ในช่วงไม่กี่ปีที่ผ่านมา โทรจันบนมือถือได้เข้ามาแทนที่โทรจันสำหรับคอมพิวเตอร์ส่วนบุคคล ดังนั้นการเกิดขึ้นของมัลแวร์ใหม่สำหรับ “รถยนต์” เก่าๆ และการใช้งานโดยอาชญากรไซเบอร์ แม้ว่าจะไม่เป็นที่พอใจ แต่ก็ยังเป็นเรื่องที่น่ากังวล เมื่อเร็วๆ นี้ ศูนย์ตอบสนองเหตุการณ์ด้านความปลอดภัยของข้อมูลตลอด 24 ชั่วโมงทุกวันของ CERT Group-IB ตรวจพบอีเมลฟิชชิ่งที่ผิดปกติซึ่งซ่อนมัลแวร์พีซีตัวใหม่ ซึ่งรวมฟังก์ชันของ Keylogger และ PasswordStealer เข้าด้วยกัน ความสนใจของนักวิเคราะห์มุ่งเน้นไปที่วิธีที่สปายแวร์เข้าสู่เครื่องของผู้ใช้โดยใช้โปรแกรมส่งข้อความเสียงยอดนิยม อิลยา โปเมอรานเซฟผู้เชี่ยวชาญด้านการวิเคราะห์มัลแวร์ที่ CERT Group-IB อธิบายวิธีการทำงานของมัลแวร์ เหตุใดจึงเป็นอันตราย และยังพบว่าผู้สร้างมัลแวร์อยู่ในอิรักอันห่างไกล
เอาล่ะไปตามลำดับกัน ภายใต้หน้ากากของเอกสารแนบ จดหมายดังกล่าวมีรูปภาพ เมื่อคลิกที่ผู้ใช้จะถูกพาไปยังไซต์ cdn.discordapp.comและมีการดาวน์โหลดไฟล์ที่เป็นอันตรายจากที่นั่น
การใช้ Discord โปรแกรมส่งข้อความเสียงและข้อความฟรีนั้นค่อนข้างแหวกแนว โดยปกติแล้ว โปรแกรมส่งข้อความหรือโซเชียลเน็ตเวิร์กอื่นๆ จะถูกใช้เพื่อวัตถุประสงค์เหล่านี้
ในระหว่างการวิเคราะห์โดยละเอียดยิ่งขึ้น พบว่ามีกลุ่มมัลแวร์กลุ่มหนึ่ง มันกลายเป็นผู้มาใหม่ในตลาดมัลแวร์ - 404 คีย์ล็อกเกอร์.
มีการโพสต์โฆษณาแรกสำหรับการขายคีย์ล็อกเกอร์ แฮ็คฟอรัม โดยผู้ใช้ชื่อเล่น “404 Coder” เมื่อวันที่ 8 สิงหาคม
โดเมนร้านค้าได้รับการจดทะเบียนเมื่อไม่นานมานี้ - เมื่อวันที่ 7 กันยายน 2019
ตามที่นักพัฒนาพูดบนเว็บไซต์ 404โครงการ[.]xyz, 404 เป็นเครื่องมือที่ออกแบบมาเพื่อช่วยให้บริษัทต่างๆ เรียนรู้เกี่ยวกับกิจกรรมของลูกค้า (เมื่อได้รับอนุญาต) หรือสำหรับผู้ที่ต้องการปกป้องไบนารีของตนจากวิศวกรรมย้อนกลับ มองไปข้างหน้าสมมติว่าเป็นงานสุดท้าย 404 รับมือไม่ได้แน่นอน
เราตัดสินใจย้อนกลับไฟล์ใดไฟล์หนึ่งและตรวจสอบว่า "BEST SMART KEYLOGGER" คืออะไร
ระบบนิเวศของมัลแวร์
ตัวโหลด 1 (AtillaCrypter)
ไฟล์ต้นฉบับได้รับการป้องกันโดยใช้ EaxObfuscator และดำเนินการโหลดแบบสองขั้นตอน ที่ปกป้อง จากส่วนทรัพยากร ในระหว่างการวิเคราะห์ตัวอย่างอื่นๆ ที่พบใน VirusTotal เห็นได้ชัดว่าขั้นตอนนี้ไม่ได้จัดทำโดยนักพัฒนาเอง แต่ลูกค้าของเขาเป็นผู้เพิ่มเข้ามา มีการพิจารณาในภายหลังว่า bootloader นี้คือ AtillaCrypter
บูตโหลดเดอร์ 2 (AtProtect)
อันที่จริง ตัวโหลดนี้เป็นส่วนสำคัญของมัลแวร์ และควรใช้งานฟังก์ชันการวิเคราะห์การตอบโต้ตามความตั้งใจของนักพัฒนา
อย่างไรก็ตาม ในทางปฏิบัติ กลไกการป้องกันถือเป็นเรื่องดั้งเดิมอย่างยิ่ง และระบบของเราตรวจพบมัลแวร์นี้ได้สำเร็จ
โมดูลหลักถูกโหลดโดยใช้ แฟรนไชส์เชลล์โค้ด รุ่นที่แตกต่างกัน อย่างไรก็ตาม เราไม่ได้ยกเว้นว่าสามารถใช้ตัวเลือกอื่นได้ เช่น รันพีอี.
