Son yıllarda, mobil Truva atları aktif olarak kişisel bilgisayarlardaki Truva atlarının yerini alıyor; dolayısıyla eski güzel "arabalar" için yeni kötü amaçlı yazılımların ortaya çıkması ve bunların siber suçlular tarafından aktif olarak kullanılması hoş olmasa da hala bir olay. Son zamanlarda, CERT Group-IB'nin 7/24 bilgi güvenliği olay müdahale merkezi, Keylogger ve PasswordStealer işlevlerini birleştiren yeni bir PC kötü amaçlı yazılımını gizleyen alışılmadık bir kimlik avı e-postası tespit etti. Analistlerin dikkati, casus yazılımın popüler bir sesli mesajlaşma aracını kullanarak kullanıcının makinesine nasıl ulaştığına çekildi. Ilya PomerantsevCERT Group-IB'de kötü amaçlı yazılım analiz uzmanı olan kötü amaçlı yazılımın nasıl çalıştığını, neden tehlikeli olduğunu ve hatta yaratıcısını uzak Irak'ta bulduğunu açıkladı.
O halde sırayla gidelim. Bir ek kisvesi altında, böyle bir mektup, tıklandığında kullanıcının siteye yönlendirildiği bir resim içeriyordu cdn.discordapp.comve oradan kötü amaçlı bir dosya indirildi.
Ücretsiz bir sesli ve yazılı mesajlaşma aracı olan Discord'u kullanmak oldukça alışılmadık bir durumdur. Genellikle bu amaçlar için diğer anlık mesajlaşma programları veya sosyal ağlar kullanılır.
Daha ayrıntılı bir analiz sırasında bir kötü amaçlı yazılım ailesi tespit edildi. Kötü amaçlı yazılım pazarına yeni giren biri olduğu ortaya çıktı - 404 Keylogger.
Keylogger satışına ilişkin ilk ilan şu tarihte yayınlandı: hackforums 404 Ağustos'ta kullanıcı tarafından "8 Coder" takma adı altında.
Mağaza alanı oldukça yakın zamanda - 7 Eylül 2019'da kaydedildi.
Geliştiricilerin web sitesinde söylediği gibi 404proje[.]xyz, 404 şirketlerin müşterilerinin faaliyetlerini (onların izniyle) öğrenmelerine yardımcı olmak veya ikili sistemlerini tersine mühendislikten korumak isteyenler için tasarlanmış bir araçtır. İleriye baktığımızda, son görevde şunu söyleyelim 404 kesinlikle baş edemiyor.
Dosyalardan birini ters çevirerek “EN İYİ AKILLI KEYLOGGER”ın ne olduğunu kontrol etmeye karar verdik.
Kötü amaçlı yazılım ekosistemi
Yükleyici 1 (AtillaCrypter)
Kaynak dosya kullanılarak korunur EaxObfuscator ve iki adımlı yükleme gerçekleştirir AtProtect Kaynaklar bölümünden. VirusTotal'da bulunan diğer örneklerin analizi sırasında bu aşamanın geliştiricinin kendisi tarafından sağlanmadığı, müşterisi tarafından eklendiği ortaya çıktı. Daha sonra bu bootloader'ın AtillaCrypter olduğu belirlendi.
Önyükleyici 2 (AtProtect)
Aslında bu yükleyici, kötü amaçlı yazılımın ayrılmaz bir parçasıdır ve geliştiricinin amacına göre karşı analiz işlevini üstlenmelidir.
Ancak pratikte koruma mekanizmaları son derece ilkeldir ve sistemlerimiz bu kötü amaçlı yazılımı başarıyla tespit etmektedir.
Ana modül kullanılarak yüklenir Franchise ShellCode farklı versiyonlar. Ancak diğer seçeneklerin de kullanılabileceğini göz ardı etmiyoruz, örneğin: ÇalıştırPE.
Yapılandırma dosyası
Sistemde konsolidasyon
Sistemdeki konsolidasyon önyükleyici tarafından sağlanır AtProtect, karşılık gelen bayrak ayarlanmışsa.
- Dosya yol boyunca kopyalanır %AppData%GFqaakZpzwm.exe.
- Dosya oluşturuldu %AppData%GFqaakWinDriv.url, fırlatma Zpzwm.exe.
- Konuda HKCUYazılımMicrosoftWindowsCurrentVersionRun bir başlangıç anahtarı oluşturuldu WinDriv.url.
C&C ile etkileşim
Yükleyici AtProtect
Uygun işaret mevcutsa, kötü amaçlı yazılım gizli bir işlem başlatabilir iexplorer ve sunucuyu başarılı enfeksiyon hakkında bilgilendirmek için belirtilen bağlantıyı izleyin.
