Under de senaste åren har mobila trojaner aktivt ersatt trojaner för persondatorer, så uppkomsten av ny skadlig programvara för de gamla goda "bilarna" och deras aktiva användning av cyberkriminella, även om det är obehagligt, är fortfarande en händelse. Nyligen upptäckte CERT Group-IB:s XNUMX/XNUMX informationssäkerhetsincidentsvarscenter ett ovanligt nätfiske-e-postmeddelande som gömde en ny PC-skadlig programvara som kombinerar funktionerna Keylogger och PasswordStealer. Analytikers uppmärksamhet uppmärksammades på hur spionprogrammet kom in på användarens maskin - med hjälp av en populär röstmeddelande. Ilja Pomerantsev, en specialist på analys av skadlig programvara på CERT Group-IB, förklarade hur skadlig programvara fungerar, varför den är farlig och hittade till och med sin skapare i det avlägsna Irak.
Så, låt oss gå i ordning. Under sken av en bilaga innehöll ett sådant brev en bild, när användaren klickade på vilken användaren fördes till webbplatsen cdn.discordapp.com, och en skadlig fil laddades ner därifrån.
Att använda Discord, en gratis röst- och textmeddelande, är ganska okonventionellt. Vanligtvis används andra snabbmeddelanden eller sociala nätverk för dessa ändamål.
Under en mer detaljerad analys identifierades en familj av skadlig programvara. Det visade sig vara en nykomling på marknaden för skadlig programvara - 404 Keylogger.
Den första annonsen för försäljning av en keylogger publicerades på hackforum av användare under smeknamnet "404 Coder" den 8 augusti.
Butiksdomänen registrerades ganska nyligen - den 7 september 2019.
Som utvecklarna säger på hemsidan 404projects[.]xyz, 404 är ett verktyg som är utformat för att hjälpa företag att lära sig om sina kunders aktiviteter (med deras tillåtelse) eller för de som vill skydda sin binära fil från reverse engineering. Om vi ser framåt, låt oss säga det med den sista uppgiften 404 klarar sig definitivt inte.
Vi bestämde oss för att vända en av filerna och kontrollera vad "BÄSTA SMART KEYLOGGER" är.
Malware ekosystem
Loader 1 (AtillaCrypter)
Källfilen skyddas med EaxObfuscator och utför tvåstegsladdning AtProtect från resurssektionen. Under analysen av andra prover som hittats på VirusTotal blev det klart att detta steg inte tillhandahållits av utvecklaren själv, utan lades till av hans klient. Det fastställdes senare att denna bootloader var AtillaCrypter.
Bootloader 2 (AtProtect)
Faktum är att den här laddaren är en integrerad del av skadlig programvara och, enligt utvecklarens avsikt, bör den ta på sig funktionen att motverka analys.
Men i praktiken är skyddsmekanismerna extremt primitiva och våra system upptäcker framgångsrikt denna skadliga programvara.
Huvudmodulen laddas med Franchy ShellCode olika versioner. Vi utesluter dock inte att andra alternativ kunde ha använts, t.ex. RunPE.
Konfigurationsfil
Konsolidering i systemet
Konsolidering i systemet säkerställs av bootloadern AtProtect, om motsvarande flagga är inställd.
- Filen kopieras längs sökvägen %AppData%GFqaakZpzwm.exe.
- Filen skapas %AppData%GFqaakWinDriv.url, lansering Zpzwm.exe.
- I tråden HKCUSoftwareMicrosoftWindowsCurrentVersionRun en startnyckel skapas WinDriv.url.
Interaktion med C&C
Loader AtProtect
Om lämplig flagga finns kan skadlig programvara starta en dold process IExplorer och följ den angivna länken för att meddela servern om lyckad infektion.
DataStealer
Oavsett vilken metod som används, börjar nätverkskommunikation med att få offrets externa IP med hjälp av resursen [http]://checkip[.]dyndns[.]org/.
User-Agent: Mozilla/4.0 (kompatibel; MSIE 6.0; Windows NT 5.2; .NET CLR1.0.3705;)
Den allmänna strukturen för meddelandet är densamma. Header närvarande
|——- 404 Keylogger — {Typ} ——-|var {typ} motsvarar den typ av information som överförs.
Följande är information om systemet:
_______ + OFFERINFO + _______
IP: {Extern IP}
Ägarens namn: {Datornamn}
OS-namn: {OS-namn}
OS-version: {OS-version}
OS-plattform: {Plattform}
RAM-storlek: {RAM-storlek}
______________________________
Och slutligen de överförda uppgifterna.
SMTP-
Ämnet för brevet är följande: 404 K | {Meddelandetyp} | Klientnamn: {Användarnamn}.
Intressant nog att leverera brev till kunden 404 Keylogger Utvecklarens SMTP-server används.
Detta gjorde det möjligt att identifiera vissa klienter, samt e-post från en av utvecklarna.
FTP
När du använder denna metod sparas den insamlade informationen i en fil och läses omedelbart därifrån.
Logiken bakom denna åtgärd är inte helt klar, men den skapar en ytterligare artefakt för att skriva beteenderegler.