ไฟล์การกำหนดค่า
การรวมระบบ
การรวมในระบบได้รับการรับรองโดย bootloader ที่ปกป้องถ้ามีการตั้งค่าสถานะที่สอดคล้องกัน
- ไฟล์จะถูกคัดลอกไปตามเส้นทาง %AppData%GFqaakZpzwm.exe.
- ไฟล์ถูกสร้างขึ้น %AppData%GFqaakWinDriv.url, เปิดตัว Zpzwm.exe.
- ในกระทู้ HKCUซอฟต์แวร์MicrosoftWindowsCurrentVersionRun มีการสร้างคีย์เริ่มต้น WinDriv.url.
ปฏิสัมพันธ์กับซีแอนด์ซี
ตัวโหลด AtProtect
หากมีแฟล็กที่เหมาะสม มัลแวร์สามารถเปิดกระบวนการที่ซ่อนอยู่ได้ ไอเอ็กซ์พลอเรอร์ และไปตามลิงค์ที่ระบุเพื่อแจ้งเซิร์ฟเวอร์เกี่ยวกับการติดไวรัสสำเร็จ
DataStealer
ไม่ว่าจะใช้วิธีใดก็ตาม การสื่อสารเครือข่ายเริ่มต้นด้วยการรับ IP ภายนอกของเหยื่อโดยใช้ทรัพยากร [http]://checkip[.]dyndns[.]org/.
ตัวแทนผู้ใช้: Mozilla/4.0 (เข้ากันได้; MSIE 6.0; Windows NT 5.2; .NET CLR1.0.3705;)
โครงสร้างทั่วไปของข้อความจะเหมือนกัน ส่วนหัวปัจจุบัน
|——- 404 คีย์ล็อกเกอร์ — {ประเภท} ——-|ที่ไหน {พิมพ์} สอดคล้องกับประเภทของข้อมูลที่ถูกส่ง
ต่อไปนี้เป็นข้อมูลเกี่ยวกับระบบ:
_______ + ข้อมูลเหยื่อ + _______
ไอพี: {ไอพีภายนอก}
ชื่อเจ้าของ: {ชื่อคอมพิวเตอร์}
ชื่อระบบปฏิบัติการ: {ชื่อระบบปฏิบัติการ}
เวอร์ชันระบบปฏิบัติการ: {เวอร์ชันระบบปฏิบัติการ}
แพลตฟอร์มระบบปฏิบัติการ: {แพลตฟอร์ม}
ขนาดแรม: {ขนาดแรม}
______________________________
และสุดท้ายข้อมูลที่ส่ง
SMTP
เรื่องของจดหมายมีดังนี้: 404 เค | {ประเภทข้อความ} | ชื่อลูกค้า: {ชื่อผู้ใช้}.
