Последњих година мобилни тројанци активно замењују тројанце за персоналне рачунаре, тако да је појава новог малвера за старе добре „аутомобиле“ и њихова активна употреба од стране сајбер криминалаца, иако непријатна, и даље догађај. Недавно је центар за реаговање на инциденте у области безбедности информација ЦЕРТ Гроуп-ИБ XNUMX/XNUMX открио необичну пхисхинг е-пошту која је сакривала нови рачунарски малвер који комбинује функције Кеилоггер-а и ПассвордСтеалер-а. Пажњу аналитичара привукло је како је шпијунски софтвер доспео на машину корисника – помоћу популарног гласовног гласника. Илиа Померантсев, специјалиста за анализу малвера у ЦЕРТ Гроуп-ИБ, објаснио је како малвер функционише, зашто је опасан и чак је пронашао свог творца у далеком Ираку.
Дакле, идемо редом. Под маском прилога, такво писмо је садржало слику, кликом на коју је корисник одведен на сајт цдн.дисцордапп.цом, а одатле је преузета злонамерна датотека.
Коришћење Дисцорд-а, бесплатног гласовног и текстуалног гласника, прилично је неконвенционално. Обично се у ове сврхе користе други инстант мессенгери или друштвене мреже.
Током детаљније анализе, идентификована је породица малвера. Испоставило се да је новајлија на тржишту злонамерног софтвера - 404 Кеилоггер.
Објављен је први оглас за продају кеилоггер-а хацкфорумс од корисника под надимком “404 Цодер” 8. августа.
Домен продавнице је регистрован сасвим недавно - 7.
Како програмери кажу на веб страници 404пројецтс[.]киз, 404 је алат дизајниран да помогне компанијама да сазнају више о активностима својих клијената (уз њихову дозволу) или за оне који желе да заштите свој бинарни програм од обрнутог инжењеринга. Гледајући унапред, рецимо то са последњим задатком 404 дефинитивно се не сналази.
Одлучили смо да обрнемо једну од датотека и проверимо шта је „НАЈБОЉИ ПАМЕТНИ КЕИЛОГГЕР“.
Екосистем злонамерног софтвера
Лоадер 1 (АтиллаЦриптер)
Изворни фајл је заштићен коришћењем ЕакОбфусцатор и врши двостепено учитавање АтПротецт из одељка ресурса. Током анализе других узорака пронађених на ВирусТоталу, постало је јасно да ову фазу није обезбедио сам програмер, већ је додао његов клијент. Касније је утврђено да је овај боотлоадер АтиллаЦриптер.
Боотлоадер 2 (АтПротецт)
У ствари, овај пуњач је саставни део малвера и, према намери програмера, требало би да преузме функционалност анализе супротстављања.
Међутим, у пракси су механизми заштите изузетно примитивни и наши системи успешно откривају овај малвер.
Главни модул се учитава помоћу Францхи СхеллЦоде различите верзије. Међутим, не искључујемо да су се могле користити и друге опције, нпр. РунПЕ.
Конфигурациони фајл
Консолидација у систему
Консолидацију у систему обезбеђује боотлоадер АтПротецт, ако је постављена одговарајућа заставица.
- Датотека се копира дуж путање %АппДата%ГФкаакЗпзвм.еке.
- Фајл се креира %АппДата%ГФкаакВинДрив.урл, лансирање Зпзвм.еке.
- У нити ХКЦУСофтвареМицрософтВиндовсЦуррентВерсионРун креира се кључ за покретање ВинДрив.урл.
Интеракција са Ц&Ц
Лоадер АтПротецт
Ако постоји одговарајућа заставица, злонамерни софтвер може покренути скривени процес иекплорер и пратите наведену везу да обавестите сервер о успешној инфекцији.
ДатаСтеалер
Без обзира на метод који се користи, мрежна комуникација почиње добијањем спољне ИП адресе жртве помоћу ресурса [хттп]://цхецкип[.]динднс[.]орг/.
