So'nggi yillarda mobil troyanlar shaxsiy kompyuterlar uchun troyanlarni faol ravishda almashtirmoqda, shuning uchun eski yaxshi "avtomobillar" uchun yangi zararli dasturlarning paydo bo'lishi va ulardan kiberjinoyatchilar tomonidan faol foydalanish, garchi yoqimsiz bo'lsa ham, hali ham voqea. Yaqinda CERT Group-IB ning XNUMX/XNUMX axborot xavfsizligi hodisalariga javob berish markazi Keylogger va PasswordStealer funksiyalarini birlashtirgan yangi kompyuter zararli dasturini yashirgan noodatiy fishing elektron pochta xabarini aniqladi. Tahlilchilar e'tiborini josuslik dasturi foydalanuvchining mashinasiga qanday tushib qolganiga qaratildi - mashhur ovozli messenjer yordamida. Ilya Pomerantsev, CERT Group-IB zararli dasturlarni tahlil qilish bo'yicha mutaxassisi zararli dastur qanday ishlashini, nima uchun xavfli ekanligini tushuntirib berdi va hatto uzoq Iroqda o'z yaratuvchisini topdi.
Shunday qilib, keling, tartibda boraylik. Qo'shimcha nomi ostida bunday xatda rasm bo'lgan, uni bosgandan so'ng foydalanuvchi saytga olib kelingan. cdn.discordapp.com, va u yerdan zararli fayl yuklab olingan.
Discord, bepul ovozli va matnli messenjerdan foydalanish juda noan'anaviy. Odatda, bu maqsadlar uchun boshqa messenjerlar yoki ijtimoiy tarmoqlar ishlatiladi.
Batafsilroq tahlil qilish jarayonida zararli dasturlar oilasi aniqlandi. Bu zararli dasturlar bozoriga yangi kelgan bo'lib chiqdi - 404 Keylogger.
Keylogger sotuvi bo'yicha birinchi e'lon e'lon qilindi hackforums foydalanuvchi tomonidan 404 avgust kuni “8 Coder” taxallusi ostida.
Do'kon domeni yaqinda - 7 yil 2019 sentyabrda ro'yxatga olingan.
Ishlab chiquvchilar veb-saytda aytganidek 404 loyiha[.]xyz, 404 kompaniyalarga o'z mijozlarining faoliyati (ularning ruxsati bilan) haqida ma'lumot olishga yordam berish yoki ikkiliklarini teskari muhandislikdan himoya qilishni xohlaydiganlar uchun mo'ljallangan vositadir. Oldinga qarab, buni oxirgi vazifa bilan aytaylik 404 albatta bardosh bermaydi.
Biz fayllardan birini o'zgartirishga va "BEST SMART KEYLOGGER" nima ekanligini tekshirishga qaror qildik.
Zararli dasturiy ta'minot ekotizimlari
Yuklagich 1 (AtillaCrypter)
Manba fayli yordamida himoyalangan EaxObfuscator va ikki bosqichli yuklashni amalga oshiradi AtProtect resurslar bo'limidan. VirusTotal-da topilgan boshqa namunalarni tahlil qilish jarayonida ushbu bosqichni ishlab chiquvchining o'zi taqdim etmagani, balki uning mijozi tomonidan qo'shilganligi ma'lum bo'ldi. Keyinchalik bu yuklovchi AtillaCrypter ekanligi aniqlandi.
Bootloader 2 (AtProtect)
Aslida, bu yuklovchi zararli dasturning ajralmas qismidir va ishlab chiquvchining niyatiga ko'ra, tahlilga qarshi kurashish funksiyasini o'z zimmasiga olishi kerak.
Biroq, amalda, himoya mexanizmlari juda ibtidoiy va bizning tizimlarimiz ushbu zararli dasturni muvaffaqiyatli aniqlaydi.
Asosiy modul yordamida yuklanadi Franchy ShellCode turli versiyalar. Biroq, biz boshqa variantlardan foydalanish mumkinligini istisno qilmaymiz, masalan, RunPE.
Konfiguratsiya fayli
Tizimda konsolidatsiya
Tizimdagi konsolidatsiya yuklovchi tomonidan ta'minlanadi AtProtect, agar tegishli bayroq o'rnatilgan bo'lsa.
- Fayl yo'l bo'ylab ko'chiriladi %AppData%GFqaakZpzwm.exe.
- Fayl yaratildi %AppData%GFqaakWinDriv.url, ishga tushirish Zpzwm.exe.
- Ip ichida HKCUSoftwareMicrosoftWindowsCurrentVersionRun ishga tushirish kaliti yaratiladi WinDriv.url.
C&C bilan o'zaro ta'sir
Loader AtProtect
Tegishli bayroq mavjud bo'lsa, zararli dastur yashirin jarayonni ishga tushirishi mumkin iexplorer va serverni muvaffaqiyatli infektsiya haqida xabardor qilish uchun belgilangan havolaga o'ting.
