Katika miaka ya hivi karibuni, Trojans za rununu zimekuwa zikibadilisha Trojans kwa kompyuta za kibinafsi, kwa hivyo kuibuka kwa programu hasidi mpya kwa "magari" mazuri ya zamani na matumizi yao ya vitendo na wahalifu wa mtandao, ingawa sio ya kupendeza, bado ni tukio. Hivi majuzi, kituo cha kukabiliana na matukio ya usalama wa taarifa ya 24/7 cha CERT Group-IB kiligundua barua pepe isiyo ya kawaida ya hadaa ambayo ilikuwa ikificha programu hasidi ya Kompyuta inayochanganya utendaji wa Keylogger na PasswordStealer. Wachambuzi walivutiwa na jinsi programu ya ujasusi ilivyoingia kwenye mashine ya mtumiaji - kwa kutumia mjumbe maarufu wa sauti. Ilya Pomerantsev, mtaalamu wa uchanganuzi wa programu hasidi katika CERT Group-IB, alieleza jinsi programu hasidi inavyofanya kazi, kwa nini ni hatari, na hata ikampata aliyeiunda katika nchi ya mbali ya Iraq.
Kwa hiyo, twende kwa utaratibu. Chini ya kivuli cha kiambatisho, barua kama hiyo ilikuwa na picha, kwa kubofya ambayo mtumiaji alichukuliwa kwenye tovuti. cdn.discordapp.com, na faili hasidi ilipakuliwa kutoka hapo.
Kutumia Discord, sauti ya bure na mjumbe wa maandishi, sio kawaida kabisa. Kwa kawaida, wajumbe wengine wa papo hapo au mitandao ya kijamii hutumiwa kwa madhumuni haya.
Wakati wa uchambuzi wa kina zaidi, familia ya programu hasidi ilitambuliwa. Ilibadilika kuwa mgeni kwenye soko la programu hasidi - 404 Keylogger.
Tangazo la kwanza la uuzaji wa keylogger lilichapishwa hackforums na mtumiaji chini ya jina la utani "404 Coder" mnamo Agosti 8.
Kikoa cha duka kilisajiliwa hivi majuzi - mnamo Septemba 7, 2019.
Kama watengenezaji wanasema kwenye wavuti 404miradi[.]xyz, 404 ni zana iliyoundwa ili kusaidia makampuni kujifunza kuhusu shughuli za wateja wao (kwa idhini yao) au kwa wale wanaotaka kulinda mfumo wao wa jozi dhidi ya uhandisi wa kubadilisha. Kuangalia mbele, wacha tuseme hivyo na kazi ya mwisho 404 hakika haivumilii.
Tuliamua kubadilisha moja ya faili na kuangalia "BEST SMART KEYLOGGER" ni nini.
Mfumo wa ikolojia wa programu hasidi
Kipakiaji 1 (AtillaCrypter)
Faili ya chanzo inalindwa kwa kutumia EaxObfuscator na hufanya upakiaji wa hatua mbili AtProtect kutoka sehemu ya rasilimali. Wakati wa uchambuzi wa sampuli zingine zilizopatikana kwenye VirusTotal, ikawa wazi kuwa hatua hii haikutolewa na msanidi mwenyewe, lakini iliongezwa na mteja wake. Baadaye ilibainishwa kuwa bootloader hii ilikuwa AtillaCrypter.
Bootloader 2 (AtProtect)
Kwa kweli, kipakiaji hiki ni sehemu muhimu ya programu hasidi na, kulingana na nia ya msanidi programu, inapaswa kuchukua utendakazi wa uchanganuzi wa kupinga.
Hata hivyo, kiutendaji, mbinu za ulinzi ni za zamani sana, na mifumo yetu imefanikiwa kugundua programu hasidi.
Moduli kuu inapakiwa kwa kutumia Franchy ShellCode matoleo tofauti. Walakini, hatuzuii kwamba chaguzi zingine zingeweza kutumika, kwa mfano, RunPE.
Faili ya usanidi
Ujumuishaji katika mfumo
Uimarishaji katika mfumo unahakikishwa na bootloader AtProtect, ikiwa bendera inayolingana imewekwa.
- Faili inakiliwa kando ya njia %AppData%GFqaakZpzwm.exe.
- Faili imeundwa %AppData%GFqaakWinDriv.url, uzinduzi Zpzwm.exe.
- Katika thread HKCUSoftwareMicrosoftWindowsCurrentVersionRun ufunguo wa kuanza umeundwa WinDriver.url.
Mwingiliano na C&C
Loader AtProtect
Ikiwa alama inayofaa iko, programu hasidi inaweza kuzindua mchakato uliofichwa mchunguzi na ufuate kiungo kilichobainishwa ili kuarifu seva kuhusu maambukizi yaliyofaulu.