ที่น่าสนใจคือส่งจดหมายถึงลูกค้า 404 คีย์ล็อกเกอร์ มีการใช้เซิร์ฟเวอร์ SMTP ของนักพัฒนา
ทำให้สามารถระบุลูกค้าบางรายได้ เช่นเดียวกับอีเมลของนักพัฒนารายหนึ่ง
FTP
เมื่อใช้วิธีการนี้ ข้อมูลที่รวบรวมจะถูกบันทึกลงในไฟล์และอ่านจากที่นั่นทันที
ตรรกะเบื้องหลังการกระทำนี้ยังไม่ชัดเจนนัก แต่จะสร้างสิ่งประดิษฐ์เพิ่มเติมสำหรับการเขียนกฎเกณฑ์ด้านพฤติกรรม
%HOMEDRIVE%%HOMEPATH%DocumentsA{หมายเลขที่กำหนดเอง}.txt
Pastebin
ในขณะที่ทำการวิเคราะห์ วิธีการนี้ใช้เพื่อถ่ายโอนรหัสผ่านที่ถูกขโมยเท่านั้น ยิ่งไปกว่านั้น มันไม่ได้ถูกใช้เป็นทางเลือกแทนสองอันแรก แต่ใช้แบบขนาน เงื่อนไขคือค่าคงที่เท่ากับ “วาวา” น่าจะเป็นชื่อลูกค้านะครับ
การโต้ตอบเกิดขึ้นผ่านโปรโตคอล https ผ่านทาง API pastebin. ความหมาย api_paste_private เป็น PASTE_UNLISTEDซึ่งห้ามไม่ให้ค้นหาหน้าดังกล่าวใน pastebin.
อัลกอริธึมการเข้ารหัส
การดึงไฟล์จากทรัพยากร
เพย์โหลดจะถูกจัดเก็บไว้ในทรัพยากร bootloader ที่ปกป้อง ในรูปแบบภาพบิตแมป การสกัดจะดำเนินการในหลายขั้นตอน:
- อาร์เรย์ของไบต์จะถูกแยกออกจากรูปภาพ แต่ละพิกเซลจะถือเป็นลำดับ 3 ไบต์ตามลำดับ BGR หลังจากการแตกข้อมูล 4 ไบต์แรกของอาร์เรย์จะเก็บความยาวของข้อความ ส่วนไบต์ถัดไปจะเก็บข้อความเอง
- คีย์ถูกคำนวณ เมื่อต้องการทำเช่นนี้ MD5 จะถูกคำนวณจากค่า “ZpzwmjMJyfTNiRalKVrcSkxCN” ที่ระบุเป็นรหัสผ่าน แฮชผลลัพธ์จะถูกเขียนสองครั้ง
- การถอดรหัสดำเนินการโดยใช้อัลกอริทึม AES ในโหมด ECB
ฟังก์ชั่นที่เป็นอันตราย
ดาวน์โหลด
ใช้งานใน bootloader ที่ปกป้อง.
- โดยการติดต่อ [activelink-repalce] สถานะของเซิร์ฟเวอร์ถูกร้องขอเพื่อยืนยันว่าพร้อมให้บริการไฟล์ เซิร์ฟเวอร์ควรกลับมา "บน".
- การเชื่อมโยง [ดาวน์โหลดลิงค์แทนที่] เพย์โหลดจะถูกดาวน์โหลด
- ด้วย FranchyShellcode เพย์โหลดจะถูกฉีดเข้าไปในกระบวนการ [inj-แทนที่].
ระหว่างการวิเคราะห์โดเมน 404โครงการ[.]xyz มีการระบุอินสแตนซ์เพิ่มเติมใน VirusTotal 404 คีย์ล็อกเกอร์รวมถึงรถตักหลายประเภท
ตามอัตภาพจะแบ่งออกเป็นสองประเภท:
- การดาวน์โหลดจะดำเนินการจากทรัพยากร 404โครงการ[.]xyz.
ข้อมูลมีการเข้ารหัส Base64 และเข้ารหัส AES - ตัวเลือกนี้ประกอบด้วยหลายขั้นตอนและมักจะใช้ร่วมกับโปรแกรมโหลดบูต ที่ปกป้อง.