Data Stealer
Amaldagi usuldan qat'i nazar, tarmoq aloqasi resurs yordamida jabrlanuvchining tashqi IP-manzilini olishdan boshlanadi [http]://checkip[.]dyndns[.]org/.
Foydalanuvchi agenti: Mozilla/4.0 (mos keladi; MSIE 6.0; Windows NT 5.2; .NET CLR1.0.3705;)
Xabarning umumiy tuzilishi bir xil. Sarlavha mavjud
|——- 404 Keylogger — {Tip} ——-|qayerda {turi} uzatilayotgan axborot turiga mos keladi.
Quyida tizim haqida ma'lumotlar keltirilgan:
_______ + QURBON HAQIDA MA'LUMOT + _______
IP: {Tashqi IP}
Egasining ismi: {Kompyuter nomi}
OS nomi: {OS nomi}
OS versiyasi: {OS versiyasi}
OS platformasi: {Platforma}
RAM hajmi: {RAM hajmi}
______________________________
Va nihoyat, uzatilgan ma'lumotlar.
SMTP
Maktubning mavzusi quyidagicha: 404 K | {Xabar turi} | Mijoz nomi: {Foydalanuvchi nomi}.
Qizig'i shundaki, mijozga xatlarni etkazib berish 404 Keylogger Ishlab chiquvchilarning SMTP serveridan foydalaniladi.
Bu ba'zi mijozlarni, shuningdek, ishlab chiquvchilardan birining elektron pochta manzilini aniqlash imkonini berdi.
FTP
Ushbu usuldan foydalanganda to'plangan ma'lumotlar faylga saqlanadi va darhol u erdan o'qiladi.
Ushbu harakat ortidagi mantiq to'liq aniq emas, lekin u xatti-harakatlar qoidalarini yozish uchun qo'shimcha artefakt yaratadi.
%HOMEDRIVE%%HOMEPATH%DocumentsA{Ixtiyoriy raqam}.txt
Pastebin
Tahlil vaqtida bu usul faqat o'g'irlangan parollarni o'tkazish uchun ishlatiladi. Bundan tashqari, u birinchi ikkitasiga muqobil sifatida emas, balki parallel ravishda ishlatiladi. Shart "Vavaa" ga teng bo'lgan doimiy qiymatdir. Ehtimol, bu mijozning ismi.
O'zaro ta'sir API orqali https protokoli orqali amalga oshiriladi pastebin. Ma'nosi api_paste_private tengdir PASTE_UNLISTED, bu kabi sahifalarni qidirishni taqiqlaydi pastebin.
Shifrlash algoritmlari
Resurslardan faylni olish
Foydali yuk bootloader resurslarida saqlanadi AtProtect Bitmap tasvirlar shaklida. Ekstraktsiya bir necha bosqichda amalga oshiriladi:
- Rasmdan baytlar massivi chiqariladi. Har bir piksel BGR tartibida 3 baytlik ketma-ketlik sifatida ko'rib chiqiladi. Ekstraktsiyadan so'ng, massivning dastlabki 4 bayti xabar uzunligini, keyingilari esa xabarning o'zini saqlaydi.
- Kalit hisoblab chiqiladi. Buning uchun MD5 parol sifatida ko'rsatilgan "ZpzwmjMJyfTNiRalKVrcSkxCN" qiymatidan hisoblanadi. Olingan xesh ikki marta yoziladi.
- Shifrni ochish ECB rejimida AES algoritmi yordamida amalga oshiriladi.
Zararli funksionallik
downloader
Bootloaderda amalga oshirilgan AtProtect.
- Aloqa qilish orqali [activelink-repalce] Server holati faylga xizmat koʻrsatishga tayyorligini tasdiqlash uchun soʻraladi. Server qaytishi kerak "ON".
- Malumot bo'yicha [yuklab olish havolasini almashtirish] Foydali yuk yuklab olindi.
- Yordamida FranchyShell kodi foydali yuk jarayonga kiritiladi [inj-almashtirish].
Domenni tahlil qilish paytida 404 loyiha[.]xyz VirusTotal-da qo'shimcha misollar aniqlandi 404 Keylogger, shuningdek, bir necha turdagi yuklagichlar.
An'anaviy ravishda ular ikki turga bo'linadi:
- Yuklab olish resursdan amalga oshiriladi 404 loyiha[.]xyz.
Ma'lumotlar Base64 kodlangan va AES shifrlangan. - Ushbu parametr bir necha bosqichlardan iborat bo'lib, katta ehtimollik bilan yuklovchi bilan birgalikda ishlatiladi AtProtect.
- Birinchi bosqichda ma'lumotlar yuklanadi pastebin va funksiya yordamida dekodlangan HexToByte.