DataStealer
Bila kujali njia iliyotumiwa, mawasiliano ya mtandao huanza na kupata IP ya nje ya mwathirika kwa kutumia rasilimali [http]://checkip[.]dyndns[.]org/.
Wakala wa Mtumiaji: Mozilla/4.0 (inayotangamana; MSIE 6.0; Windows NT 5.2; .NET CLR1.0.3705;)
Muundo wa jumla wa ujumbe ni sawa. Kijajuu kipo
|ββ- 404 Keylogger β {Aina} ββ-|Ambapo {aina} inalingana na aina ya habari inayopitishwa.
Ifuatayo ni habari kuhusu mfumo:
_______ + MAELEZO YA WAATHIRIKA + _______
IP: {IP ya nje}
Jina la Mmiliki: {Jina la Kompyuta}
Jina la Mfumo: {Jina la OS}
Toleo la Mfumo wa Uendeshaji: {Toleo la OS}
Mfumo wa Mfumo wa Uendeshaji: {Jukwaa}
Ukubwa wa RAM: {RAM size}
______________________________
Na hatimaye, data iliyopitishwa.
SMTP
Mada ya barua ni kama ifuatavyo: 404 K | {Aina ya Ujumbe} | Jina la Mteja: {Jina la mtumiaji}.
Inashangaza, kutoa barua kwa mteja 404 Keylogger Seva ya SMTP ya wasanidi inatumika.
Hii ilifanya iwezekane kutambua baadhi ya wateja, pamoja na barua pepe ya mmoja wa watengenezaji.
FTP
Wakati wa kutumia njia hii, habari iliyokusanywa imehifadhiwa kwenye faili na inasoma mara moja kutoka hapo.
Mantiki nyuma ya hatua hii si wazi kabisa, lakini inaunda kisanii cha ziada cha kuandika sheria za tabia.
%HOMEDRIVE%%HOMEPATH%DocumentsA{Nambari kiholela}.txt
Pastebin
Wakati wa uchambuzi, njia hii hutumiwa tu kuhamisha nywila zilizoibiwa. Kwa kuongeza, haitumiwi kama mbadala kwa mbili za kwanza, lakini kwa sambamba. Hali ni thamani ya mara kwa mara sawa na "Vavaa". Yamkini hili ndilo jina la mteja.
Mwingiliano hutokea kupitia itifaki ya https kupitia API pastebin. Maana api_paste_faragha sawa PASTE_UNLISTED, ambayo inakataza kutafuta kurasa kama hizo ndani pastebin.
Kanuni za usimbaji fiche
Kurejesha faili kutoka kwa rasilimali
Upakiaji huhifadhiwa katika rasilimali za bootloader AtProtect kwa namna ya picha za Bitmap. Uchimbaji unafanywa katika hatua kadhaa:
- Msururu wa baiti hutolewa kutoka kwa picha. Kila pikseli inachukuliwa kama mlolongo wa baiti 3 katika mpangilio wa BGR. Baada ya uchimbaji, baiti 4 za kwanza za safu huhifadhi urefu wa ujumbe, zile zinazofuata huhifadhi ujumbe yenyewe.
- Ufunguo umehesabiwa. Ili kufanya hivyo, MD5 inakokotolewa kutoka kwa thamani "ZpzwmjMJyfTNiRalKVrcSkxCN" iliyotajwa kama nenosiri. Hashi inayotokana imeandikwa mara mbili.
- Usimbuaji unafanywa kwa kutumia algoriti ya AES katika hali ya ECB.
Utendaji hasidi
Mchezaji
Inatekelezwa katika bootloader AtProtect.
- Kwa kuwasiliana [activelink-repalce] Hali ya seva inaombwa ili kuthibitisha kuwa iko tayari kutumikia faili. Seva inapaswa kurudi "WEWA".
- kiungo [pakua kiungo-badilisha] Mzigo unapakuliwa.
- Pamoja na FranchyShellcode mzigo wa malipo unaingizwa kwenye mchakato [inj-badala].
Wakati wa uchambuzi wa kikoa 404miradi[.]xyz matukio ya ziada yalitambuliwa kwenye VirusTotal 404 Keylogger, pamoja na aina kadhaa za mizigo.
Kimsingi, wamegawanywa katika aina mbili:
- Upakuaji unafanywa kutoka kwa rasilimali 404miradi[.]xyz.
Data imesimbwa kwa Base64 na AES imesimbwa kwa njia fiche. - Chaguo hili lina hatua kadhaa na linawezekana zaidi kutumika kwa kushirikiana na bootloader AtProtect.
- Katika hatua ya kwanza, data hupakiwa kutoka pastebin na kutatuliwa kwa kutumia kitendakazi HexToByte.