- ในระยะแรกข้อมูลจะถูกโหลดจาก pastebin และถอดรหัสโดยใช้ฟังก์ชัน HexToByte.
- ในขั้นตอนที่สอง แหล่งที่มาของการโหลดคือ 404โครงการ[.]xyz. อย่างไรก็ตาม ฟังก์ชันการบีบอัดและถอดรหัสจะคล้ายคลึงกับฟังก์ชันที่พบใน DataStealer เดิมทีอาจมีการวางแผนว่าจะใช้ฟังก์ชันการทำงานของ bootloader ในโมดูลหลัก
- ในขั้นตอนนี้ เพย์โหลดอยู่ในรายการทรัพยากรในรูปแบบที่บีบอัดแล้ว นอกจากนี้ยังพบฟังก์ชันการแยกข้อมูลที่คล้ายกันในโมดูลหลักด้วย
พบผู้ดาวน์โหลดในไฟล์ที่วิเคราะห์ njRat, สปายเกต และหนูอื่นๆ
Keylogger
ระยะเวลาส่งบันทึก: 30 นาที
รองรับตัวละครทุกตัว อักขระพิเศษจะถูกหลีก มีการประมวลผลปุ่ม BackSpace และ Delete กรณีที่สำคัญ.
คลิปบอร์ดLogger
ระยะเวลาส่งบันทึก: 30 นาที
ระยะเวลาการโพลบัฟเฟอร์: 0,1 วินาที
ใช้งานการหลบหนีลิงก์
ScreenLogger
ระยะเวลาส่งบันทึก: 60 นาที
ภาพหน้าจอจะถูกบันทึกไว้ใน %HOMEDRIVE%%HOMEPATH%เอกสาร404k404pic.png.
หลังจากส่งโฟลเดอร์แล้ว 404k จะถูกลบออก
รหัสผ่านขโมย
| เบราว์เซอร์ | โปรแกรมรับส่งเมล | ไคลเอนต์ FTP |
|---|---|---|
| Chrome | Outlook | FileZilla |
| Firefox | ธันเดอร์เบิร์ด | |
| SeaMonkey | ฟ็อกซ์เมล | |
| Icedragon | ||
| เพลมูน | ||
| ไซเบอร์ฟอกซ์ | ||
| Chrome | ||
| เบราว์เซอร์ที่กล้าหาญ | ||
| QQBrowser | ||
| อิริเดียมเบราว์เซอร์ | ||
| XvastBrowser | ||
| เจดีย์ | ||
| 360 เบราว์เซอร์ | ||
| โคโมโดดราก้อน | ||
| 360โครเมี่ยม | ||
| ซุปเปอร์เบิร์ด | ||
| CentBrowser | ||
| GhostBrowser | ||
| เบราว์เซอร์เหล็ก | ||
| โครเมียม | ||
| Vivaldi | ||
| SlimjetBrowser | ||
| orbitum | ||
| ค็อคค | ||
| ไฟฉาย | ||
| ยูซีเบราว์เซอร์ | ||
| มหากาพย์เบราว์เซอร์ | ||
| บลิสก์เบราว์เซอร์ | ||
| Opera |
การตอบโต้ต่อการวิเคราะห์แบบไดนามิก
- ตรวจสอบว่ากระบวนการอยู่ภายใต้การวิเคราะห์หรือไม่
ดำเนินการโดยใช้กระบวนการค้นหา Taskmgr, กระบวนการแฮกเกอร์, procexp64, โพรซีเอ็กซ์, โปรมอน. หากพบอย่างน้อยหนึ่งรายการ มัลแวร์จะออกจากระบบ
- การตรวจสอบว่าคุณอยู่ในสภาพแวดล้อมเสมือนจริงหรือไม่
ดำเนินการโดยใช้กระบวนการค้นหา vmtoolsd, VGAuthService, vmacthlp, VBoxService, VBoxTray. หากพบอย่างน้อยหนึ่งรายการ มัลแวร์จะออกจากระบบ
- หลับไป 5 วินาที
- การสาธิตกล่องโต้ตอบประเภทต่างๆ