- Ikkinchi bosqichda yuklanish manbai hisoblanadi 404 loyiha[.]xyz. Biroq, dekompressiya va dekodlash funktsiyalari DataStealer-da topilganlarga o'xshaydi. Ehtimol, dastlab asosiy modulda bootloader funksiyasini amalga oshirish rejalashtirilgan edi.
- Ushbu bosqichda foydali yuk allaqachon resurs manifestida siqilgan shaklda. Xuddi shunday ekstraksiya funktsiyalari asosiy modulda ham topilgan.
Tahlil qilingan fayllar orasida yuklab oluvchilar topildi njRat, SpyGate va boshqa RATlar.
Keylogger
Jurnalni yuborish muddati: 30 daqiqa.
Barcha belgilar qo'llab-quvvatlanadi. Maxsus belgilar qochib ketgan. BackSpace va Delete tugmalari uchun ishlov berish mavjud. Harflar katta-kichikligiga sezgir.
ClipboardLogger
Jurnalni yuborish muddati: 30 daqiqa.
Bufer so'rovi davri: 0,1 soniya.
Amalga oshirilgan havoladan qochish.
ScreenLogger
Jurnalni yuborish muddati: 60 daqiqa.
Skrinshotlar saqlanadi %HOMEDRIVE%%HOMEPATH%Hujjatlar404k404pic.png.
Jildni yuborganingizdan so'ng 404k olib tashlanadi.
Password Stealer
| Brauzerlar | Pochta mijozlari | FTP mijozlari |
|---|---|---|
| Chrome | nuqtai nazar | FileZilla |
| Firefox | Thunderbird | |
| SeaMonkey | Foxmail | |
| muzdragon | ||
| PaleMoon | ||
| Cyberfox | ||
| Chrome | ||
| BraveBrowser | ||
| QQBrowser | ||
| Iridium brauzeri | ||
| XvastBrowser | ||
| Chedot | ||
| 360 Brauzer | ||
| ComodoDragon | ||
| 360 Chrome | ||
| Superbird | ||
| CentBrowser | ||
| GhostBrowser | ||
| IronBrowser | ||
| Chromium | ||
| Vivaldi | ||
| SlimjetBrowser | ||
| orbitum | ||
| CocCoc | ||
| Mashina | ||
| UCBrowser | ||
| EpicBrowser | ||
| BliskBrowser | ||
| opera |
Dinamik tahlilga qarshi kurash
- Jarayon tahlil qilinayotganligini tekshirish
Jarayonli qidiruv yordamida amalga oshiriladi vazifa, ProcessHacker, procexp64, procexp, prokmon. Agar kamida bittasi topilsa, zararli dastur chiqib ketadi.
- Virtual muhitda ekanligingizni tekshirish
Jarayonli qidiruv yordamida amalga oshiriladi vmtoolsd, VGAuthService, vmacthlp, VBoxService, VBoxTray. Agar kamida bittasi topilsa, zararli dastur chiqib ketadi.
- 5 soniya davomida uxlab qolish
- Har xil turdagi dialog oynalarini ko'rsatish
Ba'zi qum qutilarini chetlab o'tish uchun ishlatilishi mumkin.
- UAC-ni chetlab o'tish
Ro'yxatga olish kitobi kalitini tahrirlash orqali amalga oshiriladi EnableLUA Guruh siyosati sozlamalarida.
- Joriy faylga "Yashirin" atributini qo'llaydi.
- Joriy faylni o'chirish imkoniyati.
Faol bo'lmagan xususiyatlar
Bootloader va asosiy modulni tahlil qilish jarayonida qo'shimcha funktsiyalar uchun javobgar bo'lgan funktsiyalar topildi, ammo ular hech qanday joyda ishlatilmaydi. Ehtimol, bu zararli dastur hali ham ishlab chiqilayotgani va funksionallik tez orada kengaytirilishi bilan bog'liq.
Loader AtProtect
Jarayonga yuklash va kiritish uchun mas'ul bo'lgan funksiya topildi msiexec.exe ixtiyoriy modul.