Кориснички агент: Мозилла/4.0 (компатибилан; МСИЕ 6.0; Виндовс НТ 5.2; .НЕТ ЦЛР1.0.3705;)
Општа структура поруке је иста. Присутно заглавље
|——- 404 Кеилоггер — {Типе} ——-|Где {тип} одговара врсти информације која се преноси.
Следе информације о систему:
_______ + ИНФОРМАЦИЈЕ О ЖРТВИ + _______
ИП: {Екстерна ИП}
Име власника: {Цомпутер наме}
Назив ОС-а: {ОС Наме}
Верзија ОС-а: {Верзија ОС}
ОС платформа: {Платформ}
Величина РАМ-а: {РАМ сизе}
______________________________
И коначно, пренети подаци.
СМТП
Тема писма је следећа: 404 К | {Тип поруке} | Име клијента: {Усернаме}.
Занимљиво је да клијенту достављају писма 404 Кеилоггер Користи се СМТП сервер програмера.
Ово је омогућило идентификацију неких клијената, као и имејл једног од програмера.
ФТП
Када користите овај метод, прикупљене информације се чувају у датотеци и одмах читају одатле.
Логика ове акције није сасвим јасна, али ствара додатни артефакт за писање правила понашања.
%ХОМЕДРИВЕ%%ХОМЕПАТХ%ДоцументсА{Произвољни број}.ткт
Пастебин
У време анализе, овај метод се користи само за пренос украдених лозинки. Штавише, користи се не као алтернатива прва два, већ паралелно. Услов је вредност константе једнака „Ваваа“. Вероватно је ово име клијента.
Интеракција се одвија преко хттпс протокола преко АПИ-ја пастебин. Значење апи_пасте_привате једнако ПАСТЕ_УНЛИСТЕД, који забрањује претрагу таквих страница у пастебин.
Алгоритми за шифровање
Преузимање датотеке из ресурса
Корисно оптерећење се чува у ресурсима покретачког програма АтПротецт у облику битмап слика. Екстракција се врши у неколико фаза:
- Низ бајтова се издваја из слике. Сваки пиксел се третира као секвенца од 3 бајта у БГР редоследу. Након екстракције, прва 4 бајта низа чувају дужину поруке, а наредни чувају саму поруку.
- Кључ је израчунат. Да бисте то урадили, МД5 се израчунава из вредности „ЗпзвмјМЈифТНиРалКВрцСккЦН“ која је наведена као лозинка. Добијени хеш се уписује два пута.
- Дешифровање се врши коришћењем АЕС алгоритма у ЕЦБ режиму.
Злонамерна функционалност
довнлоадер
Имплементирано у боотлоадер-у АтПротецт.
- Контактирањем [ацтивелинк-репалце] Захтева се статус сервера да потврди да је спреман за послуживање датотеке. Сервер би требало да се врати "НА".
- веза [довнлоадлинк-реплаце] Корисно оптерећење је преузето.
- Са ФранцхиСхеллцоде носивост се убризгава у процес [ињ-замена].
Током анализе домена 404пројецтс[.]киз додатне инстанце су идентификоване на ВирусТоталу 404 Кеилоггер, као и неколико врста утоваривача.
Уобичајено, они су подељени у два типа:
- Преузимање се врши са ресурса 404пројецтс[.]киз.
Подаци су кодирани Басе64 и АЕС шифровани. - Ова опција се састоји од неколико фаза и највероватније се користи у комбинацији са боотлоадером АтПротецт.
- У првој фази, подаци се учитавају из пастебин и декодира помоћу функције ХекТоБите.
- У другој фази, извор оптерећења је 404пројецтс[.]киз. Међутим, функције декомпресије и декодирања су сличне онима које се налазе у ДатаСтеалер-у. Вероватно је првобитно било планирано да се функционалност покретачког програма имплементира у главни модул.
- У овој фази, корисни терет је већ у манифесту ресурса у компримованом облику. Сличне функције екстракције су такође пронађене у главном модулу.
Међу анализираним датотекама пронађени су преузимачи њРат, СпиГате и други РАТс.
Кеилоггер
Период слања дневника: 30 минута.