สามารถใช้เพื่อข้ามแซนด์บ็อกซ์บางอันได้
- บายพาส UAC
ดำเนินการโดยการแก้ไขคีย์รีจิสทรี EnableLUA ในการตั้งค่านโยบายกลุ่ม
- ใช้แอตทริบิวต์ "ซ่อน" กับไฟล์ปัจจุบัน
- ความสามารถในการลบไฟล์ปัจจุบัน
คุณสมบัติที่ไม่ใช้งาน
ในระหว่างการวิเคราะห์ bootloader และโมดูลหลัก พบฟังก์ชันที่รับผิดชอบฟังก์ชันการทำงานเพิ่มเติม แต่ไม่ได้ใช้ที่ใดเลย อาจเป็นเพราะมัลแวร์ยังอยู่ในการพัฒนาและฟังก์ชันการทำงานจะได้รับการขยายเร็วๆ นี้
ตัวโหลด AtProtect
พบฟังก์ชันที่รับผิดชอบในการโหลดและฉีดเข้าไปในกระบวนการ Msiexec.exe โมดูลที่กำหนดเอง
DataStealer
- การรวมระบบ
- ฟังก์ชั่นการบีบอัดและถอดรหัส
มีแนวโน้มว่าจะมีการนำการเข้ารหัสข้อมูลระหว่างการสื่อสารผ่านเครือข่ายมาใช้เร็วๆ นี้ - การยุติกระบวนการป้องกันไวรัส
| zlclient | Dvp95_0 | ปัฟเชด | avgserv9 |
| เอกุอิ | เอเครื่องยนต์ | ปาว | avgserv9schedapp |
| bdagent | อีเซฟ | พีซีซีโอมอน | avgemc |
| npfmsg | เอสวอตช์ | พีซีซีเมน | ashwebsv |
| โอลิดีบีจี | F-Agnt95 | พีซีวิน98 | แอชดิสพ์ |
| anubis | ค้นหา | Pcfwallicon | Ashmaisv |
| Wireshark | Fprot | เพอร์เฟค | แอชเซิร์ฟ |
| อวาสตุย | เอฟ-โปร | POP3TRAP | aswUpdSv |
| _avp32 | F-Prot95 | PVIEW95 | สมมาตร |
| เทียบกับมอน | Fp-Win | Rav7 | นอร์ตัน |
| แบม | ศุกร์ | Rav7win | การป้องกันอัตโนมัติของ Norton |
| คีย์แครมเบลอร์ | F-Stopw | กู้ภัย | norton_av |
| _AVPC | เอี่ยมแอป | เซฟเว็บ | นอร์โทนาฟ |
| _รอบต่อนาที | เอี่ยมเซิร์ฟ | สแกน32 | ccsetmgr |
| อัควิน32 | อิบมาส | สแกน95 | ccevtmgr |
| ด่านหน้า | อิบมาฟสพ | สแกนน | ผู้ดูแลระบบ |
| ต่อต้านโทรจัน | ไอโหลด95 | สคสสแกน | ศูนย์กระจายเสียง |
| AntiVir | โหลดไม่ได้ | เสิร์ฟ95 | เฉลี่ย |
| Apvxdwin | อิคมอน | SMC | พิทักษ์ |
| ติดตาม | Icsupp95 | เอสเอ็มซีเซอร์วิส | avnotify |
| ดาวน์อัตโนมัติ | Icsuppnt | การดื่มอย่างรวดเร็ว | เอวีสแกน |
| แอฟคอนโซล | ไอเฟซ | บุคคลลึกลับ | การ์ดกุย |
| อเวนิว 32 | ไอโอมอน98 | กวาด95 | พยักหน้า32krn |
| เฉลี่ย | เจได | ซิมพร็อกซีวีซี | nod32kui |
| อเวคเซิร์ฟ | ล็อกดาวน์ปี 2000 | ทีบีสแกน | หอย |
| Avnt | ระวัง | ทีซีเอ | clamTray |
| AVP | ลั้ลลา | Tds2-98 | หอยวิน |
| Avp32 | mcafee | Tds2-Nt | freshclam |
