Sa mga nakalipas na taon, aktibong pinapalitan ng mga mobile Trojan ang mga Trojan para sa mga personal na computer, kaya ang paglitaw ng bagong malware para sa magagandang lumang "mga kotse" at ang kanilang aktibong paggamit ng mga cybercriminal, bagama't hindi kanais-nais, ay isang kaganapan pa rin. Kamakailan, ang 24/7 information security incident response center ng CERT Group-IB ay nakakita ng hindi pangkaraniwang phishing email na nagtatago ng bagong PC malware na pinagsasama ang mga function ng Keylogger at PasswordStealer. Nakuha ang atensyon ng mga analyst sa kung paano napunta ang spyware sa makina ng user - gamit ang isang sikat na voice messenger. Ilya PomerantsevIpinaliwanag ni , isang espesyalista sa pagsusuri ng malware sa CERT Group-IB, kung paano gumagana ang malware, bakit ito mapanganib, at natagpuan pa ang lumikha nito sa malayong Iraq.
Kaya, pumunta tayo sa pagkakasunud-sunod. Sa ilalim ng pagkukunwari ng isang attachment, ang naturang sulat ay naglalaman ng isang larawan, sa pag-click kung saan dinala ang user sa site cdn.discordapp.com, at isang malisyosong file ang na-download mula doon.
Ang paggamit ng Discord, isang libreng voice at text messenger, ay medyo hindi kinaugalian. Karaniwan, ang iba pang mga instant messenger o social network ay ginagamit para sa mga layuning ito.
Sa isang mas detalyadong pagsusuri, natukoy ang isang pamilya ng malware. Ito ay naging isang bagong dating sa merkado ng malware - 404 Keylogger.
Ang unang advertisement para sa pagbebenta ng isang keylogger ay nai-post sa hackforums ng user sa ilalim ng palayaw na "404 Coder" noong Agosto 8.
Ang domain ng tindahan ay nairehistro kamakailan lamang - noong Setyembre 7, 2019.
Tulad ng sinasabi ng mga developer sa website 404proyekto[.]xyz, 404 ay isang tool na idinisenyo upang tulungan ang mga kumpanya na malaman ang tungkol sa mga aktibidad ng kanilang mga customer (na may pahintulot nila) o para sa mga gustong protektahan ang kanilang binary mula sa reverse engineering. Pagtingin sa unahan, sabihin natin na sa huling gawain 404 tiyak na hindi makayanan.
Nagpasya kaming baligtarin ang isa sa mga file at tingnan kung ano ang "BEST SMART KEYLOGGER".
Malware ecosystem
Loader 1 (AtillaCrypter)
Ang source file ay protektado gamit EaxObfuscator at nagsasagawa ng dalawang hakbang na paglo-load AtProtect mula sa seksyon ng mapagkukunan. Sa panahon ng pagsusuri ng iba pang mga sample na natagpuan sa VirusTotal, naging malinaw na ang yugtong ito ay hindi ibinigay ng developer mismo, ngunit idinagdag ng kanyang kliyente. Nang maglaon ay natukoy na ang bootloader na ito ay AtillaCrypter.
Bootloader 2 (AtProtect)
Sa katunayan, ang loader na ito ay isang mahalagang bahagi ng malware at, ayon sa intensyon ng developer, dapat gawin ang functionality ng countering analysis.
Gayunpaman, sa pagsasagawa, ang mga mekanismo ng proteksyon ay napaka-primitive, at matagumpay na natukoy ng aming mga system ang malware na ito.
Ang pangunahing module ay na-load gamit ang Franchy ShellCode iba't ibang bersyon. Gayunpaman, hindi namin ibinubukod na maaaring gumamit ng ibang mga opsyon, halimbawa, RunPE.
File ng configuration
Pagsasama-sama sa sistema
Ang pagsasama-sama sa system ay sinisiguro ng bootloader AtProtect, kung nakatakda ang kaukulang bandila.
- Ang file ay kinopya kasama ang landas %AppData%GFqaakZpzwm.exe.
- Ang file ay nilikha %AppData%GFqaakWinDriv.url, paglulunsad Zpzwm.exe.
- Sa thread HKCUSoftwareMicrosoftWindowsCurrentVersionRun isang startup key ay nilikha WinDriv.url.
Pakikipag-ugnayan sa C&C
Loader AtProtect
Kung ang naaangkop na flag ay naroroon, ang malware ay maaaring maglunsad ng isang nakatagong proseso iexplorer at sundin ang tinukoy na link upang ipaalam sa server ang tungkol sa matagumpay na impeksyon.
