWindowsTrenutna različica ustvarjen je zagonski ključ WinDriv.url.

Interakcija s C&C

Nalagalnik AtProtect

Če je prisotna ustrezna zastavica, lahko zlonamerna programska oprema sproži skriti proces iexplorer in sledite priloženi povezavi za obveščanje strežnik o uspešni okužbi.

DataStealer

Ne glede na uporabljeno metodo se omrežna komunikacija začne s pridobitvijo zunanjega IP-ja žrtve z uporabo vira [http]://checkip[.]dyndns[.]org/.

Uporabniški agent: Mozilla/4.0 (združljiv; MSIE 6.0; Windows NT 5.2; .NET CLR1.0.3705;)

Splošna struktura sporočila je enaka. Prisotna glava
|——- 404 Keylogger — {Type} ——-|Če {type} ustreza vrsti informacije, ki se prenaša.
Sledijo informacije o sistemu:

_______ + PODATKI O ŽRTVI + _______

IP: {Zunanji IP}
Ime lastnika: {ime računalnika}
Ime OS: {OS Name}
Različica OS: {OS Version}
Platforma OS: {Platforma}
Velikost RAM-a: {RAM size}
______________________________

In končno, posredovani podatki.

SMTP

Zadeva pisma je naslednja: 404 K | {Vrsta sporočila} | Ime stranke: {Uporabniško ime}.

Zanimivo, dostaviti pisma stranki 404 Keylogger Uporabljen je strežnik SMTP razvijalca.

To je omogočilo identifikacijo nekaterih strank in e-pošte enega od razvijalcev.

FTP

Pri uporabi te metode se zbrani podatki shranijo v datoteko in se od tam takoj preberejo.

Logika tega dejanja ni povsem jasna, vendar ustvarja dodaten artefakt za pisanje vedenjskih pravil.

%HOMEDRIVE%%HOMEPATH%DocumentsA{poljubna številka}.txt

Pastebin

V času analize se ta metoda uporablja samo za prenos ukradenih gesel. Poleg tega se ne uporablja kot alternativa prvima dvema, ampak vzporedno. Pogoj je vrednost konstante, ki je enaka "Vavaa". Verjetno je to ime stranke.

Interakcija poteka prek protokola https prek API-ja pastebin... Pomen api_paste_private enako PASTE_UNESTED, ki prepoveduje iskanje tovrstnih strani v pastebin.

Algoritmi šifriranja

Pridobivanje datoteke iz virov

Tovor je shranjen v virih zagonskega nalagalnika AtProtect v obliki bitnih slik. Ekstrakcija poteka v več fazah:

• Iz slike se ekstrahira niz bajtov. Vsaka slikovna pika se obravnava kot zaporedje 3 bajtov v vrstnem redu BGR. Po ekstrakciji prvi 4 bajti matrike shranijo dolžino sporočila, naslednji shranijo samo sporočilo.

  

• Ključ je izračunan. Da bi to naredili, se MD5 izračuna iz vrednosti »ZpzwmjMJyfTNiRalKVrcSkxCN«, določene kot geslo. Dobljeni hash se zapiše dvakrat.

  

• Dešifriranje se izvaja z uporabo algoritma AES v načinu ECB.

Zlonamerna funkcionalnost

Downloader

Implementirano v zagonskem nalagalniku AtProtect.

• S kontaktiranjem [aktivna povezava-repalce] Status strežnika je zahtevan za potrditev, da je pripravljen za serviranje datoteke. Strežnik bi se moral vrniti »VKLOPLJENO«.
• Z referenco [povezava za prenos-zamenjaj] Tovor je prenesen.
• Z FranchyShellcode koristni tovor se vbrizga v proces [inj-replace].

Med analizo domene 404projekti[.]xyz na VirusTotal so bili odkriti dodatni primeri 404 Keylogger, pa tudi več vrst nakladalcev.

Običajno so razdeljeni na dve vrsti:

1. Prenos se izvede iz vira 404projekti[.]xyz.

   
   Podatki so kodirani Base64 in šifrirani AES.

2. Ta možnost je sestavljena iz več stopenj in se najverjetneje uporablja v povezavi z zagonskim nalagalnikom AtProtect.

• V prvi fazi se podatki naložijo iz pastebin in dekodiran s funkcijo HexToByte.