| เฉลี่ย | มูลีฟ | เทอร์มิเน็ต | โอลาดิน |
| Avpdos32 | MPftray | เวท95 | ซิกทูล |
| รอบต่อนาที | N32สแกน | เวตเทรย์ | w9xpopen |
| Avptc32 | นวพสวีซี | Vscan40 | ปิด |
| อัฟพัพด์ | นวาปW32 | Vsecomr | cmgrdian |
| Avsched32 | NAVLU32 | วชวิน32 | อะล็อกเซิร์ฟเวอร์ |
| AVSYNMGR | นำทาง | VSstat | แมคชีลด์ |
| Avwin95 | นาฟรุนร์ | เว็บสแกนx | วชวิน32 |
| Avwupd32 | Navw32 | เว็บแทรป | อาฟคอนโซล |
| ดำ | การนำทาง | Wfindv32 | เทียบกับstat |
| น้ำแข็งสีดำ | นีโอวอทช์ | ZoneAlarm | avsynmgr |
| ผู้ดูแลระบบ | นิสเสิร์ฟ | ล็อคดาวน์2000 | เอวีซีเอ็มดี |
| Cfiaudit | นิซึ่ม | กู้ภัย32 | avconfig |
| ซีฟิเนต์ | เมน | ลูคอมเซิร์ฟเวอร์ | ใบอนุญาต |
| Cfinet32 | นอร์มิสท์ | เฉลี่ย | กำหนดการ |
| คลอว์95 | NORTON | เฉลี่ย | เตรียมไว้ล่วงหน้า |
| คลอว์95cf | อัพเกรด | avgamsvr | นางสาวเอ็มพีเอ็ง |
| ทำความสะอาด | Nvc95 | avgupsvc | MSASCui |
| ทำความสะอาด3 | ด่านหน้า | เฉลี่ย | Avira.ซิสเต็มเรย์ |
| เดฟวอตช์ | แพดมิน | avgcc32 | |
| Dvp95 | ปัฟคลี | เฉลี่ยเซิร์ฟเวอร์ |
- การทำลายตนเอง
- กำลังโหลดข้อมูลจากรายการทรัพยากรที่ระบุ
- การคัดลอกไฟล์ตามเส้นทาง %Temp%tmpG[วันที่และเวลาปัจจุบันเป็นมิลลิวินาที].tmp
สิ่งที่น่าสนใจคือมีฟังก์ชันที่เหมือนกันในมัลแวร์ AgentTesla - ฟังก์ชั่นเวิร์ม
มัลแวร์ได้รับรายการสื่อแบบถอดได้ สำเนาของมัลแวร์จะถูกสร้างขึ้นในรูทของระบบไฟล์มีเดียพร้อมชื่อ Sys.exe. การทำงานอัตโนมัติถูกนำมาใช้โดยใช้ไฟล์ autorun.inf.
โปรไฟล์ผู้โจมตี
ในระหว่างการวิเคราะห์ศูนย์บัญชาการ คุณสามารถสร้างอีเมลและชื่อเล่นของผู้พัฒนาได้ - Razer หรือที่รู้จักในชื่อ Brwa, Brwa65, HiDDen PerSOn, 404 Coder ต่อไป เราพบวิดีโอที่น่าสนใจบน YouTube ที่สาธิตการทำงานกับผู้สร้าง
ทำให้สามารถค้นหาช่องนักพัฒนาดั้งเดิมได้
เห็นได้ชัดว่าเขามีประสบการณ์ในการเขียนวิทยาการเข้ารหัสลับ นอกจากนี้ยังมีลิงก์ไปยังหน้าต่างๆ บนโซเชียลเน็ตเวิร์กตลอดจนชื่อจริงของผู้แต่ง เขากลายเป็นชาวอิรัก
นี่คือลักษณะของนักพัฒนา 404 Keylogger ภาพถ่ายจากโปรไฟล์ Facebook ส่วนตัวของเขา
CERT Group-IB ได้ประกาศภัยคุกคามใหม่ - 404 Keylogger - ศูนย์ติดตามและตอบสนองตลอด XNUMX ชั่วโมงสำหรับภัยคุกคามทางไซเบอร์ (SOC) ในบาห์เรน
ที่มา: will.com