Дар солҳои охир, троянҳои мобилӣ фаъолона троянҳоро барои компютерҳои фардӣ иваз мекунанд, аз ин рӯ пайдоиши нармафзори нави зараровар барои "мошинҳои" хуби кӯҳна ва истифодаи фаъоли онҳо аз ҷониби киберҷинояткорон, гарчанде ки нохушоянд аст, ҳоло ҳам як ҳодиса аст. Ба наздикӣ, маркази вокуниш ба ҳодисаҳои амнияти иттилоотии CERT Group-IB як почтаи ғайриоддии фишингро ошкор кард, ки як нармафзори нави зараровари компютерро пинҳон мекард, ки вазифаҳои Keylogger ва PasswordStealerро муттаҳид мекунад. Таваҷҷуҳи таҳлилгарон ба он ҷалб карда шуд, ки чӣ гуна нармафзори ҷосусӣ ба мошини корбар ворид шудааст - бо истифода аз паёмнависии овозӣ. Илья Померанцев, мутахассиси таҳлили нармафзори зараровар дар CERT Group-IB, шарҳ дод, ки нармафзори зараровар чӣ гуна кор мекунад, чаро он хатарнок аст ва ҳатто созандаи худро дар Ироқи дурдаст пайдо кардааст.
Пас, биёед бо тартиб равем. Зери ниқоби замима, чунин мактуб дорои тасвире буд, ки пас аз клик кардани он корбар ба сайт бурда шуд. cdn.discordapp.com, ва файли зараровар аз он ҷо бор карда шуд.
Истифодаи Discord, паёмнависии ройгони овозӣ ва матнӣ хеле ғайриоддӣ аст. Одатан, барои ин мақсадҳо дигар паёмрасонҳои фаврӣ ё шабакаҳои иҷтимоӣ истифода мешаванд.
Ҳангоми таҳлили муфассалтар як оилаи нармафзори зараровар муайян карда шуд. Маълум шуд, ки он як навовари бозори нармафзори зараровар буд - 404 Keylogger.
Аввалин таблиғ оид ба фурӯши клавиатура дар он ҷо гузошта шуд ҳакфорумҳо аз ҷониби корбар бо лақаби "404 Coder" рӯзи 8 август.
Домени мағоза ба наздикӣ ба қайд гирифта шуд - 7 сентябри соли 2019.
Тавре ки таҳиягарон дар вебсайт мегӯянд 404лоиҳа[.]xyz, 404 асбобест, ки барои кӯмак ба ширкатҳо дар бораи фаъолияти муштариёни худ (бо иҷозати онҳо) ё барои онҳое, ки бинарии худро аз муҳандисии баръакс муҳофизат кардан мехоҳанд. Ба пеш нигох карда, бо супориши охирин гуем 404 бешубҳа тоб намеорад.
Мо тасмим гирифтем, ки яке аз файлҳоро баргардонем ва тафтиш кунем, ки "BEST SMART KEYLOGGER" чист.
Экосистемаи нармафзори зараровар
Боркунаки 1 (AtillaCrypter)
Файли манбаъ бо истифода аз ҳифз ҳифз карда мешавад EaxObfuscator ва боркуниро ду-руст ичро мекунад AtProtect аз бахши захираҳо. Ҳангоми таҳлили дигар намунаҳое, ки дар VirusTotal ёфт шудаанд, маълум шуд, ки ин марҳила аз ҷониби худи таҳиякунанда пешниҳод нашудааст, балки аз ҷониби муштарии ӯ илова карда шудааст. Баъдтар муайян карда шуд, ки ин пурборкунанда AtillaCrypter аст.
Bootloader 2 (AtProtect)
Дарвоқеъ, ин боркунак ҷузъи ҷудонашавандаи нармафзори зараровар аст ва мувофиқи нияти таҳиягар бояд функсияи таҳлили муқовиматро бар дӯш гирад.
Бо вуҷуди ин, дар амал механизмҳои муҳофизатӣ бениҳоят ибтидоӣ мебошанд ва системаҳои мо ин нармафзори зарароварро бомуваффақият ошкор мекунанд.
