حالیہ برسوں میں، موبائل ٹروجنز فعال طور پر پرسنل کمپیوٹرز کے لیے Trojans کی جگہ لے رہے ہیں، لہذا اچھی پرانی "کاروں" کے لیے نئے میلویئر کا ظہور اور سائبر کرائمینلز کے ذریعے ان کا فعال استعمال، اگرچہ ناخوشگوار تھا، اب بھی ایک واقعہ ہے۔ حال ہی میں، CERT Group-IB کے 24/7 انفارمیشن سیکیورٹی واقعہ کے جوابی مرکز نے ایک غیر معمولی فشنگ ای میل کا پتہ لگایا جو ایک نیا PC میلویئر چھپا رہا تھا جو Keylogger اور PasswordStealer کے افعال کو یکجا کرتا ہے۔ تجزیہ کاروں کی توجہ اس طرف مبذول کرائی گئی کہ کس طرح اسپائی ویئر صارف کی مشین پر آیا - ایک مشہور وائس میسنجر کا استعمال کرتے ہوئے۔ الیا PomerantsevCERT Group-IB کے ایک میلویئر تجزیہ کے ماہر نے وضاحت کی کہ میلویئر کیسے کام کرتا ہے، یہ کیوں خطرناک ہے، اور یہاں تک کہ اس کے خالق کو دور عراق میں پایا۔
تو، ترتیب میں چلتے ہیں. اٹیچمنٹ کی آڑ میں، اس طرح کے ایک خط میں ایک تصویر تھی، جس پر کلک کرنے پر صارف کو سائٹ پر لے جایا گیا تھا۔ cdn.discordapp.com، اور وہاں سے ایک بدنیتی پر مبنی فائل ڈاؤن لوڈ کی گئی تھی۔
ڈسکارڈ کا استعمال، ایک مفت آواز اور ٹیکسٹ میسنجر، کافی غیر روایتی ہے۔ عام طور پر، ان مقاصد کے لیے دیگر انسٹنٹ میسنجرز یا سوشل نیٹ ورک استعمال کیے جاتے ہیں۔
مزید تفصیلی تجزیہ کے دوران، میلویئر کے ایک خاندان کی نشاندہی کی گئی۔ یہ میلویئر مارکیٹ میں ایک نیا آنے والا نکلا - 404 کیلاگر.
ایک keylogger کی فروخت کا پہلا اشتہار شائع کیا گیا تھا۔ ہیک فورمز 404 اگست کو "8 کوڈر" عرفی نام سے صارف کے ذریعے۔
اسٹور کا ڈومین حال ہی میں رجسٹر ہوا تھا - 7 ستمبر 2019 کو۔
جیسا کہ ڈویلپرز ویب سائٹ پر کہتے ہیں۔ 404 پروجیکٹس[.]xyz, 404 یہ ایک ٹول ہے جو کمپنیوں کو اپنے صارفین کی سرگرمیوں (ان کی اجازت سے) کے بارے میں جاننے میں مدد کرنے کے لیے یا ان لوگوں کے لیے ہے جو اپنی بائنری کو ریورس انجینئرنگ سے بچانا چاہتے ہیں۔ آگے دیکھتے ہوئے، آخری کام کے ساتھ کہتے ہیں۔ 404 یقینی طور پر مقابلہ نہیں کرتا.
