Trong những năm gần đây, Trojan di động đã tích cực thay thế Trojan cho máy tính cá nhân, do đó, sự xuất hiện của phần mềm độc hại mới dành cho những chiếc “ô tô” cũ tốt và việc tội phạm mạng tích cực sử dụng chúng, mặc dù khó chịu, vẫn là một sự kiện. Gần đây, trung tâm ứng phó sự cố bảo mật thông tin XNUMX/XNUMX của CERT Group-IB đã phát hiện một email lừa đảo bất thường đang ẩn chứa phần mềm độc hại mới trên PC kết hợp các chức năng của Keylogger vàPasswordStealer. Sự chú ý của các nhà phân tích tập trung vào cách phần mềm gián điệp xâm nhập vào máy của người dùng - sử dụng trình nhắn tin thoại phổ biến. Ilya Pomerantsev, chuyên gia phân tích phần mềm độc hại tại CERT Group-IB, đã giải thích cách thức hoạt động của phần mềm độc hại, lý do tại sao nó nguy hiểm và thậm chí còn tìm thấy người tạo ra nó ở Iraq xa xôi.
Vì vậy, hãy đi theo thứ tự. Dưới vỏ bọc của tệp đính kèm, một bức thư như vậy có chứa một hình ảnh, khi nhấp vào đó người dùng sẽ được đưa đến trang web cdn.discordapp.comvà một tệp độc hại đã được tải xuống từ đó.
Việc sử dụng Discord, một ứng dụng nhắn tin và thoại miễn phí, khá độc đáo. Thông thường, các ứng dụng nhắn tin tức thời hoặc mạng xã hội khác được sử dụng cho những mục đích này.
Trong quá trình phân tích chi tiết hơn, một nhóm phần mềm độc hại đã được xác định. Hóa ra đó là một người mới tham gia vào thị trường phần mềm độc hại - 404 Keylogger.
Quảng cáo đầu tiên về việc bán keylogger được đăng trên hackforum bởi người dùng có biệt danh “404 Coder” vào ngày 8 tháng XNUMX.
Tên miền cửa hàng đã được đăng ký khá gần đây - vào ngày 7 tháng 2019 năm XNUMX.
Như các nhà phát triển nói trên trang web 404dự án[.]xyz, 404 là một công cụ được thiết kế để giúp các công ty tìm hiểu về hoạt động của khách hàng (với sự cho phép của họ) hoặc dành cho những ai muốn bảo vệ hệ nhị phân của mình khỏi kỹ thuật đảo ngược. Nhìn về phía trước, hãy nói điều đó với nhiệm vụ cuối cùng 404 chắc chắn không đối phó được.
Chúng tôi đã quyết định đảo ngược một trong các tệp và kiểm tra xem “KEYLOGGER THÔNG MINH TỐT NHẤT” là gì.
Hệ sinh thái phần mềm độc hại
Trình tải 1 (AtillaCrypter)
Tệp nguồn được bảo vệ bằng cách sử dụng EaxObfuscator và thực hiện tải hai bước AtProtect từ phần tài nguyên. Trong quá trình phân tích các mẫu khác được tìm thấy trên VirusTotal, có thể thấy rõ rằng giai đoạn này không phải do chính nhà phát triển cung cấp mà được khách hàng của anh ta thêm vào. Sau đó người ta xác định rằng bộ nạp khởi động này là AtillaCrypter.
Bộ tải khởi động 2 (AtProtect)
Trên thực tế, trình tải này là một phần không thể thiếu của phần mềm độc hại và theo ý định của nhà phát triển, nó sẽ đảm nhận chức năng phân tích chống lại.
Tuy nhiên, trên thực tế, các cơ chế bảo vệ còn cực kỳ thô sơ và hệ thống của chúng tôi đã phát hiện thành công phần mềm độc hại này.
Mô-đun chính được tải bằng cách sử dụng Francy ShellCode phiên bản khác nhau. Tuy nhiên, chúng tôi không loại trừ khả năng các tùy chọn khác có thể đã được sử dụng, ví dụ: ChạyPE.
Tập tin cấu hình
Hợp nhất trong hệ thống
Sự hợp nhất trong hệ thống được đảm bảo bởi bộ nạp khởi động AtProtect, nếu cờ tương ứng được đặt.