Бо истифода аз модули асосӣ бор карда мешавад Franchy ShellCode версияҳои гуногун. Аммо, мо истисно намекунем, ки вариантҳои дигар метавонистанд истифода шаванд, масалан, RunPE.
Файли конфигуратсия
Консолидация дар система
Муттаҳидшавӣ дар система аз ҷониби пурборкунанда таъмин карда мешавад AtProtect, агар байраки дахлдор гузошта шуда бошад.
- Файл дар баробари роҳ нусхабардорӣ карда мешавад %AppData%GFqaakZpzwm.exe.
- Файл эҷод карда мешавад %AppData%GFqaakWinDriv.url, ба кор андохтан Zpzwm.exe.
- Дар ришта HKCUSoftwareMicrosoftWindowsCurrentVersionRun калиди оғозёбӣ эҷод карда мешавад WinDriv.url.
Муносибат бо C&C
Loader AtProtect
Агар парчами мувофиқ мавҷуд бошад, нармафзори зараровар метавонад раванди пинҳониро оғоз кунад пажӯҳишгар ва ба истиноди муайяншуда пайравӣ кунед, то серверро дар бораи сирояти муваффақ огоҳ созед.
DataStealer
Новобаста аз усули истифодашуда, алоқаи шабакавӣ аз гирифтани IP-и берунаи ҷабрдида бо истифода аз манбаъ оғоз мешавад [http]://checkip[.]dyndns[.]org/.
Корбар-Агенти: Mozilla/4.0 (мувофиқ; MSIE 6.0; Windows NT 5.2; .NET CLR1.0.3705;)
Сохтори умумии паём як хел аст. Сарлавҳа мавҷуд аст
|——- 404 Keylogger — {Намуд} ——-|ки дар {навъ} ба навъи иттилооти интиқолшаванда мувофиқат мекунад.
Маълумот дар бораи система инҳоянд:
_______ + МАЪЛУМОТ ДАР БОРАИ КУРБОН + _______
IP: {IP беруна}
Номи соҳиб: {Номи компютер}
Номи OS: {Номи OS}
Версияи OS: {Version OS}
Платформаи OS: {Платформа}
Андозаи RAM: {андозаи RAM}
______________________________
Ва ниҳоят, маълумоти интиқолшуда.
SMTP
Мавзуи мактуб чунин аст: 404 К | {Намуди паём} | Номи муштарӣ: {Номи корбар}.
Ҷолиб он аст, ки барои расонидани мактубҳо ба муштарӣ 404 Keylogger Сервери SMTP таҳиягарон истифода мешавад.
Ин имкон дод, ки баъзе муштариён, инчунин почтаи электронии яке аз таҳиягарон муайян карда шаванд.
FTP
Ҳангоми истифодаи ин усул, иттилооти ҷамъшуда дар файл захира карда мешавад ва фавран аз он ҷо хонда мешавад.
Мантиқи ин амал комилан равшан нест, аммо он барои навиштани қоидаҳои рафтор артефакти иловагӣ эҷод мекунад.
%HOMEDRIVE%%HOMEPATH%DocumentsA{Рақами худсарона}.txt
Pastebin
Ҳангоми таҳлил ин усул танҳо барои интиқоли паролҳои дуздидашуда истифода мешавад. Гузашта аз ин, он на ҳамчун алтернатива ба дуи аввал, балки дар баробари истифода бурда мешавад. Шарт арзиши доимӣ ба "Vavaa" аст. Эҳтимол меравад, ки ин номи муштарӣ аст.
Ҳамкорӣ тавассути протоколи https тавассути API сурат мегирад пастебин. Маънои api_paste_private баробар аст БА РӮЙХАТНОМАИ_НАВОСТ, ки ҷустуҷӯи чунин саҳифаҳоро дар пастебин.