Сви карактери су подржани. Посебни знакови се избегавају. Постоји обрада за тастере БацкСпаце и Делете. Велика и мала слова.
ЦлипбоардЛоггер
Период слања дневника: 30 минута.
Период анкетирања бафера: 0,1 секунда.
Имплементирано избегавање везе.
СцреенЛоггер
Период слања дневника: 60 минута.
Снимци екрана се чувају у %ХОМЕДРИВЕ%%ХОМЕПАТХ%Доцументс404к404пиц.пнг.
Након слања фасцикле КСНУМКСк је уклоњен.
ПассвордСтеалер
| Прегледачи | Маил цлиентс | ФТП клијенти |
|---|---|---|
| хром | Outlook | ФилеЗилла |
| фирефок | тхундербирд | |
| Фирефок | фокмаил | |
| ИцеДрагон | ||
| ПалеМоон | ||
| Циберфок | ||
| хром | ||
| БравеБровсер | ||
| ККБровсер | ||
| ИридиумБровсер | ||
| КсвастБровсер | ||
| Цхедот | ||
| 360Бровсер | ||
| ЦомодоДрагон | ||
| 360Цхроме | ||
| СуперБирд | ||
| ЦентБровсер | ||
| ГхостБровсер | ||
| ИронБровсер | ||
| Хром | ||
| Вивалди | ||
| СлимјетБровсер | ||
| Орбитум | ||
| ЦоцЦоц | ||
| Бакља | ||
| УЦБровсер | ||
| ЕпицБровсер | ||
| БлискБровсер | ||
| радити |
Противљење динамичкој анализи
- Провера да ли је процес у фази анализе
Извршено коришћењем процеса претраживања таскмгр, ПроцессХацкер, процекп64, процекп, процмон. Ако се бар један пронађе, малвер излази.
- Провера да ли сте у виртуелном окружењу
Извршено коришћењем процеса претраживања вмтоолсд, ВГАутхСервице, вмацтхлп, ВБокСервице, ВБокТраи. Ако се бар један пронађе, малвер излази.
- Заспати 5 секунди
- Демонстрација различитих типова дијалошких оквира
Може се користити за заобилажење неких сандбокова.
- Заобиђите УАЦ
Изводи се уређивањем кључа регистратора ЕнаблеЛУА у подешавањима смерница групе.
- Примењује атрибут „Хидден“ на тренутну датотеку.
- Могућност брисања тренутне датотеке.
Неактивне функције
Током анализе боотлоадера и главног модула пронађене су функције које су биле задужене за додатну функционалност, али се нигде не користе. Ово је вероватно због чињенице да је малвер још увек у развоју и да ће функционалност ускоро бити проширена.
Лоадер АтПротецт
Пронађена је функција која је одговорна за учитавање и убризгавање у процес мсиекец.еке произвољни модул.
ДатаСтеалер
- Консолидација у систему
- Функције декомпресије и дешифровања
Вероватно ће ускоро бити имплементирано шифровање података током мрежне комуникације. - Прекидање антивирусних процеса
| злцлиент | Двп95_0 | Павсцхед | авгсерв9 |
| егуи | Еценгине | Павв | авгсерв9сцхедапп |
| бдагент | Есафе | ПЦЦИОМОН | авгемц |
| нпфмсг | Еспватцх | ПЦЦМАИН | асхвебсв |
| олидбг | Ф-Агнт95 | Пццвин98 | асхдисп |
| анубис | Финдвир | Пцфваллицон | асхмаисв |
| Виресхарк | Фпрот | Персфв | асхсерв |
| авастуи | Ф-Прот | ПОП3ТРАП | асвУпдСв |
| _Авп32 | Ф-Прот95 | ПВИЕВ95 | симвсц |
| всмон | Фп-Вин | Рав7 | Нортон |
| мбам | Фрв | Рав7вин | Нортон Ауто-Протецт |