- Tệp được sao chép dọc theo đường dẫn %AppData%GFqaakZpzwm.exe.
- Tập tin được tạo %AppData%GFqaakWinDriv.url, phóng Zpzwm.exe.
- trong chủ đề HKCUSoftwareMicrosoftWindowsCurrentVersionRun một khóa khởi động được tạo WinDrive.url.
Tương tác với C&C
Trình tải AtProtect
Nếu có cờ thích hợp, phần mềm độc hại có thể khởi chạy một quy trình ẩn iexplorer và đi theo liên kết được chỉ định để thông báo cho máy chủ về việc lây nhiễm thành công.
Kẻ đánh cắp dữ liệu
Bất kể phương thức nào được sử dụng, giao tiếp mạng đều bắt đầu bằng việc lấy IP bên ngoài của nạn nhân bằng cách sử dụng tài nguyên [http]://checkip[.]dyndns[.]org/.
Tác nhân người dùng: Mozilla/4.0 (tương thích; MSIE 6.0; Windows NT 5.2; .NET CLR1.0.3705;)
Cấu trúc chung của tin nhắn là như nhau. Tiêu đề hiện tại
|——- 404 Keylogger — {Type} ----|Đâu {kiểu} tương ứng với loại thông tin được truyền đi.
Sau đây là thông tin về hệ thống:
_______ + THÔNG TIN NẠN NHÂN + _______
IP: {IP bên ngoài}
Tên chủ sở hữu: {Tên máy tính}
Tên hệ điều hành: {Tên hệ điều hành}
Phiên bản hệ điều hành: {Phiên bản hệ điều hành}
Nền tảng hệ điều hành: {Platform}
Kích thước RAM: {Kích thước RAM}
______________________________
Và cuối cùng là dữ liệu được truyền đi.
SMTP
Chủ đề của bức thư như sau: 404 K | {Loại tin nhắn} | Tên khách hàng: {Tên người dùng}.
Điều thú vị là gửi thư cho khách hàng 404 Keylogger Máy chủ SMTP của nhà phát triển được sử dụng.
Điều này giúp có thể xác định được một số khách hàng cũng như email của một trong những nhà phát triển.
FTP
Khi sử dụng phương pháp này, thông tin thu thập được sẽ được lưu vào một tệp và đọc ngay từ đó.
Logic đằng sau hành động này không hoàn toàn rõ ràng, nhưng nó tạo ra một tạo phẩm bổ sung để viết các quy tắc hành vi.
%HOMEDRIVE%%HOMEPATH%DocumentsA{Số tùy ý}.txt
Pastebin
Tại thời điểm phân tích, phương pháp này chỉ được sử dụng để chuyển mật khẩu bị đánh cắp. Hơn nữa, nó không được sử dụng như một sự thay thế cho hai cái đầu tiên mà được sử dụng song song. Điều kiện là giá trị của hằng số bằng “Vavaa”. Có lẽ đây là tên của khách hàng.
Tương tác xảy ra thông qua giao thức https thông qua API pastebin. Nghĩa api_paste_private bằng PASTE_UNLISTED, cấm tìm kiếm những trang như vậy trong pastebin.
Các thuật toán mã hóa
Lấy một tập tin từ tài nguyên
Tải trọng được lưu trữ trong tài nguyên bootloader AtProtect dưới dạng ảnh Bitmap. Việc khai thác được thực hiện trong một số giai đoạn:
- Một mảng byte được trích xuất từ hình ảnh. Mỗi pixel được coi là một chuỗi 3 byte theo thứ tự BGR. Sau khi trích xuất, 4 byte đầu tiên của mảng sẽ lưu trữ độ dài của tin nhắn, các byte tiếp theo sẽ lưu chính tin nhắn đó.
- Chìa khóa được tính toán. Để thực hiện việc này, MD5 được tính từ giá trị “ZpzwmjMJyfTNiRalKVrcSkxCN” được chỉ định làm mật khẩu. Hàm băm kết quả được viết hai lần.
- Việc giải mã được thực hiện bằng thuật toán AES ở chế độ ECB.
Chức năng độc hại
Downloader
Được triển khai trong bộ nạp khởi động AtProtect.