Алгоритмҳои рамзгузорӣ
Гирифтани файл аз захираҳо
Сарборӣ дар захираҳои пурборкунанда нигоҳ дошта мешавад AtProtect дар шакли тасвирҳои Bitmap. Истихроҷ дар якчанд марҳила сурат мегирад:
- Аз тасвир массиви байтҳо гирифта мешавад. Ҳар як пиксел ҳамчун пайдарпаии 3 байт бо тартиби BGR баррасӣ карда мешавад. Пас аз истихроҷ, 4 байтҳои аввали массив дарозии паёмро нигоҳ медоранд, баъдӣ худи паёмро нигоҳ медоранд.
- Калид ҳисоб карда мешавад. Барои ин, MD5 аз арзиши "ZpzwmjMJyfTNiRalKVrcSkxCN", ки ҳамчун парол нишон дода шудааст, ҳисоб карда мешавад. Хаши натиҷа ду маротиба навишта мешавад.
- Рамзи рамзкушоӣ бо истифода аз алгоритми AES дар реҷаи ECB анҷом дода мешавад.
Функсияи зараровар
Downloader
Дар bootloader амалӣ карда мешавад AtProtect.
- Бо тамос [activelink-repalce] Ҳолати сервер дархост карда мешавад, то тасдиқ кунад, ки он барои хидматрасонии файл омода аст. Сервер бояд баргардад "ON".
- Бо шарти [пайванди зеркашӣ-иваз] Сарборӣ зеркашӣ карда мешавад.
- Бо кӯмаки Рамзи FranchyShell бори фоиданок ба процесс ворид карда мешавад [inj-replace].
Ҳангоми таҳлили домен 404лоиҳа[.]xyz намунаҳои иловагӣ дар VirusTotal муайян карда шуданд 404 Keylogger, инчунин якчанд намуди боркунакхо.
Одатан, онҳо ба ду намуд тақсим мешаванд:
- Зеркашӣ аз манбаъ анҷом дода мешавад 404лоиҳа[.]xyz.
Маълумот Base64 рамзгузорӣ шудааст ва AES рамзгузорӣ шудааст. - Ин хосият аз якчанд марҳила иборат аст ва эҳтимолан дар якҷоягӣ бо пурборкунанда истифода мешавад AtProtect.
- Дар марҳилаи аввал, маълумот аз пастебин ва бо истифода аз функсия рамзкушоӣ карда мешавад HexToByte.
- Дар марҳилаи дуюм, манбаи боркунӣ ин аст 404лоиҳа[.]xyz. Бо вуҷуди ин, функсияҳои декомпрессионӣ ва рамзкушоӣ ба вазифаҳое монанданд, ки дар DataStealer пайдо шудаанд. Эҳтимол дар ибтидо ба нақша гирифта шуда буд, ки функсияи пурборкунанда дар модули асосӣ амалӣ карда шавад.
- Дар ин марҳила, сарборӣ аллакай дар манифести захиравӣ дар шакли фишурда қарор дорад. Функсияҳои истихроҷи шабеҳ дар модули асосӣ низ пайдо шуданд.
Дар байни файлҳои таҳлилшуда зеркашӣкунандагон пайдо шуданд njRat, SpyGate ва дигар RATs.
Keylogger
Мӯҳлати фиристодани сабт: 30 дақиқа.
Ҳама аломатҳо дастгирӣ мешаванд. Аломатҳои махсус фирор мекунанд. Барои калидҳои BackSpace ва Delete коркард мавҷуд аст. Ҳарф калон ё хурд аст.
ClipboardLogger
Мӯҳлати фиристодани сабт: 30 дақиқа.
Давраи овоздиҳии буферӣ: 0,1 сония.
Пайванди фирорӣ амалӣ карда шуд.
ScreenLogger
Мӯҳлати фиристодани сабт: 60 дақиқа.
Скриншотҳо дар %HOMEDRIVE%%HOMEPATH%Documents404k404pic.png.
Пас аз фиристодани папка 404k нест карда мешавад.