Veri Hırsızı
Kullanılan yöntem ne olursa olsun ağ iletişimi, kaynağı kullanarak kurbanın harici IP'sinin alınmasıyla başlar. [http]://checkip[.]dyndns[.]org/.
Kullanıcı Aracısı: Mozilla/4.0 (uyumlu; MSIE 6.0; Windows NT 5.2; .NET CLR1.0.3705;)
Mesajın genel yapısı aynıdır. Başlık mevcut
|——- 404 Keylogger — {Tür} ——-|Nerede {tip} iletilen bilginin türüne karşılık gelir.
Sisteme ilişkin bilgiler aşağıdadır:
_______ + KURBAN BİLGİLERİ + _______
IP: {Harici IP}
Sahip Adı: {Bilgisayar adı}
İşletim Sistemi Adı: {İşletim Sistemi Adı}
İşletim Sistemi Sürümü: {İşletim Sistemi Sürümü}
İşletim Sistemi Platformu: {Platform}
RAM Boyutu: {RAM boyutu}
______________________________
Ve son olarak aktarılan veriler.
SMTP
Mektubun konusu şöyle: 404K | {Mesaj Türü} | Müşteri Adı: {Kullanıcı Adı}.
İlginç bir şekilde, müşteriye mektup teslim etmek 404 Keylogger Geliştiricilerin SMTP sunucusu kullanılır.
Bu, bazı müşterilerin yanı sıra geliştiricilerden birinin e-posta adresinin tanımlanmasını mümkün kıldı.
FTP
Bu yöntemi kullanırken toplanan bilgiler bir dosyaya kaydedilir ve oradan hemen okunur.
Bu eylemin arkasındaki mantık tam olarak açık değildir ancak davranış kurallarının yazılması için ek bir yapı oluşturur.
%HOMEDRIVE%%HOMEPATH%DocumentsA{Rastgele sayı}.txt
Pastebin
Analiz sırasında bu yöntem yalnızca çalınan şifrelerin aktarılması için kullanılıyor. Üstelik ilk ikisine alternatif olarak değil paralel olarak kullanılıyor. Koşul “Vavaa”ya eşit olan sabitin değeridir. Muhtemelen müşterinin adı budur.
Etkileşim, API aracılığıyla https protokolü aracılığıyla gerçekleşir pastebin... Değer api_paste_private olduğu PASTE_UNLISTEDbu tür sayfaların aranmasını yasaklayan pastebin.
Şifreleme algoritmaları
Kaynaklardan dosya alma
Yük, önyükleyici kaynaklarında saklanır AtProtect Bitmap görüntüleri biçiminde. Ekstraksiyon birkaç aşamada gerçekleştirilir:
- Görüntüden bir bayt dizisi çıkarılır. Her piksel BGR sırasına göre 3 baytlık bir dizi olarak ele alınır. Çıkarma işleminden sonra dizinin ilk 4 baytı mesajın uzunluğunu saklar, sonraki baytlar ise mesajın kendisini saklar.
- Anahtar hesaplanır. Bunun için şifre olarak belirtilen “ZpzwmjMJyfTNiRalKVrcSkxCN” değerinden MD5 hesaplanır. Ortaya çıkan karma iki kez yazılır.
- Şifre çözme, ECB modunda AES algoritması kullanılarak gerçekleştirilir.
Kötü amaçlı işlevsellik
Downloader
Önyükleyicide uygulandı AtProtect.
- İletişime geçerek [activelink-değiştir] Dosyayı sunmaya hazır olduğunu onaylamak için sunucunun durumu istenir. Sunucu geri dönmeli “AÇIK”.
- bağlantı [indirme bağlantısı-değiştir] Yük indirilir.
- Ile FranchyShellcode yük sürece enjekte edilir [inj-değiştir].
Etki alanı analizi sırasında 404proje[.]xyz VirusTotal'da ek örnekler belirlendi 404 Keyloggerve çeşitli yükleyici türleri.
Geleneksel olarak iki türe ayrılırlar:
- İndirme kaynaktan gerçekleştirilir 404proje[.]xyz.
Veriler Base64 kodlu ve AES şifrelidir. - Bu seçenek birkaç aşamadan oluşur ve büyük olasılıkla bir önyükleyiciyle birlikte kullanılır. AtProtect.
- İlk aşamada veriler yüklenir. pastebin ve işlevi kullanarak kodu çözüldü HexToByte.