- Bằng cách liên hệ [activelink-repalce] Trạng thái của máy chủ được yêu cầu để xác nhận rằng nó đã sẵn sàng phân phát tệp. Máy chủ sẽ quay trở lại "TRÊN".
- các liên kết [liên kết tải xuống-thay thế] Tải trọng được tải xuống.
- Với Nhượng quyền Shellcode tải trọng được đưa vào tiến trình [inj-thay thế].
Trong quá trình phân tích tên miền 404dự án[.]xyz các trường hợp bổ sung đã được xác định trên VirusTotal 404 Keylogger, cũng như một số loại máy xúc.
Thông thường, chúng được chia thành hai loại:
- Việc tải xuống được thực hiện từ tài nguyên 404dự án[.]xyz.
Dữ liệu được mã hóa Base64 và mã hóa AES. - Tùy chọn này bao gồm một số giai đoạn và rất có thể được sử dụng cùng với bộ tải khởi động AtProtect.
- Trong giai đoạn đầu tiên, dữ liệu được tải từ pastebin và giải mã bằng hàm HexToByte.
- Ở giai đoạn thứ hai, nguồn tải là 404dự án[.]xyz. Tuy nhiên, chức năng giải nén và giải mã tương tự như chức năng có trong DataStealer. Có lẽ ban đầu nó được lên kế hoạch triển khai chức năng bộ nạp khởi động trong mô-đun chính.
- Ở giai đoạn này, tải trọng đã có trong bản kê khai tài nguyên ở dạng nén. Các chức năng trích xuất tương tự cũng được tìm thấy trong mô-đun chính.
Trình tải xuống được tìm thấy trong số các tệp được phân tích njRat, Cổng gián điệp và các RAT khác.
Keylogger
Thời gian gửi nhật ký: 30 phút.
Tất cả các ký tự đều được hỗ trợ. Ký tự đặc biệt được thoát. Có quá trình xử lý các phím BackSpace và Delete. Trường hợp nhạy cảm.
ClipboardLogger
Thời gian gửi nhật ký: 30 phút.
Thời gian thăm dò bộ đệm: 0,1 giây.
Thực hiện thoát liên kết.
ScreenLogger
Thời gian gửi nhật ký: 60 phút.
Ảnh chụp màn hình được lưu trong %HOMEDRIVE%%HOMEPATH%Documents404k404pic.png.
Sau khi gửi thư mục 404k bị xóa.
Kẻ đánh cắp mật khẩu
| Các trình duyệt | Ứng dụng thư khách | Máy khách FTP |
|---|---|---|
| cơ rôm | Outlook | FileZilla |
| Firefox | Tên của loài chim | |
| SeaMonkey | Foxmail | |
| Icedragon | ||
| Mặt trăng nhạt | ||
| Mạng điện tử | ||
| cơ rôm | ||
| BraveTrình duyệt | ||
| QQTrình duyệt | ||
| Trình duyệt Iridium | ||
| XvastBrowser | ||
| chedot | ||
| 360 Trình duyệt | ||
| ComodoRồng | ||
| 360Chrome | ||
| siêu chim | ||
| CentBrowser | ||
| GhostBrowser | ||
| Trình duyệt sắt | ||
| Chromium | ||
| Vivaldi | ||
| SlimjetBrowser | ||
| Quỹ đạo | ||
| Cốc Cốc | ||
| Torch | ||
| Trình duyệt UC | ||
| EpicBrowser | ||
| BliskBrowser | ||
| Opera |
Phản đối phân tích động
- Kiểm tra xem một quy trình có đang được phân tích hay không
Thực hiện bằng cách sử dụng quá trình tìm kiếm taskmgr, ProcessHacker, thủ tục64, thủ tục, thủ tục. Nếu tìm thấy ít nhất một phần mềm, phần mềm độc hại sẽ thoát.
- Kiểm tra xem bạn có đang ở trong môi trường ảo không
Thực hiện bằng cách sử dụng quá trình tìm kiếm vmtoolsd, Dịch vụ VGAuth, vmacthlp, Dịch vụ VBox, Khay VBox. Nếu tìm thấy ít nhất một phần mềm, phần mềm độc hại sẽ thoát.