Рамздуздӣ
| Браузерҳо | Мизоҷони почта | Мизоҷони FTP |
|---|---|---|
| Chrome | нущтаи назар | FileZilla |
| Firefox | Thunderbird | |
| SeaMonkey | Foxmail | |
| яхдон | ||
| ПалеМун | ||
| Киберфокс | ||
| Chrome | ||
| BraveBrowser | ||
| QQBrowser | ||
| Браузери Iridium | ||
| XvastBrowser | ||
| Чедот | ||
| 360 Браузер | ||
| ComodoDragon | ||
| 360 Chrome | ||
| SuperBird | ||
| CentBrowser | ||
| GhostBrowser | ||
| IronBrowser | ||
| Хром | ||
| Vivaldi | ||
| SlimjetBrowser | ||
| Орбитум | ||
| CocCoc | ||
| Шакар | ||
| UCBrowser | ||
| EpicBrowser | ||
| BliskBrowser | ||
| Опера |
Муқовимат ба таҳлили динамикӣ
- Санҷед, ки оё раванд таҳти таҳлил аст
Бо истифода аз ҷустуҷӯи раванд анҷом дода мешавад taskmgr, ProcessHacker, procexp64, procexp, прокмон. Агар ҳадди аққал яке аз онҳо пайдо шавад, нармафзори зараровар хориҷ мешавад.
- Санҷед, ки оё шумо дар муҳити виртуалӣ ҳастед
Бо истифода аз ҷустуҷӯи раванд анҷом дода мешавад vmtoolsd, VGAuthService, vmacthlp, VBoxService, VBoxTray. Агар ҳадди аққал яке аз онҳо пайдо шавад, нармафзори зараровар хориҷ мешавад.
- Барои 5 сония хоб рафтан
- Намоиши намудҳои гуногуни қуттиҳои муколама
Онро барои гузаштан аз қуттиҳои қум истифода бурдан мумкин аст.
- UAC-ро буред
Бо таҳрири калиди сабти ном иҷро карда мешавад EnableLUA дар танзимоти сиёсати гурӯҳӣ.
- Аттрибути "Пинҳон"-ро ба файли ҷорӣ татбиқ мекунад.
- Имконияти нест кардани файли ҷорӣ.
Хусусиятҳои ғайрифаъол
Ҳангоми таҳлили боркунак ва модули асосӣ, функсияҳое пайдо шуданд, ки барои функсияҳои иловагӣ масъуланд, аммо онҳо дар ҳеҷ ҷо истифода намешаванд. Эҳтимол ин ба он вобаста аст, ки нармафзори зараровар ҳанӯз дар ҳоли таҳия аст ва функсияҳо ба зудӣ васеъ карда мешаванд.
Loader AtProtect
Функсияе ёфт шуд, ки барои бор кардан ва ворид кардан ба раванд масъул аст msiexec.exe модули ихтиёрӣ.
DataStealer
- Консолидация дар система
- Функсияҳои декомпрессия ва рамзкушоӣ
Эҳтимол меравад, ки рамзгузории маълумот ҳангоми алоқаи шабакавӣ ба зудӣ амалӣ карда шавад. - Қатъ кардани равандҳои антивирус
| zlclient | Dvp95_0 | Павшед | avgserv9 |
| эгуи | Ecengine | Павв | avgserv9schedapp |
| бдагент | Эсафе | PCCIOMON | avgemc |
| npfmsg | Espwatch | PCCMAIN | ashwebsv |
| olydbg | F-Agnt95 | Pccwin98 | ашдисп |
| анубис | Findvir | Pcfwallicon | ашмаисв |
| Вирештар | Фпрот | Persfw | ашсерв |
| авастуи | F-прот | POP3TRAP | aswUpdSv |
| _Avp32 | F-Prot95 | PVIEW95 | symwsc |
| vsmon | Fp- Win | Рав7 | Нортон |
| mbam | Frw | Rav7win | Norton Auto-Protect |
| keyscrambler | F-Stopw | ҳифз кардан | norton_av |
| _Avpcc | Iamapp | Safeweb | нортонав |
| _Авм | Iamserv | Скан 32 | ccsetmgr |
| Ackwin32 | Ибмасн | Скан 95 | ccevtmgr |