ہم نے فائلوں میں سے ایک کو ریورس کرنے کا فیصلہ کیا اور چیک کیا کہ "BEST SMART KEYLOGGER" کیا ہے۔
میلویئر ماحولیاتی نظام
لوڈر 1 (AtillaCrypter)
سورس فائل کو استعمال کرکے محفوظ کیا جاتا ہے۔ EaxObfuscator اور دو قدمی لوڈنگ انجام دیتا ہے۔ پروٹیکٹ وسائل کے سیکشن سے۔ VirusTotal پر پائے جانے والے دیگر نمونوں کے تجزیے کے دوران یہ بات واضح ہوگئی کہ یہ مرحلہ خود ڈویلپر نے فراہم نہیں کیا تھا بلکہ اس کے مؤکل نے شامل کیا تھا۔ بعد میں معلوم ہوا کہ یہ بوٹ لوڈر AtillaCrypter تھا۔
بوٹ لوڈر 2 (AtProtect)
درحقیقت، یہ لوڈر مالویئر کا ایک لازمی حصہ ہے اور، ڈویلپر کے ارادے کے مطابق، انسداد تجزیے کی فعالیت کو اپنانا چاہیے۔
تاہم، عملی طور پر، تحفظ کے طریقہ کار انتہائی قدیم ہیں، اور ہمارے سسٹمز اس میلویئر کا کامیابی سے پتہ لگاتے ہیں۔
اہم ماڈیول کا استعمال کرتے ہوئے بھری ہوئی ہے فرانچی شیل کوڈ مختلف ورژن. تاہم، ہم اس بات کو خارج نہیں کرتے کہ دوسرے اختیارات استعمال کیے جا سکتے تھے، مثال کے طور پر، رن پی ای۔.
کنفیگریشن فائل
نظام میں استحکام
سسٹم میں استحکام کو بوٹ لوڈر کے ذریعے یقینی بنایا جاتا ہے۔ پروٹیکٹ، اگر متعلقہ پرچم سیٹ کیا گیا ہے۔
- فائل کو راستے میں کاپی کیا جاتا ہے۔ %AppData%GFqaakZpzwm.exe.
- فائل بن گئی ہے۔ %AppData%GFqaakWinDriv.urlشروع کر رہا ہے۔ Zpzwm.exe.
- دھاگے میں ایچ کے سی ایس سافٹ ویئر ویئر مائیکرو سافٹ وینڈوز کرینٹ ورسنرون ایک اسٹارٹ اپ کلید بنائی گئی ہے۔ WinDriv.url.
C&C کے ساتھ تعامل
لوڈر AtProtect
اگر مناسب جھنڈا موجود ہے تو، میلویئر ایک پوشیدہ عمل شروع کر سکتا ہے۔ iexplorer اور سرور کو کامیاب انفیکشن کے بارے میں مطلع کرنے کے لیے مخصوص لنک پر عمل کریں۔
ڈیٹا سٹیلر
استعمال شدہ طریقہ سے قطع نظر، نیٹ ورک مواصلت وسائل کا استعمال کرتے ہوئے شکار کا بیرونی IP حاصل کرنے سے شروع ہوتا ہے۔ [http]://checkip[.]dyndns[.]org/.
صارف کا ایجنٹ: Mozilla/4.0 (مطابق؛ MSIE 6.0؛ Windows NT 5.2؛ NET CLR1.0.3705؛)
پیغام کی عمومی ساخت ایک جیسی ہے۔ ہیڈر موجود ہے۔
|——- 404 Keylogger — {قسم} ——-|جہاں {قسم} معلومات کی منتقلی کی قسم سے مطابقت رکھتا ہے۔
نظام کے بارے میں معلومات درج ذیل ہیں:
_______ + متاثرین کی معلومات + _______
IP: {بیرونی IP}
مالک کا نام: {کمپیوٹر کا نام}
OS کا نام: {OS Name}
OS ورژن: {OS ورژن}
OS پلیٹ فارم: {پلیٹ فارم}
رام سائز: {RAM سائز}
______________________________
اور آخر میں، منتقل ڈیٹا.
SMTP
خط کا موضوع درج ذیل ہے: 404 K | {پیغام کی قسم} | کلائنٹ کا نام: {Username}.