- Katika hatua ya pili, chanzo cha upakiaji ni 404miradi[.]xyz. Walakini, kazi za upunguzaji na usimbaji ni sawa na zile zinazopatikana kwenye DataStealer. Pengine ilipangwa awali kutekeleza utendakazi wa bootloader katika moduli kuu.
- Katika hatua hii, upakiaji tayari uko kwenye faili ya maelezo ya rasilimali katika fomu iliyobanwa. Vitendo sawa vya uchimbaji vilipatikana pia kwenye moduli kuu.
Vipakuzi vilipatikana kati ya faili zilizochambuliwa njRat, SpyGate na panya wengine.
Keylogger
Muda wa kutuma kumbukumbu: dakika 30.
Wahusika wote ni mkono. Wahusika maalum wametoroka. Kuna usindikaji wa funguo za BackSpace na Futa. Kesi nyeti.
ClipboardLogger
Muda wa kutuma kumbukumbu: dakika 30.
Kipindi cha kupigia kura cha akiba: sekunde 0,1.
Kiungo kilichotekelezwa kutoroka.
ScreenLogger
Muda wa kutuma kumbukumbu: dakika 60.
Picha za skrini zimehifadhiwa ndani %HOMEDRIVE%%HOMEPATH%Documents404k404pic.png.
Baada ya kutuma folda 404k inafutwa.
PasswordStealer
| Vivinjari | Wateja wa barua | Wateja wa FTP |
|---|---|---|
| Chrome | Outlook | FileZilla |
| Firefox | Kigezo | |
| SeaMonkey | Foxmail | |
| Joka la barafu | ||
| PaleMoon | ||
| Cyberfox | ||
| Chrome | ||
| BraveBrowser | ||
| Kivinjari cha QQ | ||
| Kivinjari cha Iridium | ||
| XvastBrowser | ||
| Chedot | ||
| 360 Kivinjari | ||
| KomodoJoka | ||
| 360Chrome | ||
| SuperBird | ||
| Kivinjari cha Kati | ||
| GhostBrowser | ||
| Kivinjari cha chuma | ||
| Chromium | ||
| Vivaldi | ||
| SlimjetBrowser | ||
| Obitum | ||
| CocCoc | ||
| Mwenge | ||
| UCBrowser | ||
| EpicBrowser | ||
| BliskBrowser | ||
| Opera |
Kukabiliana na uchambuzi wa nguvu
- Kuangalia ikiwa mchakato unachanganuliwa
Inafanywa kwa kutumia utafutaji wa mchakato kazi, ProcessHacker, procexp64, procexp, procmon. Ikiwa angalau moja inapatikana, programu hasidi huondoka.
- Kuangalia ikiwa uko katika mazingira ya mtandaoni
Inafanywa kwa kutumia utafutaji wa mchakato vmtoolsd, Huduma ya VGAuth, vmacthlp, Huduma ya VBox, VBoxTray. Ikiwa angalau moja inapatikana, programu hasidi huondoka.
- Kulala kwa sekunde 5
- Maonyesho ya aina tofauti za visanduku vya mazungumzo
Inaweza kutumika kukwepa baadhi ya masanduku ya mchanga.
- Bypass UAC
Imefanywa kwa kuhariri ufunguo wa Usajili EnableLUA katika mipangilio ya Sera ya Kikundi.
- Hutumia sifa ya "Siri" kwa faili ya sasa.
- Uwezo wa kufuta faili ya sasa.
Vipengele Visivyotumika
Wakati wa uchambuzi wa bootloader na moduli kuu, kazi zilipatikana ambazo ziliwajibika kwa utendaji wa ziada, lakini hazitumiwi popote. Labda hii ni kutokana na ukweli kwamba programu hasidi bado inaundwa na utendakazi utapanuliwa hivi karibuni.
Loader AtProtect
Chaguo la kukokotoa lilipatikana ambalo linawajibika kupakia na kuingiza kwenye mchakato msiexec.exe moduli ya kiholela.
