Vitet e fundit, trojanët celularë kanë zëvendësuar në mënyrë aktive trojanët për kompjuterët personalë, kështu që shfaqja e malware të rinj për "makinat" e vjetra të mira dhe përdorimi i tyre aktiv nga kriminelët kibernetikë, megjithëse i pakëndshëm, është ende një ngjarje. Kohët e fundit, qendra e reagimit ndaj incidenteve të sigurisë së informacionit 24/7 e CERT Group-IB zbuloi një email të pazakontë phishing që fshihte një malware të ri PC që kombinon funksionet e Keylogger dhe PasswordStealer. Vëmendja e analistëve u tërhoq nga mënyra sesi spyware hyri në makinën e përdoruesit - duke përdorur një mesazher popullor zanor. Ilya Pomerantsev, një specialist i analizës së malware në CERT Group-IB, shpjegoi se si funksionon malware, pse është i rrezikshëm dhe madje gjeti krijuesin e tij në Irakun e largët.
Pra, le të shkojmë me radhë. Nën maskën e një bashkëngjitjeje, një letër e tillë përmbante një foto, pasi të klikohej në të cilën përdoruesi u dërgua në sit cdn.discordapp.com, dhe një skedar me qëllim të keq u shkarkua prej andej.
Përdorimi i Discord, një mesazher falas me zë dhe tekst, është mjaft i pazakontë. Në mënyrë tipike, për këto qëllime përdoren mesazhe të tjera të çastit ose rrjete sociale.
Gjatë një analize më të detajuar, u identifikua një familje malware. Doli të ishte një i sapoardhur në tregun e malware - 404 Keylogger.
Është postuar shpallja e parë për shitjen e një keylogger hackforume nga përdoruesi me pseudonimin "404 Coder" më 8 gusht.
Domeni i dyqanit u regjistrua mjaft kohët e fundit - më 7 shtator 2019.
Siç thonë zhvilluesit në faqen e internetit 404 projekte[.]xyz, 404 është një mjet i krijuar për të ndihmuar kompanitë të mësojnë rreth aktiviteteve të klientëve të tyre (me lejen e tyre) ose për ata që duan të mbrojnë binarin e tyre nga inxhinieria e kundërt. Duke parë përpara, le të themi se me detyrën e fundit 404 definitivisht nuk e përballon.
Ne vendosëm të kthejmë një nga skedarët dhe të kontrollojmë se çfarë është "BEST SMART KEYLOGGER".
Ekosistemi i malware
Ngarkuesi 1 (AtillaCrypter)
Skedari burimor mbrohet duke përdorur EaxObfuscator dhe kryen ngarkimin me dy hapa AtProtect nga seksioni i burimeve. Gjatë analizës së mostrave të tjera të gjetura në VirusTotal, u bë e qartë se kjo fazë nuk ishte siguruar nga vetë zhvilluesi, por ishte shtuar nga klienti i tij. Më vonë u përcaktua se ky bootloader ishte AtillaCrypter.
Bootloader 2 (AtProtect)
Në fakt, ky ngarkues është një pjesë integrale e malware dhe, sipas qëllimit të zhvilluesit, duhet të marrë funksionin e analizës së kundërvënieve.
Megjithatë, në praktikë, mekanizmat e mbrojtjes janë jashtëzakonisht primitivë dhe sistemet tona zbulojnë me sukses këtë malware.
Moduli kryesor ngarkohet duke përdorur Franchy ShellCode versione të ndryshme. Megjithatë, ne nuk përjashtojmë që mund të ishin përdorur opsione të tjera, për shembull, RunPE.
Skedari i konfigurimit
Konsolidimi në sistem
Konsolidimi në sistem sigurohet nga ngarkuesi AtProtect, nëse është vendosur flamuri përkatës.
- Skedari kopjohet përgjatë rrugës %AppData%GFqaakZpzwm.exe.
- Skedari është krijuar %AppData%GFqaakWinDriv.url, duke nisur Zpzwm.exe.
- Në fill HKCUSoftwareMicrosoftWindowsCurrentVersionRun krijohet një çelës nisjeje WinDriv.url.
Ndërveprimi me C&C
Ngarkuesi AtProtect
Nëse flamuri i duhur është i pranishëm, malware mund të nisë një proces të fshehur eksplorues dhe ndiqni lidhjen e specifikuar për të njoftuar serverin për infeksion të suksesshëm.