دلچسپ بات یہ ہے کہ کلائنٹ کو خطوط پہنچانا 404 کیلاگر ڈویلپرز کا SMTP سرور استعمال کیا جاتا ہے۔
اس سے کچھ کلائنٹس کے ساتھ ساتھ کسی ایک ڈویلپر کی ای میل کی شناخت ممکن ہو گئی۔
FTP
یہ طریقہ استعمال کرتے وقت، جمع کی گئی معلومات کو ایک فائل میں محفوظ کیا جاتا ہے اور وہاں سے فوراً پڑھا جاتا ہے۔
اس کارروائی کے پیچھے منطق پوری طرح واضح نہیں ہے، لیکن یہ طرز عمل کے قواعد لکھنے کے لیے ایک اضافی نمونہ بناتی ہے۔
%HOMEDRIVE%%HOMEPATH%DocumentsA{صوابدیدی نمبر}.txt
Pastebin کے
تجزیہ کے وقت، یہ طریقہ صرف چوری شدہ پاس ورڈز کو منتقل کرنے کے لیے استعمال کیا جاتا ہے۔ مزید یہ کہ یہ پہلے دو کے متبادل کے طور پر نہیں بلکہ متوازی طور پر استعمال ہوتا ہے۔ شرط "واوا" کے برابر مستقل کی قدر ہے۔ غالباً یہ کلائنٹ کا نام ہے۔
تعامل API کے ذریعے https پروٹوکول کے ذریعے ہوتا ہے۔ Pastebin کے... مطلب۔ api_paste_private یکساں PASTE_UNLISTED، جس میں اس طرح کے صفحات کی تلاش پر پابندی ہے۔ Pastebin کے.
خفیہ کاری الگورتھم
وسائل سے فائل کو بازیافت کرنا
پے لوڈ بوٹ لوڈر وسائل میں محفوظ ہے۔ پروٹیکٹ بٹ میپ امیجز کی شکل میں۔ نکالنے کے کئی مراحل میں کیا جاتا ہے:
- تصویر سے بائٹس کی ایک صف نکالی جاتی ہے۔ BGR ترتیب میں ہر پکسل کو 3 بائٹس کی ترتیب کے طور پر سمجھا جاتا ہے۔ نکالنے کے بعد، صف کے پہلے 4 بائٹس پیغام کی لمبائی کو ذخیرہ کرتے ہیں، اس کے بعد والے خود پیغام کو ذخیرہ کرتے ہیں۔
- کلید کا حساب لگایا جاتا ہے۔ ایسا کرنے کے لیے، MD5 کا حساب پاس ورڈ کے بطور مخصوص کردہ قدر "ZpzwmjMJyfTNiRalKVrcSkxCN" سے کیا جاتا ہے۔ نتیجے میں ہیش کو دو بار لکھا جاتا ہے۔
- ڈکرپشن ECB موڈ میں AES الگورتھم کا استعمال کرتے ہوئے کیا جاتا ہے۔
بدنیتی پر مبنی فعالیت
ڈاؤنلوڈر
بوٹ لوڈر میں لاگو کیا گیا۔ پروٹیکٹ.
- رابطہ کر کے [ایکٹو لنک ریپلس] سرور کی حیثیت سے اس بات کی تصدیق کی درخواست کی جاتی ہے کہ وہ فائل کو پیش کرنے کے لیے تیار ہے۔ سرور واپس آنا چاہیے۔ "آن".
- حوالہ سے [ڈاؤن لوڈ لنک تبدیل کریں] پے لوڈ ڈاؤن لوڈ ہو گیا ہے۔
- کے ساتھ FranchyShellcode پے لوڈ کو عمل میں داخل کیا جاتا ہے۔ [انج-بدلیں].
ڈومین تجزیہ کے دوران 404 پروجیکٹس[.]xyz وائرس ٹوٹل پر اضافی مثالوں کی نشاندہی کی گئی۔ 404 کیلاگرکے ساتھ ساتھ لوڈرز کی کئی اقسام۔
روایتی طور پر، وہ دو اقسام میں تقسیم ہوتے ہیں:
- ڈاؤن لوڈنگ وسائل سے کی جاتی ہے۔ 404 پروجیکٹس[.]xyz.