DataStealer
Anuman ang paraan na ginamit, ang komunikasyon sa network ay nagsisimula sa pagkuha ng panlabas na IP ng biktima gamit ang mapagkukunan [http]://checkip[.]dyndns[.]org/.
Ahente ng Gumagamit: Mozilla/4.0 (katugma; MSIE 6.0; Windows NT 5.2; .NET CLR1.0.3705;)
Ang pangkalahatang istraktura ng mensahe ay pareho. Naroroon ang header
|——- 404 Keylogger — {Uri} ——-|Saan {type} tumutugma sa uri ng impormasyong ipinapadala.
Ang sumusunod ay impormasyon tungkol sa system:
_______ + IMPORMASYON NG BIKTIMA + _______
IP: {External IP}
Pangalan ng May-ari: {Computer name}
Pangalan ng OS: {Pangalan ng OS}
Bersyon ng OS: {Bersyon ng OS}
OS Platform: {Platform}
Laki ng RAM: {RAM size}
______________________________
At sa wakas, ang ipinadalang data.
SMTP
Ang paksa ng liham ay ang mga sumusunod: 404 K | {Uri ng Mensahe} | Pangalan ng Kliyente: {Username}.
Nang kawili-wili, upang maghatid ng mga liham sa kliyente 404 Keylogger Ginagamit ang SMTP server ng mga developer.
Ginawa nitong posible na matukoy ang ilang mga kliyente, pati na rin ang email ng isa sa mga developer.
FTP
Kapag ginagamit ang pamamaraang ito, ang nakolektang impormasyon ay nai-save sa isang file at agad na basahin mula doon.
Ang lohika sa likod ng pagkilos na ito ay hindi lubos na malinaw, ngunit lumilikha ito ng karagdagang artifact para sa pagsusulat ng mga panuntunan sa pag-uugali.
%HOMEDRIVE%%HOMEPATH%DocumentsA{Arbitrary number}.txt
Pastebin
Sa oras ng pagsusuri, ang paraang ito ay ginagamit lamang upang ilipat ang mga ninakaw na password. Bukod dito, ginagamit ito hindi bilang isang kahalili sa unang dalawa, ngunit kahanay. Ang kundisyon ay ang halaga ng pare-parehong katumbas ng “Vavaa”. Malamang ito ang pangalan ng kliyente.
Nagaganap ang pakikipag-ugnayan sa pamamagitan ng https protocol sa pamamagitan ng API pastebin. Ibig sabihin api_paste_private katumbas ng PASTE_UNLISTED, na nagbabawal sa paghahanap para sa mga naturang pahina sa pastebin.
Mga algorithm ng pag-encrypt
Pagkuha ng file mula sa mga mapagkukunan
Ang payload ay nakaimbak sa mga mapagkukunan ng bootloader AtProtect sa anyo ng mga imahe ng Bitmap. Ang pagkuha ay isinasagawa sa maraming yugto:
- Ang isang hanay ng mga byte ay nakuha mula sa imahe. Ang bawat pixel ay itinuturing bilang isang sequence ng 3 bytes sa BGR order. Pagkatapos ng pagkuha, ang unang 4 na byte ng array ay nag-iimbak ng haba ng mensahe, ang mga kasunod ay nag-iimbak ng mensahe mismo.
- Ang susi ay kinakalkula. Upang gawin ito, kinakalkula ang MD5 mula sa halagang “ZpzwmjMJyfTNiRalKVrcSkxCN” na tinukoy bilang password. Ang resultang hash ay isinusulat nang dalawang beses.
- Ang pag-decryption ay ginagawa gamit ang AES algorithm sa ECB mode.
Nakakahamak na functionality
Downloader
Ipinatupad sa bootloader AtProtect.
- Sa pamamagitan ng pakikipag-ugnayan [activelink-repalce] Ang katayuan ng server ay hinihiling na kumpirmahin na handa na itong ihatid ang file. Dapat bumalik ang server "SA".
- ang link [downloadlink-palitan] Na-download ang payload.
- May FranchyShellcode ang payload ay ini-inject sa proseso [inj-replace].
Sa panahon ng pagsusuri ng domain 404proyekto[.]xyz karagdagang mga pagkakataon ay natukoy sa VirusTotal 404 Keylogger, pati na rin ang ilang uri ng mga loader.
Conventionally, nahahati sila sa dalawang uri:
- Ang pag-download ay isinasagawa mula sa mapagkukunan 404proyekto[.]xyz.
Ang data ay Base64 na naka-encode at AES na naka-encrypt. - Ang opsyong ito ay binubuo ng ilang yugto at malamang na ginagamit kasabay ng isang bootloader AtProtect.