DataStealer
Pavarësisht nga metoda e përdorur, komunikimi në rrjet fillon me marrjen e IP-së së jashtme të viktimës duke përdorur burimin [http]://checkip[.]dyndns[.]org/.
Agjenti i përdoruesit: Mozilla/4.0 (i pajtueshëm; MSIE 6.0; Windows NT 5.2; .NET CLR1.0.3705;)
Struktura e përgjithshme e mesazhit është e njëjtë. Kreu i pranishëm
|——- 404 Keylogger — {Lloji} ——-|Ku {lloj} korrespondon me llojin e informacionit që transmetohet.
Më poshtë janë informacionet rreth sistemit:
_______ + INFORMACION I VIKTIMIT + _______
IP: {IP e jashtme}
Emri i pronarit: {Emri i kompjuterit}
Emri i OS: {Emri OS}
Versioni i OS: {Versioni OS}
Platforma OS: {Platform}
Madhësia RAM: {madhësia RAM}
______________________________
Dhe së fundi, të dhënat e transmetuara.
SMTP
Tema e letrës është si më poshtë: 404 K | {Lloji i mesazhit} | Emri i klientit: {Username}.
Interesante, për t'i dorëzuar letra klientit 404 Keylogger Përdoret serveri SMTP i zhvilluesve.
Kjo bëri të mundur identifikimin e disa klientëve, si dhe emailin e një prej zhvilluesve.
FTP
Kur përdorni këtë metodë, informacioni i mbledhur ruhet në një skedar dhe lexohet menjëherë nga atje.
Logjika pas këtij veprimi nuk është plotësisht e qartë, por krijon një artefakt shtesë për të shkruar rregullat e sjelljes.
%HOMEDRIVE%%HOMEPATH%DocumentsA{Numër arbitrar}.txt
Pastebin
Në kohën e analizës, kjo metodë përdoret vetëm për të transferuar fjalëkalime të vjedhura. Për më tepër, ai përdoret jo si një alternativë për dy të parat, por paralelisht. Kushti është vlera e konstantës e barabartë me "Vavaa". Me sa duket ky është emri i klientit.
Ndërveprimi ndodh nëpërmjet protokollit https nëpërmjet API-së Pastebin. Kuptimi api_paste_private është PASTE_UNLISTED, i cili ndalon kërkimin e faqeve të tilla në Pastebin.
Algoritmet e enkriptimit
Marrja e një skedari nga burimet
Ngarkesa ruhet në burimet e ngarkuesit AtProtect në formën e imazheve Bitmap. Nxjerrja kryhet në disa faza:
- Një grup bajtësh nxirret nga imazhi. Çdo piksel trajtohet si një sekuencë prej 3 bajtësh sipas rendit BGR. Pas nxjerrjes, 4 bajtët e parë të grupit ruajnë gjatësinë e mesazhit, ato të mëvonshme ruajnë vetë mesazhin.
- Çelësi llogaritet. Për ta bërë këtë, MD5 llogaritet nga vlera "ZpzwmjMJyfTNiRalKVrcSkxCN" e specifikuar si fjalëkalim. Hashi që rezulton shkruhet dy herë.
- Deshifrimi kryhet duke përdorur algoritmin AES në modalitetin ECB.
Funksionalitet keqdashës
Downloader
Zbatuar në bootloader AtProtect.
- Duke kontaktuar [activelink-repalce] Kërkohet statusi i serverit për të konfirmuar që ai është gati për të shërbyer skedarin. Serveri duhet të kthehet "ON".
- Sipas referencës [Shkarko lidhjen-zëvendëso] Ngarkesa është shkarkuar.
- Me FranchyShellcode ngarkesa injektohet në proces [inj-zëvendësoj].
Gjatë analizës së domenit 404 projekte[.]xyz raste të tjera u identifikuan në VirusTotal 404 Keylogger, si dhe disa lloje ngarkuesish.
Në mënyrë konvencionale, ato ndahen në dy lloje:
- Shkarkimi kryhet nga burimi 404 projekte[.]xyz.
Të dhënat janë të koduara Base64 dhe të koduara AES. - Ky opsion përbëhet nga disa faza dhe ka shumë të ngjarë të përdoret së bashku me një bootloader AtProtect.
- Në fazën e parë, të dhënat ngarkohen nga Pastebin dhe deshifrohet duke përdorur funksionin HexToByte.