ڈیٹا بیس 64 انکوڈ اور AES انکرپٹڈ ہے۔ - یہ آپشن کئی مراحل پر مشتمل ہے اور غالباً اسے بوٹ لوڈر کے ساتھ مل کر استعمال کیا جاتا ہے۔ پروٹیکٹ.
- پہلے مرحلے میں، ڈیٹا سے لوڈ کیا جاتا ہے Pastebin کے اور فنکشن کا استعمال کرتے ہوئے ڈی کوڈ کیا گیا۔ HexToByte.
- دوسرے مرحلے میں، لوڈنگ کا ذریعہ ہے 404 پروجیکٹس[.]xyz. تاہم، ڈیکمپریشن اور ڈی کوڈنگ فنکشنز ڈیٹا سٹیلر میں پائے جانے والے فنکشنز سے ملتے جلتے ہیں۔ یہ شاید اصل میں مرکزی ماڈیول میں بوٹ لوڈر کی فعالیت کو نافذ کرنے کا منصوبہ بنایا گیا تھا۔
- اس مرحلے پر، پے لوڈ پہلے سے ہی ایک کمپریسڈ شکل میں ریسورس مینی فیسٹ میں ہے۔ اسی طرح کے نکالنے کے افعال مین ماڈیول میں بھی پائے گئے۔
تجزیہ شدہ فائلوں میں ڈاؤنلوڈرز پائے گئے۔ njRat, اسپائی گیٹ اور دیگر RATs۔
Keylogger
لاگ بھیجنے کی مدت: 30 منٹ۔
تمام حروف کی حمایت کی جاتی ہے۔ خاص کردار بچ جاتے ہیں۔ بیک اسپیس اور ڈیلیٹ کیز کے لیے پروسیسنگ ہو رہی ہے۔ حساس کیس.
کلپ بورڈ لاگر
لاگ بھیجنے کی مدت: 30 منٹ۔
بفر پولنگ کا دورانیہ: 0,1 سیکنڈ۔
لاگو لنک فرار۔
اسکرین لاگر
لاگ بھیجنے کی مدت: 60 منٹ۔
اس میں اسکرین شاٹس محفوظ ہیں۔ %HOMEDRIVE%%HOMEPATH%دستاویزات404k404pic.png.
فولڈر بھیجنے کے بعد 404k حذف کر دیا جاتا ہے.
پاس ورڈ چوری کرنے والا
بروروزرس | میل کلائنٹس | ایف ٹی پی کلائنٹس |
---|---|---|
کروم | آؤٹ لک | FileZilla کے |
فائر فاکس | تھنڈر برڈ | |
SeaMonkey | فاکس میل | |
آئس ڈریگن | ||
پیلی مون | ||
سائبر فاکس۔ | ||
کروم | ||
بہادر براؤزر | ||
کیو کیو براؤزر | ||
Iridium براؤزر | ||
ایکس واسٹ براؤزر | ||
چیڈوٹ | ||
360 براؤزر | ||
کوموڈو ڈریگن | ||
360Chrome | ||
سپر برڈ | ||
سینٹ براؤزر | ||
گھوسٹ براؤزر | ||
آئرن براؤزر | ||
کرومیم | ||
Vivaldi کے | ||
سلم جیٹ براؤزر | ||
مدار | ||
کوکوک | ||
ٹارچ | ||
یو سی براؤزر | ||
ایپک براؤزر | ||
بلسک براؤزر | ||
اوپرا |
متحرک تجزیہ کا مقابلہ
- جانچ کر رہا ہے کہ آیا کوئی عمل تجزیہ کے تحت ہے۔
عمل کی تلاش کا استعمال کرتے ہوئے انجام دیا ٹاسکگرام, پروسیس ہیکر, procexp64, procexp, procmon. اگر کم از کم ایک مل جاتا ہے، تو میلویئر باہر نکل جاتا ہے۔
- چیک کر رہا ہے کہ آیا آپ ورچوئل ماحول میں ہیں۔
عمل کی تلاش کا استعمال کرتے ہوئے انجام دیا vmtoolsd, VGAuthService, vmacthlp, VBoxService, VBoxTray. اگر کم از کم ایک مل جاتا ہے، تو میلویئر باہر نکل جاتا ہے۔