%HOMEDRIVE%%HOMEPATH%DocumentsA{Gottyckligt nummer}.txt
Pastebin
Vid analystillfället används denna metod endast för att överföra stulna lösenord. Dessutom används den inte som ett alternativ till de två första, utan parallellt. Villkoret är värdet på konstanten lika med "Vavaa". Förmodligen är detta kundens namn.
Interaktion sker via https-protokollet via API:et pastebin. Menande api_paste_private är PASTE_ONLISTED, som förbjuder sökning efter sådana sidor i pastebin.
Krypteringsalgoritmer
Hämtar en fil från resurser
Nyttolasten lagras i bootloader-resurser AtProtect i form av Bitmap-bilder. Extraktion utförs i flera steg:
- En array av byte extraheras från bilden. Varje pixel behandlas som en sekvens på 3 byte i BGR-ordning. Efter extraktion lagrar de första 4 byten av arrayen längden på meddelandet, de efterföljande lagrar själva meddelandet.
- Nyckeln är beräknad. För att göra detta beräknas MD5 från värdet "ZpzwmjMJyfTNiRalKVrcSkxCN" som anges som lösenord. Den resulterande hashen skrivs två gånger.
- Dekryptering utförs med hjälp av AES-algoritmen i ECB-läge.
Skadlig funktionalitet
Loader
Implementerad i bootloadern AtProtect.
- Genom att kontakta [activelink-repalce] Serverns status begärs för att bekräfta att den är redo att servera filen. Servern bör återvända "PÅ".
- länken [nedladdningslänk-ersätt] Nyttolasten laddas ner.
- Med FranchyShellcode nyttolasten injiceras i processen [inj-ersätt].
Under domänanalys 404projects[.]xyz ytterligare instanser identifierades på VirusTotal 404 Keylogger, samt flera typer av lastare.
Konventionellt är de indelade i två typer:
- Nedladdning sker från resursen 404projects[.]xyz.
Data är Base64-kodad och AES-krypterad. - Det här alternativet består av flera steg och används troligen tillsammans med en bootloader AtProtect.
- I det första steget laddas data från pastebin och avkodas med funktionen HexToByte.
- I det andra steget är källan till lastningen 404projects[.]xyz. Dekompressions- och avkodningsfunktionerna liknar dock de som finns i DataStealer. Det var förmodligen ursprungligen planerat att implementera bootloader-funktionen i huvudmodulen.
- I detta skede finns nyttolasten redan i resursmanifestet i komprimerad form. Liknande extraktionsfunktioner fanns också i huvudmodulen.
Nedladdare hittades bland de analyserade filerna njRat, SpyGate och andra RAT.
Keylogger
Loggsändningsperiod: 30 minuter.
Alla tecken stöds. Specialtecken undkommer. Det finns bearbetning för tangenterna BackSpace och Delete. Skiftlägeskänsliga.
ClipboardLogger
Loggsändningsperiod: 30 minuter.
Buffertundersökningsperiod: 0,1 sekunder.
Implementerad länkflykt.
ScreenLogger
Loggsändningsperiod: 60 minuter.
Skärmdumpar sparas i %HOMEDRIVE%%HOMEPATH%Documents404k404pic.png.
Efter att ha skickat mappen 404k är borttagen.
PasswordStealer
| Браузеры | E-postklienter | FTP-klienter |
|---|---|---|
| krom | utsikterna | filezilla |
| firefox | Thunder | |
| SeaMonkey | foxmail | |
| Icedragon | ||
| Blek måne | ||
| cyberfox | ||
| krom | ||
| BraveBrowser | ||
| QQBrowser | ||
| IridiumBrowser | ||
| XvastBrowser | ||
| Chedot | ||
| 360 Webbläsare | ||
| ComodoDragon | ||
| 360 Chrome | ||
| SuperBird | ||
| CentBrowser | ||
| GhostBrowser | ||
| IronBrowser | ||
| krom | ||
| Vivaldi | ||
| SlimjetBrowser | ||
| orbitum | ||
| CocCoc | ||
| Ficklampa | ||
| UCB-webbläsare | ||
| EpicBrowser | ||
| BliskBrowser | ||
| Opera |
Motverkan till dynamisk analys
- Kontrollera om en process är under analys
Utförs med hjälp av processsökning taskmgr, ProcessHacker, procexp64, procexp, procmon. Om minst en hittas avslutas skadlig programvara.
- Kontrollera om du befinner dig i en virtuell miljö
Utförs med hjälp av processsökning vmtoolsd, VGAuthService, vmacthlp, VBoxService, VBoxTray. Om minst en hittas avslutas skadlig programvara.
- Somnade i 5 sekunder
- Demonstration av olika typer av dialogrutor
Kan användas för att kringgå vissa sandlådor.
- Bypass UAC
Utförs genom att redigera registernyckeln EnableLUA i grupprincipinställningar.
- Tillämpar attributet "Dold" på den aktuella filen.
- Möjlighet att ta bort den aktuella filen.
Inaktiva funktioner
Under analysen av bootloadern och huvudmodulen hittades funktioner som var ansvariga för ytterligare funktionalitet, men de används inte någonstans. Detta beror troligen på att skadlig programvara fortfarande är under utveckling och att funktionaliteten kommer att utökas inom kort.