- Në fazën e dytë, burimi i ngarkimit është 404 projekte[.]xyz. Sidoqoftë, funksionet e dekompresimit dhe dekodimit janë të ngjashme me ato që gjenden në DataStealer. Ndoshta fillimisht ishte planifikuar të zbatohej funksionaliteti i ngarkuesit në modulin kryesor.
- Në këtë fazë, ngarkesa është tashmë në manifestin e burimit në një formë të ngjeshur. Funksione të ngjashme të nxjerrjes u gjetën gjithashtu në modulin kryesor.
Shkarkuesit u gjetën midis skedarëve të analizuar njRat, SpyGate dhe RAT të tjerë.
Keylogger
Periudha e dërgimit të regjistrit: 30 minuta.
Të gjithë personazhet janë të mbështetur. Personazhet speciale janë arratisur. Ka përpunim për çelësat BackSpace dhe Delete. Ndjeshme ndaj rasteve.
ClipboardLogger
Periudha e dërgimit të regjistrit: 30 minuta.
Periudha e votimit në tampon: 0,1 sekonda.
Zbatimi i arratisjes së lidhjes.
ScreenLogger
Periudha e dërgimit të regjistrit: 60 minuta.
Pamjet e ekranit ruhen në %HOMEDRIVE%%HOMEPATH%Documents404k404pic.png.
Pas dërgimit të dosjes 404k fshihet.
PasswordStealer
shfletues | Klientët e postës | Klientët FTP |
---|---|---|
krom | Pikëpamje | FileZilla |
Firefox | zogu i stuhisë | |
SeaMonkey | Foxmail | |
akulli | ||
Hëna e Zbehtë | ||
Cyberfox | ||
krom | ||
BraveBrowser | ||
QQBrowser | ||
Shfletuesi Iridium | ||
XvastBrowser | ||
Chedot | ||
360 Shfletuesi | ||
ComodoDragon | ||
360 krom | ||
SuperZog | ||
CentBrowser | ||
GhostBrowser | ||
IronBrowser | ||
Kromi | ||
Vivaldi | ||
Shfletuesi Slimjet | ||
Orbitumi | ||
CocCoc | ||
Pishtar | ||
UCBrowser | ||
EpicBrowser | ||
BliskBrowser | ||
Operë |
Kundërveprimi ndaj analizës dinamike
- Kontrollimi nëse një proces është në analizë
Kryhet duke përdorur kërkimin e procesit taskmgr, ProcessHacker, procexp64, procexp, procmon. Nëse gjendet të paktën një, malware del.
- Kontrolloni nëse jeni në një mjedis virtual
Kryhet duke përdorur kërkimin e procesit vmtoolsd, VGAuthService, vmacthlp, Shërbimi VBox, VBoxTray. Nëse gjendet të paktën një, malware del.
- Të bie në gjumë për 5 sekonda
- Demonstrimi i llojeve të ndryshme të dialog boxeve
Mund të përdoret për të anashkaluar disa kuti rëre.
- Anashkaloni UAC
Kryhet duke redaktuar çelësin e regjistrit EnableLUA në cilësimet e politikës së grupit.
- Zbaton atributin "Hidden" në skedarin aktual.
- Aftësia për të fshirë skedarin aktual.
Karakteristikat joaktive
Gjatë analizës së ngarkuesit dhe modulit kryesor, u gjetën funksione që ishin përgjegjëse për funksionalitet shtesë, por ato nuk përdoren askund. Kjo ndoshta për faktin se malware është ende në zhvillim dhe funksionaliteti do të zgjerohet së shpejti.
Ngarkuesi AtProtect
U gjet një funksion që është përgjegjës për ngarkimin dhe injektimin në proces msiexec.exe modul arbitrar.