- 5 سیکنڈ کے لیے سو جانا
- مختلف قسم کے ڈائیلاگ باکسز کا مظاہرہ
کچھ سینڈ باکسز کو نظرانداز کرنے کے لیے استعمال کیا جا سکتا ہے۔
- UAC کو بائی پاس کریں۔
رجسٹری کلید میں ترمیم کرکے انجام دیا گیا۔ EnableLUA گروپ پالیسی کی ترتیبات میں۔
- موجودہ فائل پر "پوشیدہ" وصف کا اطلاق کرتا ہے۔
- موجودہ فائل کو حذف کرنے کی صلاحیت۔
غیر فعال خصوصیات
بوٹ لوڈر اور مین ماڈیول کے تجزیہ کے دوران، ایسے فنکشنز پائے گئے جو اضافی فعالیت کے لیے ذمہ دار تھے، لیکن وہ کہیں بھی استعمال نہیں ہوتے۔ یہ شاید اس حقیقت کی وجہ سے ہے کہ میلویئر ابھی بھی ترقی میں ہے اور فعالیت کو جلد ہی بڑھا دیا جائے گا۔
لوڈر AtProtect
ایک فنکشن پایا گیا جو اس عمل میں لوڈنگ اور انجیکشن کے لیے ذمہ دار ہے۔ msiexec.exe صوابدیدی ماڈیول.
ڈیٹا سٹیلر
- نظام میں استحکام
- ڈیکمپریشن اور ڈکرپشن افعال
امکان ہے کہ نیٹ ورک کمیونیکیشن کے دوران ڈیٹا انکرپشن کو جلد ہی لاگو کر دیا جائے گا۔ - اینٹی وائرس کے عمل کو ختم کرنا
zlclient | Dvp95_0 | Pavsched | avgserv9 |
egui | ایکسین | پاو | avgserv9schedapp |
bdagent | محفوظ | PCIOMON | avgemc |
npfmsg | ایسپ واچ | PCCMAIN | ashwebsv |
olydbg | F-Agnt95 | پی سی سی ون 98 | ashdisp |
anubis | فائنڈویر | پی سی ایف والیکن | ashmaisv |
ویرشکر | Fprot | Persfw | ashserv |
avastui | ایف گھروں کی حفاظت ت | POP3TRAP | aswUpdSv |
_Avp32 | F-Prot95 | PVIEW95 | symwsc |
vsmon | ایف پی ون | روی ایکس این ایم ایکس۔ | نورٹن |
mbam | Frw | Rav7win | نورٹن آٹو پروٹیکٹ |
keyscrambler | F-Stopw | چھڑا | norton_av |
_Avpcc | Iamapp | سیف ویب | نورتوناو |
_Avpm | Iamserv | اسکین 32 | ccsetmgr |
Ackwin32 | Ibmasn | اسکین 95 | ccevtmgr |
چوکی | Ibmavsp | اسکین پی ایم | avadmin |
اینٹی ٹروجن | Icload95 | اسکین | avcenter |
ANTIVIR | آئکلوڈنٹ | سرو95 | اوسط |
Apvxdwin | آئیکن | Smc | محافظ |
ایک ٹریک | آئی سی ایس پی 95 | SMCSERVICE | مطلع کرنا |
آٹو ڈاؤن | Icsupnt | سنیٹ | avscan |
Avconsol | میں سامنا کرتا ہوں | ابوالہول | guardgui |
برڈ32 | Iomon98 | جھاڑو 95 | nod32krn |
Avgctrl | Jedi | SYMPROXYSVC | nod32kui |
Avkserv | لاک ڈاؤن 2000 | ٹی بی اسکین | clamscan |
Avnt | باہر دیکھو | ٹی سی اے | clamTray |
اے وی پی | لوال | Tds2-98 | clamWin |