- İkinci aşamada yükleme kaynağı 404proje[.]xyz. Ancak sıkıştırmayı açma ve kod çözme işlevleri DataStealer'da bulunanlara benzer. Muhtemelen başlangıçta önyükleyici işlevselliğinin ana modülde uygulanması planlanmıştı.
- Bu aşamada, yük zaten kaynak bildiriminde sıkıştırılmış biçimde bulunur. Ana modülde de benzer çıkarma fonksiyonları bulundu.
Analiz edilen dosyalar arasında indiriciler bulundu njRat, Casus Kapı ve diğer RAT'lar.
Keylogger
Günlük gönderme süresi: 30 dakika.
Tüm karakterler desteklenir. Özel karakterlerden kaçınılmıştır. BackSpace ve Sil tuşları için işlem yapılıyor. Harfe duyarlı.
Pano Kaydedici
Günlük gönderme süresi: 30 dakika.
Tampon yoklama süresi: 0,1 saniye.
Bağlantı kaçışı uygulandı.
Ekran Kaydedici
Günlük gönderme süresi: 60 dakika.
Ekran görüntüleri şuraya kaydedilir: %HOMEDRIVE%%HOMEPATH%Belgeler404k404pic.png.
Klasörü gönderdikten sonra 404k silindi.
ŞifreStealer
| Tarayıcılar | Posta istemcileri | FTP istemcileri |
|---|---|---|
| krom | Görünüm | FileZilla |
| Firefox | Thunderbird | |
| SeaMonkey | Foxmail | |
| Icedragon | ||
| Soluk ay | ||
| Cyberfox | ||
| krom | ||
| CesurTarayıcı | ||
| QQ Tarayıcı | ||
| İridyumTarayıcı | ||
| XvastTarayıcı | ||
| kedot | ||
| 360Tarayıcı | ||
| ComodoDragon | ||
| 360Krom | ||
| SüperKuş | ||
| CentTarayıcı | ||
| Hayalet Tarayıcı | ||
| Demir Tarayıcı | ||
| Krom | ||
| Vivaldi | ||
| Slimjet Tarayıcı | ||
| Orbitum | ||
| CocCoc | ||
| Meşale | ||
| UCBtarayıcı | ||
| Epik Tarayıcı | ||
| BliskTarayıcı | ||
| Opera |
Dinamik analize karşı tepki
- Bir sürecin analiz altında olup olmadığını kontrol etme
Süreç araması kullanılarak gerçekleştirilir taskmgr, ProcessHacker, süreçexp64, ProceXP, procmon. En az bir tane bulunursa, kötü amaçlı yazılım çıkar.
- Sanal ortamda olup olmadığınızı kontrol etme
Süreç araması kullanılarak gerçekleştirilir vmtoolsd, VGAuth Hizmeti, vmacthlp, VBoxServisi, VBoxTray. En az bir tane bulunursa, kötü amaçlı yazılım çıkar.
- 5 saniyeliğine uykuya dalmak
- Farklı türdeki iletişim kutularının gösterimi
Bazı sanal alanları atlamak için kullanılabilir.
- UAC'yi atla
Kayıt defteri anahtarı düzenlenerek gerçekleştirilir EnableLUA Grup İlkesi ayarlarında.
- Geçerli dosyaya "Gizli" niteliğini uygular.
- Geçerli dosyayı silme yeteneği.
Etkin Olmayan Özellikler
Önyükleyicinin ve ana modülün analizi sırasında, ek işlevlerden sorumlu olan ancak hiçbir yerde kullanılmayan işlevler bulundu. Bunun nedeni muhtemelen kötü amaçlı yazılımın hâlâ geliştirilme aşamasında olması ve işlevselliğin yakında genişletilmesidir.
Yükleyici AtProtect
Sürece yükleme ve eklemeden sorumlu bir işlev bulundu msiexec.exe keyfi modül.