| кеисцрамблер | Ф-Стопв | Спасавање | нортон_ав |
| _Авпцц | Иамапп | Сафевеб | нортонав |
| _Авпм | Иамсерв | Сцан32 | ццсетмгр |
| Ацквин32 | Ибмасн | Сцан95 | ццевтмгр |
| Оутпост | Ибмавсп | Сцанпм | авадмин |
| Анти-Тројан | Ицлоад95 | Сцрсцан | авцентер |
| АНТИВИР | Ицлоаднт | Серв95 | авгнт |
| Апвкдвин | Ицмон | Смц | авгуард |
| СТАЗА | Ицсупп95 | СМЦСЕРВИЦЕ | авнотифи |
| Аутодовн | Ицсуппнт | Снорт | авсцан |
| Авцонсол | Ифаце | Сфинга | гуардгуи |
| Аве32 | Иомон98 | Свееп95 | нод32крн |
| Авгцтрл | Џедај | СИМПРОКСИСВЦ | нод32куи |
| Авксерв | Лоцкдовн2000 | Тбсцан | цламсцан |
| Авнт | Пази | Тца | цламТраи |
| Авп | Луалл | Тдс2-98 | цламВин |
| Авп32 | МЦАФЕЕ | Тдс2-Нт | фресхцлам |
| Авпцц | Мооливе | ТермиНЕТ | оладдин |
| Авпдос32 | МПфтраи | Вет95 | сигтоол |
| Авпм | Н32сцанв | Веттраи | в9кпопен |
| Авптц32 | НАВАПСВЦ | Всцан40 | Близу |
| Авпупд | НАВАПВ32 | Всецомр | цмгрдиан |
| Авсцхед32 | НАВЛУ32 | Всхвин32 | алогсерв |
| АВСИНМГР | Навнт | Всстат | мцсхиелд |
| Аввин95 | НАВРУНР | Вебсцанк | всхвин32 |
| Аввупд32 | Навв32 | ВЕБТРАП | авцонсол |
| Блацкд | Наввнт | Вфиндв32 | всстат |
| Црни лед | НеоВатцх | Зонеаларм | авсинмгр |
| Цфиадмин | НИССЕРВ | ЛОЦКДОВН2000 | авцмд |
| Цфиаудит | Нисум | РЕСЦУЕ32 | авцонфиг |
| Цфинет | Нмаин | ЛУЦОМСЕРВЕР | лицмгр |
| Цфинет32 | Нормист | авгцц | сцхед |
| Цлав95 | Нортон | авгцц | преупд |
| Цлав95цф | Надоградња | авгамсвр | МсМпЕнг |
| чистач | Нвц95 | авгупсвц | МСАСЦуи |
| Цлеанер3 | Оутпост | авгв | Авира.Систраи |
| Дефватцх | Падмин | авгцц32 | |
| Двп95 | Павцл | авгсерв |
- самоуништење
- Учитавање података из наведеног манифеста ресурса
- Копирање датотеке дуж путање %Темп%тмпГ[Тренутни датум и време у милисекундама].тмп
Занимљиво је да је идентична функција присутна у АгентТесла малверу. - Функционалност црва
Малвер добија листу преносивих медија. Копија злонамерног софтвера се креира у корену система медијских датотека са именом Сис.еке. Аутоматско покретање се имплементира помоћу датотеке ауторун.инф.
Профил нападача
Током анализе командног центра, било је могуће утврдити имејл и надимак програмера - Разер, ака Брва, Брва65, ХиДДен ПерСОн, 404 Цодер. Затим смо пронашли занимљив видео на ИоуТубе-у који показује рад са градитељем.
Ово је омогућило проналажење оригиналног канала програмера.
Постало је јасно да има искуства у писању криптографа. Ту су и линкови ка страницама на друштвеним мрежама, као и право име аутора. Испоставило се да је становник Ирака.
Овако наводно изгледа 404 Кеилоггер програмер. Фотографија са његовог личног Фејсбук профила.
ЦЕРТ Гроуп-ИБ је најавила нову претњу - 404 Кеилоггер - XNUMX-часовни центар за праћење и реаговање на сајбер претње (СОЦ) у Бахреину.
Извор: ввв.хабр.цом