DataStealer
- Konsolidimi në sistem
- Funksionet e dekompresimit dhe deshifrimit
Ka të ngjarë që së shpejti të zbatohet enkriptimi i të dhënave gjatë komunikimit në rrjet. - Përfundimi i proceseve antivirus
zlklient | Dvp95_0 | Pavsched | avgserv9 |
egui | Motorri elektronik | Pavw | avgserv9schedapp |
bdagent | Esafe | PCCIOMON | avgemc |
npfmsg | Espwatch | PCCMAIN | ashwebsv |
olydbg | F-Agnt95 | Pccwin98 | ashdisp |
Anubis | Findvir | Pcfwallicon | ashmaisv |
Wireshark | Fprot | Persfw | ashserv |
avastui | F-Prot | POP3TRAP | aswUpdSv |
_Avp32 | F-Prot95 | PVIEW95 | symwsc |
vsmon | Fp-Win | Rav7 | norton |
mbam | Frw | Rav7win | Norton Auto-Protect |
mbajtës çelësash | F-Stopw | Shpëtim | norton_av |
_Avpcc | Iamapp | Safeweb | nortonav |
_Avpm | Iamserv | Skanoni 32 | ccsetmgr |
Ackwin32 | Ibmasn | Skanoni 95 | ccevtmgr |
avanpost | Ibmavsp | Scanpm | avadmin |
Antitrojan | Icload95 | Skaneri | avcenter |
AntiVir | Icloadnt | Serv95 | avgnt |
Apvxdwin | Ikmon | Smc | avguard |
ATRACK | Icsupp95 | SMCSERVICE | njoftoj |
Autodown | Icsuppnt | gërhij | avscan |
Avconsol | Fyce | Sfinks | roje |
Rruga 32 | Jomon98 | Fshij95 | nod32krn |
Avgctrl | Jedi | SYMPROXYSVC | nod32kui |
Avkserv | Bllokimi 2000 | Tbscan | gjilpërë |
Avnt | vëzhgim | Tca | tabaka me molusqe |
Avp | Luall | Tds2-98 | ClamWin |
Avp32 | KAFE | Tds2-Nt | freshclam |
Avpcc | Moolive | TerminET | oladin |
Avpdos32 | MPftray | Vet95 | sigmjet |
Avpm | N32scanw | Vettray | w9xhapen |
Avptc32 | NAVAPSVC | Vscan40 | Mbylle |
Avpupd | NAVAPW32 | Vsecomr | cmgrdian |
Avsched32 | NAVLU32 | Vshwin32 | alogserv |
AVSYNMGR | Navnt | Vsstat | mcshield |
Avwin95 | NAVRUNR | Webscanx | vshwin32 |
Avwupd32 | Navw32 | WEBTRAP | avkonsol |
i zi | Navwnt | Wfindv32 | vsstat |
Akull i zi | NeoWatch | Zonealarmi | avsynmgr |
Cfiadmin | NISSERV | BLLOKIM2000 | avcmd |
Cfiaudit | Nisum | SHPËTIMI32 | avconfig |
Cfinet | Nmain | LUCOMSERVER | licmgr |
Cfinet32 | Normist | avgcc | të planifikuar |
Kthetra95 | NORTON | avgcc | parapërgatitur |
Claw95cf | Përmirësimi | avgamsvr | MsMpEng |
Pastruese | Nvc95 | avgupsvc | MSASCui |
Pastrues 3 | avanpost | mesatarisht | Avira.Systray |
Defwatch | Padmin | avgcc32 | |
Dvp95 | Pavcl | avgserv |
- Vetë shkatërrim
- Ngarkimi i të dhënave nga manifesti i burimit të specifikuar
- Kopjimi i një skedari përgjatë një shtegu %Temp%tmpG[Data dhe ora aktuale në milisekonda].tmp
Interesante, një funksion identik është i pranishëm në malware AgentTesla. - Funksionaliteti i krimbave
Malware merr një listë të mediave të lëvizshme. Një kopje e malware është krijuar në rrënjën e sistemit të skedarëve të medias me emrin Sys.exe. Autorun zbatohet duke përdorur një skedar autorun.inf.
Profili i sulmuesit
Gjatë analizës së qendrës së komandës, ishte e mundur të vendosej emaili dhe pseudonimi i zhvilluesit - Razer, i njohur si Brwa, Brwa65, HiDDen PerSON, 404 Coder. Më pas, gjetëm një video interesante në YouTube që demonstron punën me ndërtuesin.
Kjo bëri të mundur gjetjen e kanalit origjinal të zhvilluesit.
U bë e qartë se ai kishte përvojë në shkrimin e kriptografëve. Ka edhe lidhje me faqet në rrjetet sociale, si dhe emrin e vërtetë të autorit. Ai rezultoi se ishte banor i Irakut.
Kjo është se si duket një zhvillues i 404 Keylogger. Foto nga profili i tij personal në Facebook.
CERT Group-IB ka njoftuar një kërcënim të ri - 404 Keylogger - një qendër monitorimi dhe reagimi XNUMX-orëshe për kërcënimet kibernetike (SOC) në Bahrein.
Burimi: www.habr.com