- Sa unang yugto, ang data ay na-load mula sa pastebin at na-decode gamit ang function HexToByte.
- Sa ikalawang yugto, ang pinagmulan ng paglo-load ay ang 404proyekto[.]xyz. Gayunpaman, ang mga function ng decompression at decoding ay katulad ng mga matatagpuan sa DataStealer. Marahil ay orihinal na binalak na ipatupad ang pag-andar ng bootloader sa pangunahing module.
- Sa yugtong ito, ang payload ay nasa resource manifest na sa isang naka-compress na form. Ang mga katulad na pag-andar ng pagkuha ay natagpuan din sa pangunahing module.
Natagpuan ang mga nag-download sa mga nasuri na file njDaga, SpyGate at iba pang DAGA.
Keylogger
Panahon ng pagpapadala ng log: 30 minuto.
Lahat ng mga character ay suportado. Ang mga espesyal na karakter ay nakatakas. Mayroong pagproseso para sa BackSpace at Delete key. Case sensitive.
ClipboardLogger
Panahon ng pagpapadala ng log: 30 minuto.
Buffer na panahon ng botohan: 0,1 segundo.
Ipinatupad ang pag-escape ng link.
ScreenLogger
Panahon ng pagpapadala ng log: 60 minuto.
Ang mga screenshot ay naka-save sa %HOMEDRIVE%%HOMEPATH%Documents404k404pic.png.
Pagkatapos ipadala ang folder 404k ay tinanggal.
PasswordStealer
| Mga Browser | Mga mail client | Mga kliyente ng FTP |
|---|---|---|
| kromo | Tanawan | Filezilla |
| Firefox | ibong kulog | |
| SeaMonkey | Foxmail | |
| Icedragon | ||
| PaleMoon | ||
| Cyberhio | ||
| kromo | ||
| BraveBrowser | ||
| QQBrowser | ||
| IridiumBrowser | ||
| XvastBrowser | ||
| Chedot | ||
| 360Browser | ||
| ComodoDragon | ||
| 360Chrome | ||
| SuperBird | ||
| CentBrowser | ||
| GhostBrowser | ||
| IronBrowser | ||
| Kromo | ||
| Vivaldi | ||
| SlimjetBrowser | ||
| orbitum | ||
| CocCoc | ||
| Tanglaw | ||
| UCBrowser | ||
| EpicBrowser | ||
| BliskBrowser | ||
| Opera |
Pagsalungat sa dinamikong pagsusuri
- Sinusuri kung ang isang proseso ay nasa ilalim ng pagsusuri
Isinagawa gamit ang proseso ng paghahanap taskmgr, ProcessHacker, procexp64, procexp, procmon. Kung may matagpuan man lang, lalabas ang malware.
- Sinusuri kung ikaw ay nasa isang virtual na kapaligiran
Isinagawa gamit ang proseso ng paghahanap vmtoolsd, VGAuthService, vmacthlp, VBoxService, VBoxTray. Kung may matagpuan man lang, lalabas ang malware.
- Nakatulog ng 5 segundo
- Pagpapakita ng iba't ibang uri ng mga dialog box
Maaaring gamitin upang i-bypass ang ilang sandbox.
- I-bypass ang UAC
Ginawa sa pamamagitan ng pag-edit ng registry key EnableLUA sa mga setting ng Patakaran ng Grupo.
- Inilalapat ang attribute na "Nakatago" sa kasalukuyang file.
- Kakayahang tanggalin ang kasalukuyang file.
Mga Hindi Aktibong Tampok
Sa panahon ng pagsusuri ng bootloader at ang pangunahing module, natagpuan ang mga function na responsable para sa karagdagang pag-andar, ngunit hindi sila ginagamit kahit saan. Ito ay malamang na dahil sa ang katunayan na ang malware ay nasa pagbuo pa rin at ang pag-andar ay mapalawak sa lalong madaling panahon.
Loader AtProtect
May nakitang function na responsable sa pag-load at pag-inject sa proseso msiexec.exe arbitrary na modyul.