| Амалиёт | Ибмавсп | Scanpm | авадмин |
| Анти-троян | Icload 95 | Scrscan | avcenter |
| Антивир | Icloadnt | Серв95 | авгнт |
| Apvxdwin | Ичмон | smc | аввард |
| ATRACK | Icsupp95 | SMCSERVICE | огоҳ кардан |
| Худкор поён | Icsuppnt | Снорт | avscan |
| Avconsol | Iface | SPHINX | посбонй |
| Аве32 | Iomon98 | Тоза кардан 95 | nod32krn |
| Avgctrl | Jedi | SYMPROXYSVC | nod32kui |
| Авксерв | Бастан 2000 | Tbscan | моллюск |
| Avnt | Нигоҳ кардан | Tca | clamTray |
| Avp | Луалл | Tds2-98 | clamWin |
| Авп32 | mcafee | Tds2-Nt | тару тоза |
| Avpcc | Мулив | TermiNET | оладдин |
| Avpdos32 | MPftray | Вет95 | сигтол |
| Avpm | N32scanw | Веттрей | w9xpopen |
| Avptc32 | NAVAPSVC | Vscan40 | Пӯшед |
| Avpupd | NAVAPW32 | Vsecomr | смгрдия |
| Авсчед 32 | НАВЛУ32 | Vshwin32 | alogserv |
| AVSYNMGR | Навнт | Vsstat | макшилд |
| Аввин 95 | НАВРУНР | Webscanx | vshwin32 |
| Avwupd32 | Навв32 | WEBTRAP | avconsol |
| Блэкд | Наввнт | Wfindv32 | vsstat |
| Blackice | NeoWatch | Ҳушдори минтақа | avsynmgr |
| Cfiadmin | НИССЕРВ | БАХШИ 2000 | avcmd |
| Cfiaudit | Нисум | Наҷот 32 | avconfig |
| Cfinet | Nmain | LUCOMSERVER | licmgr |
| Cfinet32 | Нормист | avgcc | ба нақша гирифта шудааст |
| Чанго 95 | НОРТОН | avgcc | пешакӣ |
| Claw95cf | Навсозӣ | авгамсвр | MsMpEng |
| Тозакунанда | Nvc95 | avgupsvc | MSASCui |
| Тозакунанда 3 | Амалиёт | авгв | Avira.Systray |
| Дафтар | Падмин | avgcc32 | |
| Dvp95 | Pavcl | avgserv |
- Худкушӣ
- Боркунии маълумот аз манифести манбаи муайян
- Нусхабардории файл дар як роҳ %Temp%tmpG[Сана ва вақти ҷорӣ бо миллисонияҳо].tmp
Ҷолиб он аст, ки функсияи якхела дар нармафзори зараровар AgentTesla мавҷуд аст. - Функсияи кирм
Барномаи зараровар рӯйхати васоити ҷудошавандаро мегирад. Нусхаи нармафзори зараровар дар решаи системаи файлии медиа бо ном сохта мешавад Sys.exe. Autorun бо истифода аз файл амалӣ карда мешавад НОҲИЯИ МУЪМИНОБОД.
Профили ҳамлагар
Ҳангоми таҳлили маркази фармондиҳӣ, имкон пайдо шуд, ки почтаи электронӣ ва лақаби таҳиякунанда - Razer, aka Brwa, Brwa65, HiDDen PerSON, 404 Coder муайян карда шавад. Баъдан, мо дар YouTube як видеои ҷолибе ёфтем, ки кор бо бинокорро нишон медиҳад.
Ин имкон дод, ки канали аслии таҳиякунанда пайдо шавад.
Маълум шуд, ки ӯ дар навиштани криптографҳо таҷриба дорад. Инчунин истинод ба саҳифаҳо дар шабакаҳои иҷтимоӣ, инчунин номи аслии муаллиф вуҷуд дорад. Маълум шуд, ки ӯ сокини Ироқ будааст.
Ин аст он чизе ки як таҳиягари 404 Keylogger ба назар мерасад. Акс аз профили шахсии Facebook.
CERT Group-IB як таҳдиди навро эълон кард - 404 Keylogger - маркази мониторинг ва вокуниш ба таҳдидҳои киберӣ (SOC) дар Баҳрайн.
Манбаъ: will.com