Veri Hırsızı
- Sistemde konsolidasyon
- Sıkıştırmayı açma ve şifre çözme işlevleri
Ağ iletişimi sırasında veri şifrelemenin yakında uygulamaya konması muhtemeldir. - Antivirüs işlemlerini sonlandırma
| zlclient | Dvp95_0 | Pavsched | avgserv9 |
| egui | Ecengin | Pavw | avgserv9schedapp |
| Bdagent | Esafe | PCCIOMON | avgemc |
| npfmsg | Espwatch | PCCMAIN | ashwebsv |
| Olydbg | F-Agnt95 | Pccwin98 | küldisp |
| anubis | Findvir | Pcfwallicon | ashmaisv |
| wireshark | Fprot | Persfw | Ashserv |
| avastui | F-Prot | POP3TRAP | aswUpdSv |
| _Avp32 | F-Prot95 | PVIEW95 | simwsc |
| vsmon | Fp-Kazanç | Rav7 | norton |
| mbam | Frw | Rav7win | Norton Otomatik Koruma |
| anahtar hırsızı | F-Durma | Kurtarma | norton_av |
| _Avpcc | Iamapp | Güvenli web | Nortonav |
| _Avpm | Iamserv | Scan32 | ccsetmgr |
| Ackwin32 | İbmasn | Scan95 | ccevtmgr |
| Ileri karakol | Ibmavsp | Tarama pm'si | avadmin |
| Anti-Trojan | Icload95 | Tarama taraması | avcenter |
| ANTIVIR | yük | Serv95 | avgnt |
| Apvxdwin | İkmon | smc | öncü |
| ATRACK | icsupp95 | SMCHİZMETİ | avnotify |
| Otomatik kapanma | Icdestek | homurdanma | avscan |
| Avconsol | yüz | Sfenks | gardiyan |
| Av32 | Iomon98 | Süpür95 | nod32krn |
| Ort.kontrol | Jedi | SYMPROXYSVC | nod32kui |
| Avkserv | Kilitlenme2000 | Tbscan | clamscan |
| Avnt | gözcü | Tca | istiridye tepsisi |
| avp | Luall | Tds2-98 | clamWin |
| Avp32 | mcafee | Tds2-Nt | freshclam'in |
| Avpcc | Moolive | TermiNET | oladin |
| Avpdos32 | MPftray | Veteriner95 | işaret aracı |
| Avpm | N32 taraması | Vettray | w9xpopen |
| Avptc32 | NAVAPSVC | Vscan40 | Kapalı |
| Avpupd | NAVAPW32 | Vsecomr | cmgrdian |
| Avsched32 | NAVLU32 | Vshwin32 | Alogserv |
| AVSYNMGR | Navnt | Vsstat | mcshield |
| Avwin95 | NAVRUNR | Webscanx | Vshwin32 |
| Avwupd32 | Navw32 | WEBTRAP | avconsol |
| Karartılmış | Navwnt | Wfindv32 | vsstat |
| Kara buz | NeoWatch | ZoneAlarm | avsynmgr |
| Cfiadmin | NİSSERV | KİLİTLENME2000 | avcmd |
| Denetim | Nisum | KURTARMA32 | av yapılandırması |
| Cfinet | Nana | LUCOMSERVER | licmgr |
| Cfinet32 | normist | avgcc | sched |
| pençe95 | NORTON | avgcc | ön yükleme |
| Pençe95cf | Yükseltme | avgamsvr | MsMpEng |
| temizleyici | Nvc95 | avgupsvc | MSASCui |
| Cleaner3 | Ileri karakol | ortalama | Avira.Sistray |
| Defwatch | Padmin | avgcc32 | |
| Dvp95 | Pavcl | ortalama hizmet |
- Kendini imha
- Belirtilen kaynak bildiriminden veriler yükleniyor
- Bir dosyayı yol boyunca kopyalama %Temp%tmpG[Milisaniye cinsinden geçerli tarih ve saat].tmp
İlginç bir şekilde, AgentTesla kötü amaçlı yazılımında da aynı işlevin mevcut olması. - Solucan işlevselliği
Kötü amaçlı yazılım, çıkarılabilir medyanın bir listesini alır. Kötü amaçlı yazılımın bir kopyası, medya dosya sisteminin kökünde şu adla oluşturulur: Sys.exe. Otomatik çalıştırma bir dosya kullanılarak uygulanır autorun.inf.
Saldırgan profili
Komuta merkezinin analizi sırasında, geliştiricinin e-posta adresini ve takma adını (Razer, diğer adıyla Brwa, Brwa65, HiDDen PerSON, 404 Coder) belirlemek mümkün oldu. Daha sonra YouTube'da inşaatçıyla çalışmayı gösteren ilginç bir video bulduk.
Bu, orijinal geliştirici kanalını bulmayı mümkün kıldı.
Kriptograf yazma konusunda tecrübesi olduğu ortaya çıktı. Yazarın gerçek adının yanı sıra sosyal ağlardaki sayfalara bağlantılar da vardır. Irak vatandaşı olduğu ortaya çıktı.
Bu bir 404 Keylogger geliştiricisinin sözde neye benzediğidir. Kişisel Facebook profilinden fotoğraf.
CERT Group-IB, Bahreyn'de siber tehditlere (SOC) yönelik 404 saatlik izleme ve yanıt merkezi olan yeni bir tehdit olan XNUMX Keylogger'ı duyurdu.
Kaynak: habr.com