  

• Na drugi stopnji je vir obremenitve 404projekti[.]xyz. Vendar sta funkciji dekompresije in dekodiranja podobni tistim v DataStealerju. Verjetno je bilo prvotno načrtovano implementirati funkcionalnost zagonskega nalagalnika v glavni modul.

  

• Na tej stopnji je koristni tovor že v manifestu vira v stisnjeni obliki. Podobne funkcije ekstrakcije so bile najdene tudi v glavnem modulu.

Med analiziranimi datotekami so bili najdeni prenašalci njRat, SpyGate in druge podgane.

keylogger

Čas pošiljanja dnevnika: 30 minut.

Podprti so vsi znaki. Posebni znaki so ubežni. Obstaja obdelava za tipki BackSpace in Delete. Razlikuje med velikimi in malimi črkami.

ClipboardLogger

Čas pošiljanja dnevnika: 30 minut.

Čas pozivanja medpomnilnika: 0,1 sekunde.

Implementirano ubežanje povezav.

ScreenLogger

Čas pošiljanja dnevnika: 60 minut.

Posnetki zaslona so shranjeni v %HOMEDRIVE%%HOMEPATH%Documents404k404pic.png.

Po pošiljanju mape 404k se izbriše.

PasswordStealer

Proti dinamični analizi

• Preverjanje, ali je proces v analizi

  Izvedeno z iskanjem po procesu penzum, ProcessHacker, procesexp64, procexp, procmon. Če je najdena vsaj ena, zlonamerna programska oprema zapusti.

• Preverjanje, ali ste v virtualnem okolju

  Izvedeno z iskanjem po procesu vmtoolsd, VGAuthService, vmacthlp, VBoxService, VBoxTray. Če je najdena vsaj ena, zlonamerna programska oprema zapusti.

• Zaspite za 5 sekund
• Predstavitev različnih vrst pogovornih oken

  Lahko se uporablja za obhod nekaterih peskovnikov.

• Obhod UAC

  Izvede se z urejanjem registrskega ključa EnableLUA v nastavitvah pravilnika skupine.

• Uporabi atribut "Hidden" za trenutno datoteko.
• Možnost brisanja trenutne datoteke.

Neaktivne funkcije

Med analizo zagonskega nalagalnika in glavnega modula so bile ugotovljene funkcije, ki so bile odgovorne za dodatno funkcionalnost, vendar se ne uporabljajo nikjer. To je verjetno posledica dejstva, da je zlonamerna programska oprema še v razvoju in da bo funkcionalnost kmalu razširjena.

Nalagalnik AtProtect

Najdena je bila funkcija, ki je odgovorna za nalaganje in vbrizgavanje v proces msiexec.exe poljuben modul.

DataStealer

• Konsolidacija v sistemu

  

• Funkcije dekompresije in dešifriranja

  
  
  Verjetno bo kmalu uvedeno šifriranje podatkov med omrežno komunikacijo.

• Prekinitev protivirusnih procesov

• Samouničenje
• Nalaganje podatkov iz določenega manifesta vira

  

• Kopiranje datoteke po poti %Temp%tmpG[trenutni datum in čas v milisekundah].tmp

  
  Zanimivo je, da je enaka funkcija prisotna v zlonamerni programski opremi AgentTesla.

• Funkcionalnost črva

  Zlonamerna programska oprema prejme seznam izmenljivih medijev. Kopija zlonamerne programske opreme se ustvari v korenu medijskega datotečnega sistema z imenom Sys.exe. Samodejni zagon se izvaja z uporabo datoteke autorun.inf.

  

Profil napadalca

Med analizo ukaznega centra je bilo mogoče ugotoviti e-pošto in vzdevek razvijalca - Razer, alias Brwa, Brwa65, HiDDen PerSOn, 404 Coder. Nato smo na YouTubu našli zanimiv video, ki prikazuje delo z gradbenikom.

To je omogočilo iskanje prvotnega razvijalskega kanala.

Postalo je jasno, da ima izkušnje s pisanjem kriptografov. Navedene so tudi povezave do strani na družbenih omrežjih, pa tudi pravo ime avtorja. Izkazalo se je, da je prebivalec Iraka.

Takole naj bi izgledal razvijalec 404 Keylogger. Fotografija z njegovega osebnega Facebook profila.

CERT Group-IB je objavil novo grožnjo - 404 Keylogger - XNUMX-urni center za spremljanje in odziv na kibernetske grožnje (SOC) v Bahrajnu.

Vir: www.habr.com