Avp32 | ایم سی اے ایف ای | Tds2-Nt | تازہ کلب |
اے وی پی سی سی | Moolive | ٹرمینیٹ | علاء الدین |
Avpdos32 | MPftray | ویٹ95 | سگ ٹول |
اے وی پی ایم | N32 اسکین ڈبلیو | ویٹرے | w9xpopen |
Avptc32 | NAVAPSVC | Vscan40 | بند کریں |
Avpupd | NAVAPW32 | Vsecomr | cmgrdian |
Avsched32 | NAVLU32 | Vshwin32 | alogserv |
اے وی ایس وائی این ایم جی آر | نیونٹ | Vsstat | میکشیلڈ |
Avwin95 | NAVRUNR | ویب سکینکس | vshwin32 |
Avwupd32 | Navw32 | ویب ٹراپ | avconsol |
سیاہ | ناوونٹ | Wfindv32 | vsstat |
کالی برف | نیو واچ | زون الارم | avsynmgr |
Cfiadmin | NISSERV | لاک ڈاؤن 2000 | avcmd |
Cfiaudit | نسم | ریسکیو32 | avconfig |
Cfinet | نمین | LUCOMSERVER | licmgr |
Cfinet32 | نارمسٹ | avgcc | شیڈول |
پنجہ95 | NORTON | avgcc | preupd |
Claw95cf | اپ گریڈ کریں۔ | avgamsvr | MsMpEng |
کلینر | Nvc95 | avgupsvc | MSASCui |
کلینر3 | چوکی | avgw | Avira.Systray |
ڈیف واچ | پیڈمین | avgcc32 | |
ڈی وی پی 95 | Pavcl | avgserv |
- اپنی تباہی آپ
- مخصوص وسائل کے مینی فیسٹ سے ڈیٹا لوڈ ہو رہا ہے۔
- راستے میں فائل کاپی کرنا %Temp%tmpG[موجودہ تاریخ اور وقت ملی سیکنڈ میں].tmp
دلچسپ بات یہ ہے کہ AgentTesla میلویئر میں ایک جیسی فنکشن موجود ہے۔ - کیڑے کی فعالیت
میلویئر کو ہٹانے کے قابل میڈیا کی فہرست موصول ہوتی ہے۔ میلویئر کی ایک کاپی میڈیا فائل سسٹم کے روٹ میں نام کے ساتھ بنائی جاتی ہے۔ Sys.exe. Autorun ایک فائل کا استعمال کرتے ہوئے لاگو کیا جاتا ہے autorun.inf.
حملہ آور کا پروفائل
کمانڈ سینٹر کے تجزیہ کے دوران، ڈویلپر کا ای میل اور عرفی نام - Razer، aka Brwa، Brwa65، HiDDen PerSON، 404 Coder قائم کرنا ممکن تھا۔ اس کے بعد، ہمیں یوٹیوب پر ایک دلچسپ ویڈیو ملی جو بلڈر کے ساتھ کام کرنے کا مظاہرہ کرتی ہے۔
اس نے اصل ڈویلپر چینل کو تلاش کرنا ممکن بنایا۔
یہ واضح ہو گیا کہ اسے خفیہ نگاری لکھنے کا تجربہ تھا۔ سوشل نیٹ ورکس پر صفحات کے لنکس کے ساتھ ساتھ مصنف کا اصل نام بھی موجود ہے۔ وہ عراق کا رہنے والا نکلا۔
ایک 404 Keylogger ڈویلپر قیاس کے مطابق ایسا لگتا ہے۔ ان کے ذاتی فیس بک پروفائل سے تصویر۔
CERT Group-IB نے ایک نئے خطرے کا اعلان کیا ہے - 404 Keylogger - بحرین میں سائبر خطرات کے لیے XNUMX گھنٹے نگرانی اور رسپانس سینٹر (SOC)۔
ماخذ: www.habr.com