DataStealer
- Ujumuishaji katika mfumo
- Decompression na decryption kazi
Kuna uwezekano kwamba usimbaji fiche wa data wakati wa mawasiliano ya mtandao utatekelezwa hivi karibuni. - Kukomesha michakato ya antivirus
| zlclient | Dvp95_0 | Pavsched | wastani wa9 |
| egui | Ecengine | Pavw | avgserv9schedapp |
| bdagent | Salama | PCCIOMON | avgemc |
| npfmsg | Espwatch | PCCMAIN | ashwebsv |
| olydbg | F-Agnt95 | Pccwin98 | majivu |
| anubis | Findvir | Pfwallicon | ashmaisv |
| wireshark | Fprot | Persfw | ashserv |
| avastui | F-Prot | POP3TRAP | aswUpdSv |
| _Avp32 | F-Prot95 | PVIEW95 | symwsc |
| vsmon | Fp-Shinda | Ravxnumx | Norton |
| mbam | Frw | Rav7win | Norton Auto-Protect |
| kiboreshaji cha ufunguo | F-Stopw | Kuwaokoa | norton_av |
| _Avpcc | Iamapp | Mtandao salama | nortonav |
| _Avpm | Iamserv | Changanua32 | ccsetmgr |
| Ackwin32 | Ibmasn | Changanua95 | ccvtmgr |
| Outpost | Ibmavsp | Scanpm | avadmin |
| Anti-Trojan | Icload95 | Skena | avcenter |
| Antivir | Icloadnt | Huduma 95 | wastani |
| Apvxdwin | Ikmon | Smc | avguard |
| ATRACK | Icsup95 | SMCSERVICE | avnotify |
| Chini kiotomatiki | Icsupnt | Piga | avscan |
| Avconsol | Iface | Sphinx | guardgui |
| Ndege32 | Iomon98 | Zoa95 | nod32krn |
| Avgctrl | Jedi | SYMPROXYSVC | nod32kui |
| Avkserv | Lockdown2000 | Tbscan | clamscan |
| Avnt | Tazama | Tca | clamTray |
| Avp | Luall | Tds2-98 | clamWin |
| Avp32 | mkahawa | Tds2-Nt | freshclam |
| Avpcc | Moolive | TermiNET | oladini |
| Avpdos32 | MPftray | Daktari wa mifugo95 | chombo cha sigtool |
| Avpm | N32 scanw | Vetray | w9xpopen |
| Avptc32 | NAVAPSVC | Vscan40 | Funga |
| Avpupd | NAVAPW32 | Vsecomr | cmgrdian |
| Avsched32 | NAVLU32 | Vshwin32 | alogserv |
| AVSYNMGR | Navnt | Vsstat | mcshield |
| Avwin95 | NAVRUNR | Webscanx | vshwin32 |
| Avwupd32 | Navw32 | WEBTRAP | avconsol |
| Nyeusi | Navwnt | Wfindv32 | vsstat |
| Barafu nyeusi | NeoWatch | kengele ya eneo | avsynmgr |
| Cfiaadmin | NISERV | LOCKDOWN2000 | avcmd |
| Cfiaudit | Nisum | UOKOAJI32 | avconfig |
| Cfinet | Nmain | LUCOMSERVER | limgr |
| Cfinet32 | Normist | wastani | iliyopangwa |
| Kucha95 | NORTON | wastani | preupd |
| Claw95cf | Nunua | avgamsvr | MsMpEng |
| Cleaner | NVC95 | avgupsvc | MSACui |
| Msafishaji3 | Outpost | avgw | Avira.Systray |
| Defwatch | Padmin | avgcc32 | |
| Dvp95 | Pavcl | avgserv |
- Kujiangamiza
- Inapakia data kutoka kwa faili maalum ya rasilimali
- Kunakili faili kwenye njia %Temp%tmpG[Tarehe na saa ya sasa katika milisekunde].tmp
Jambo la kufurahisha ni kwamba, kipengele kinachofanana kinapatikana katika programu hasidi ya AgentTesla. - Utendaji wa minyoo
Programu hasidi hupokea orodha ya midia inayoweza kutolewa. Nakala ya programu hasidi imeundwa kwenye mzizi wa mfumo wa faili wa media na jina Sys.exe. Autorun inatekelezwa kwa kutumia faili urafiki.inf.
Wasifu wa mshambuliaji
Wakati wa uchambuzi wa kituo cha amri, iliwezekana kuanzisha barua pepe na jina la utani la msanidi programu - Razer, aka Brwa, Brwa65, HiDDen Person, 404 Coder. Kisha, tulipata video ya kuvutia kwenye YouTube inayoonyesha kufanya kazi na mjenzi.
Hii ilifanya iwezekane kupata chaneli asili ya msanidi.
Ilibainika kuwa alikuwa na uzoefu katika kuandika maandishi ya maandishi. Pia kuna viungo vya kurasa kwenye mitandao ya kijamii, pamoja na jina halisi la mwandishi. Aligeuka kuwa mkazi wa Iraq.
Hivi ndivyo msanidi programu wa 404 Keylogger anavyoonekana kama. Picha kutoka kwa wasifu wake wa kibinafsi wa Facebook.
CERT Group-IB imetangaza tishio jipya - 404 Keylogger - kituo cha ufuatiliaji na majibu cha saa XNUMX kwa vitisho vya mtandao (SOC) nchini Bahrain.
Chanzo: mapenzi.com