Loader AtProtect
En funktion hittades som är ansvarig för att ladda och injicera i processen msiexec.exe godtycklig modul.
DataStealer
- Konsolidering i systemet
- Dekompression och dekrypteringsfunktioner
Det är troligt att datakryptering under nätverkskommunikation snart kommer att implementeras. - Avsluta antivirusprocesser
| zlklient | Dvp95_0 | Pavsched | avgserv9 |
| egui | Ecengine | Pavw | avgserv9schedapp |
| bdagent | Esafe | PCCIOMON | avgemc |
| npfmsg | Espwatch | PCCMAIN | ashwebsv |
| olydbg | F-Agnt95 | Pccwin98 | askdisp |
| anubis | Findvir | Pcfwallicon | ashmaisv |
| wireshark | Fprot | Persfw | askserv |
| avastui | F-Prot | POP3TRAP | aswUpdSv |
| _Avp32 | F-Prot95 | PVIEW95 | symwsc |
| vsmon | Fp-Win | rav7 | norton |
| mbam | Frw | Rav7win | Norton Auto-Protect |
| nyckelförvrängare | F-Stopw | Rädda | norton_av |
| _Avpcc | Iamapp | Safeweb | nortonav |
| _Avpm | Iamserv | Scan32 | ccsetmgr |
| Ackwin32 | Ibmasn | Scan95 | ccevtmgr |
| Outpost | Ibmavsp | Scanpm | avadmin |
| Anti-trojan | Icload95 | Scrscan | avcenter |
| Antivir | Icloadnt | Serv95 | avgnt |
| Apvxdwin | Icmon | smc | avguard |
| ETT SPÅR | Icsupp95 | SMCSERVICE | avnotify |
| Autodown | Icsuppnt | Fnysa | avscan |
| Avconsol | Jag möter | Sphinx | guardgui |
| Ave32 | Iomon98 | Svep 95 | nod32krn |
| Avgctrl | Jedien | SYMPROXYSVC | nod32kui |
| Avkserv | Lockdown 2000 | Tbscan | clamscan |
| Avnt | Se upp | ca | clamTray |
| AVP | Luall | Tds2-98 | clamWin |
| Avp32 | mcafee | Tds2-Nt | freshclam |
| Avpcc | Moolive | TermiNET | oladdin |
| Avpdos32 | MPftray | Vet95 | sigtool |
| Avpm | N32scanw | Vettray | w9xpopen |
| Avptc32 | NAVAPSVC | Vscan40 | Stänga |
| Avpupd | NAVAPW32 | Vsecomr | cmgrdian |
| Avsched32 | NAVLU32 | Vshwin32 | alogserv |
| AVSYNMGR | Navnt | Vsstat | mcshield |
| Avwin95 | NAVRUNR | Webscanx | vshwin32 |
| Avwupd32 | Navw32 | WEBTRAP | avconsol |
| blackd | Navwnt | Wfindv32 | vsstat |
| Svart is | NeoWatch | Zonealarm | avsynmgr |
| Cfiadmin | NISSERV | LÅSNING2000 | avcmd |
| Cfiaudit | Nisum | RÄDDNING32 | avconfig |
| Cfinet | Nmain | LUCOMSERVER | licmgr |
| Cfinet32 | Normist | avgcc | schemalägga |
| Klo95 | NORTON | avgcc | preupd |
| Claw95cf | Uppgradera | avgamsvr | MsMpEng |
| Renare | Nvc95 | avgupsvc | MSASCui |
| Städare3 | Outpost | avgw | Avira.Systray |
| Defwatch | Padmin | avgcc32 | |
| Dvp95 | Pavcl | avgserv |
- självförstörelse
- Laddar data från det angivna resursmanifestet
- Kopiera en fil längs en sökväg %Temp%tmpG[Aktuellt datum och tid i millisekunder].tmp
Intressant nog finns en identisk funktion i AgentTesla malware. - Maskfunktionalitet
Skadlig programvara får en lista över flyttbara media. En kopia av skadlig programvara skapas i roten av mediafilsystemet med namnet Sys.exe. Autorun implementeras med hjälp av en fil autorun.inf.
Angriparprofil
Under analysen av kommandocentralen var det möjligt att fastställa utvecklarens e-post och smeknamn - Razer, aka Brwa, Brwa65, HiDDen PerSOn, 404 Coder. Därefter hittade vi en intressant video på YouTube som visar hur man arbetar med byggaren.
Detta gjorde det möjligt att hitta den ursprungliga utvecklarkanalen.
Det blev tydligt att han hade erfarenhet av att skriva kryptografer. Det finns också länkar till sidor på sociala nätverk, liksom författarens riktiga namn. Han visade sig vara bosatt i Irak.
Så här ska en 404 Keylogger-utvecklare se ut. Foto från hans personliga Facebook-profil.
CERT Group-IB har tillkännagett ett nytt hot - 404 Keylogger - ett XNUMX-timmars övervaknings- och svarscenter för cyberhot (SOC) i Bahrain.
Källa: will.com