DataStealer
- Pagsasama-sama sa sistema
- Mga function ng decompression at decryption
Malamang na ang pag-encrypt ng data sa panahon ng komunikasyon sa network ay malapit nang ipatupad. - Pagwawakas ng mga proseso ng antivirus
| zlclient | Dvp95_0 | Pavsched | avgserv9 |
| egui | Ecengine | Pavw | avgserv9schedapp |
| bdagent | Esafe | PCCIOMON | avgemc |
| npfmsg | Espwatch | PCCMAIN | ashwebsv |
| olydbg | F-Agnt95 | Pccwin98 | ashdisp |
| anubis | Findvir | Pcfwallicon | ashmaisv |
| wireshark | Fprot | Persfw | ashserv |
| avastui | F-Prot | POP3TRAP | aswUpdSv |
| _Avp32 | F-Prot95 | PVIEW95 | symwsc |
| vsmon | Fp-Manalo | Rav7 | norton |
| mbam | Frw | Rav7win | Norton Auto-Protect |
| keyscrambler | F-Stopw | Iligtas | norton_av |
| _Avpcc | Iamapp | Safeweb | nortonav |
| _Avpm | Iamserv | I-scan32 | ccsetmgr |
| Ackwin32 | Ibmasn | I-scan95 | ccevtmgr |
| Outpost | Ibmavsp | Scanpm | avadmin |
| Anti-Trojan | Icload95 | Scrscan | avcenter |
| Antivir | Icloadnt | Serv95 | avgnt |
| Apvxdwin | Icmon | smc | avguard |
| ATRACK | Icsupp95 | SMCSERVICE | avnotify |
| Autodown | Icsuppnt | Snort | avscan |
| Avconsol | Hinarap ko | Sphinx | guardgui |
| Ave32 | Iomon98 | Magwalis95 | nod32krn |
| Avgctrl | Jedi | SYMPROXYSVC | nod32kui |
| Avkserv | Lockdown2000 | Tbscan | clamscan |
| Avnt | pagbabantay | Tca | clamTray |
| Avp | Luall | Tds2-98 | clamWin |
| Avp32 | mcafee | Tds2-Nt | freshclam |
| Avpcc | Moolive | TermiNET | oladdin |
| Avpdos32 | MPftray | Vet95 | sigtool |
| Avpm | N32scanw | Vetray | w9xpopen |
| Avptc32 | NAVAPSVC | Vscan40 | Isara |
| Avpupd | NAVAPW32 | Vsecomr | cmgrdian |
| Avsched32 | NAVLU32 | Vshwin32 | alogserv |
| AVSYNMGR | Navnt | Vsstat | mcshield |
| Avwin95 | NAVRUNR | Webscanx | vshwin32 |
| Avwupd32 | Navw32 | WEBTRAP | avconsol |
| Blackd | Navwnt | Wfindv32 | vsstat |
| Blackice | NeoWatch | ZoneAlarm | avsynmgr |
| Cfiadmin | NISSERV | LOCKDOWN2000 | avcmd |
| Cfiaudit | Nisum | PAGLIGTAS32 | avconfig |
| Cfinet | Nmain | LUCOMSERVER | licmgr |
| Cfinet32 | Normist | avgcc | sched |
| Claw95 | NORTON | avgcc | preupd |
| Claw95cf | Nupgrade | avgamsvr | MsMpEng |
| Panlinis | Nvc95 | avgupsvc | MSASCui |
| Mas malinis3 | Outpost | avgw | Avira.Systray |
| Defwatch | Padmin | avgcc32 | |
| Dvp95 | Pavcl | avgserv |
- Pagsira sa sarili
- Naglo-load ng data mula sa tinukoy na resource manifest
- Pagkopya ng file sa isang path %Temp%tmpG[Kasalukuyang petsa at oras sa millisecond].tmp
Kapansin-pansin, mayroong magkaparehong function sa AgentTesla malware. - Pag-andar ng bulate
Ang malware ay tumatanggap ng isang listahan ng naaalis na media. Ang isang kopya ng malware ay ginawa sa ugat ng media file system na may pangalan Sys.exe. Ang Autorun ay ipinatupad gamit ang isang file autorun.inf.
Profile ng attacker
Sa panahon ng pagsusuri ng command center, posible na maitatag ang email at palayaw ng developer - Razer, aka Brwa, Brwa65, HiDDen PerSOn, 404 Coder. Susunod, nakakita kami ng isang kawili-wiling video sa YouTube na nagpapakita ng pakikipagtulungan sa tagabuo.
Naging posible nitong mahanap ang orihinal na channel ng developer.
Naging malinaw na mayroon siyang karanasan sa pagsulat ng mga cryptographer. Mayroon ding mga link sa mga pahina sa mga social network, pati na rin ang tunay na pangalan ng may-akda. Siya pala ay residente ng Iraq.
Ito ang mukhang isang developer ng 404 Keylogger. Larawan mula sa kanyang personal na profile sa Facebook.
Ang CERT Group-IB ay nag-anunsyo ng isang bagong banta - 404 Keylogger - isang XNUMX na oras na monitoring at response center para sa cyber threats (SOC) sa Bahrain.
Pinagmulan: www.habr.com