Data Stealer
- Tizimda konsolidatsiya
- Dekompressiya va shifrni ochish funksiyalari
Ehtimol, yaqin orada tarmoq aloqasi paytida ma'lumotlarni shifrlash amalga oshiriladi. - Antivirus jarayonlarini tugatish
| zlclient | Dvp95_0 | Pavsched | avgserv9 |
| egui | Ecengine | Pavw | avgserv9schedapp |
| bdagent | Esafe | PCCIOMON | avgemc |
| npfmsg | Espwatch | PCCMAIN | ashwebsv |
| olydbg | F-Agnt95 | Pccwin98 | ashdisp |
| anubis | Findvir | Pcfwallicon | ashmaisv |
| wireshark | Fprot | Persfw | ashserv |
| avastui | F-PROT | POP3TRAP | aswUpdSv |
| _Avp32 | F-Prot95 | PVIEW95 | symwsc |
| vsmon | Fp-Win | Rav 7 | norton |
| mbam | Frw | Rav7win | Norton avtomatik himoyasi |
| keyscrambler | F-Stopw | qutqarish | norton_av |
| _Avpcc | Iamapp | Safeweb | nortonav |
| _Ovpm | Iamserv | Skanerlash 32 | ccsetmgr |
| Ackwin32 | Ibmasn | Skanerlash 95 | ccevtmgr |
| Tashqarida | Ibmavsp | Scanpm | avadmin |
| Troyanga qarshi | Icload95 | Scrscan | avcenter |
| ANTIVIR | Icloadnt | Xizmat 95 | avg |
| Apvxdwin | Icmon | smc | avguard |
| ATRACK | Icsupp95 | SMCSERVICE | xabardor qilish |
| Avtomatik pasaytirish | Icsuppnt | Snort | avscan |
| Avconsol | Iface | Sphinx | qo'riqchi |
| Ave32 | Iomon98 | Tozalash95 | nod32krn |
| Avgctrl | Jedi | SYMPROXYSVC | nod32kui |
| Avkserv | Bloklash2000 | Tbscan | mollyuska |
| Avnt | Hushyor bo'ling | Tca | clamTray |
| Avp | Luall | Tds2-98 | clamWin |
| Avp32 | mcafee | Tds2-Nt | yangi baliq |
| Avpcc | Moolive | TermiNET | oladdin |
| Avpdos32 | MPftray | Veterinar 95 | sigtool |
| Avpm | N32scanw | Vettray | w9xpopen |
| Avptc32 | NAVAPSVC | Vscan40 | Yopish |
| Avpupd | NAVAPW32 | Vsecomr | cmgrdian |
| Avsched32 | NAVLU32 | Vshwin32 | alogserv |
| AVSYNMGR | Navnt | Vsstat | mcshield |
| Avwin95 | NAVRUNR | Webscanx | vshwin32 |
| Avwupd32 | Navw32 | WEBTRAP | avconsol |
| Blackd | Navwnt | Wfindv32 | vsstat |
| Blackice | NeoWatch | Hudud signali | avsynmgr |
| Cfiadmin | NISSERV | BULFILMA 2000 | avcmd |
| Cfiaudit | Nisum | QATQAT32 | avconfig |
| Cfinet | Nmain | LUCOMSERVER | licmgr |
| Cfinet32 | Normist | avgcc | rejalashtirilgan |
| Claw95 | NORTON | avgcc | preupd |
| Claw95cf | Yangilash | avgamsvr | MsMpEng |
| Toza | Nvc95 | avgupsvc | MSASCui |
| Tozalovchi 3 | Tashqarida | avgw | Avira.Systray |
| Kuzatuv | Padmin | avgcc32 | |
| Dvp95 | Pavcl | avgserv |
- O'z-o'zini yo'q qilish
- Belgilangan resurs manifestidan maʼlumotlar yuklanmoqda
- Faylni yo'l bo'ylab nusxalash %Temp%tmpG[Hozirgi sana va vaqt millisekundlarda].tmp
Qizig'i shundaki, xuddi shunday funktsiya AgentTesla zararli dasturida mavjud. - Qurt funksionalligi
Zararli dastur olinadigan media ro'yxatini oladi. Zararli dasturning nusxasi nomi bilan media fayl tizimining ildizida yaratiladi Sys.exe. Avtomatik ishga tushirish fayl yordamida amalga oshiriladi autorun.inf.
Hujumchi profili
Buyruqlar markazini tahlil qilish jarayonida ishlab chiqaruvchining elektron pochtasi va taxallusini aniqlash mumkin bo'ldi - Razer, aka Brwa, Brwa65, HiDDen PerSON, 404 Coder. Keyinchalik, biz YouTube-da quruvchi bilan ishlashni ko'rsatadigan qiziqarli video topdik.
Bu asl ishlab chiquvchi kanalini topish imkonini berdi.
Uning kriptograflar yozish tajribasi borligi ma'lum bo'ldi. Shuningdek, ijtimoiy tarmoqlardagi sahifalarga havolalar, shuningdek muallifning haqiqiy ismi mavjud. U Iroq fuqarosi bo‘lib chiqdi.
404 Keylogger ishlab chiqaruvchisi go'yoki shunday ko'rinadi. Uning shaxsiy Facebook profilidan olingan surat.
CERT Group-IB yangi tahdidni e'lon qildi - 404 Keylogger - Bahrayndagi kiber tahdidlarni XNUMX soatlik monitoring va javob berish markazi (SOC).
Manba: www.habr.com