- Ngủ quên trong 5 giây
- Trình diễn các loại hộp thoại khác nhau
Có thể được sử dụng để bỏ qua một số hộp cát.
- Bỏ qua UAC
Thực hiện bằng cách chỉnh sửa khóa đăng ký EnableLUA trong cài đặt Chính sách nhóm.
- Áp dụng thuộc tính "Ẩn" cho tệp hiện tại.
- Khả năng xóa tập tin hiện tại.
Tính năng không hoạt động
Trong quá trình phân tích bộ tải khởi động và mô-đun chính, người ta thấy rằng các chức năng chịu trách nhiệm về chức năng bổ sung, nhưng chúng không được sử dụng ở bất kỳ đâu. Điều này có thể là do phần mềm độc hại vẫn đang được phát triển và chức năng sẽ sớm được mở rộng.
Trình tải AtProtect
Đã tìm thấy một chức năng chịu trách nhiệm tải và đưa vào quy trình msiexec.exe mô-đun tùy ý.
Kẻ đánh cắp dữ liệu
- Hợp nhất trong hệ thống
- Chức năng giải nén và giải mã
Rất có thể việc mã hóa dữ liệu trong quá trình giao tiếp qua mạng sẽ sớm được triển khai. - Chấm dứt quá trình chống vi-rút
| zlclient | Dvp95_0 | được lát gạch | trung bình9 |
| egui | động cơ điện | Pavw | avgserv9schedapp |
| màu đỏ tươi | Esafe | PCCIOMON | trung bình |
| npfmsg | đồng hồ Espwatch | PCCMAIN | trowebsv |
| olydbg | F-Agnt95 | pccwin98 | trodisp |
| Anubis | Findvir | biểu tượng pcfwallicon | ashmaisv |
| Wireshark | fprot | Persfw | ashserv |
| avastui | F-Prot | POP3TRAP | aswUpdSv |
| _Avp32 | F-Prot95 | PVIEW95 | symwsc |
| vsmon | Fp-Thắng | Rav7 | norton |
| bam | frw | Rav7win | Norton Auto-Protect |
| trình gõ phím | F-Dừng lại | giải thoát | norton_av |
| _Avpcc | Iamapp | web an toàn | nortonavi |
| _trung bình | Iamserv | Quét32 | ccsetmgr |
| xác nhận32 | Ibmasn | Quét95 | cevtmgr |
| Đồn tiền tuyến | Ibmavsp | quét chiều | quản trị viên |
| Chống Trojan | Icload95 | quét quét | avcenter |
| CHỐNG VIRUS | Icloadnt | Phục vụ95 | tiên lượng |
| Apvxdwin | biểu tượng | Smc | tiên phong |
| ĐÁNH GIÁ | icsupp95 | SMCSERVICE | avnotify |
| Tự động tắt | Tôi ủng hộ | Snort | quét avscan |
| Avconsol | Tôi đôi mặt | Người khó hiểu | bảo vệ |
| đại lộ32 | Iomon98 | quét95 | gật đầu32krn |
| Ctrl trung bình | Jedi | SYMPROXYSVC | gật đầu32kui |
| Avkserv | Khóa2000 | Tbscan | sò |
| Avnt | Coi chưng | tca | khay ngao |
| trung bình | Luall | Tds2-98 | ngaoWin |
| Avp32 | mcafee | Tds2-Nt | Freshclam |
| Avpcc | Moive | TermiNET | oladin |
| Avpdos32 | MPftray | bác sĩ thú y95 | công cụ sigtool |
| trung bình | N32scanw | Vettray | w9xpopen |
| Avptc32 | NAVPSVC | Vscan40 | Đóng |
| Avpupd | NAVAPW32 | Vsecomr | cmgrdian |
| Avsched32 | NAVLU32 | Vshwin32 | alogserv |
| AVSYNMGR | điều hướng | Vsstat | mcshield |
| Avwin95 | NAVRUNR | Webscanx | vswin32 |
| Avwupd32 | Navw32 | WEBTRAP | avconsol |
| bôi đen | điều hướng | wfindv32 | vsstat |
| Băng đen | NeoWatch | ZoneAlarm | không đồng bộ |
| Cfiadmin | NISSERV | KHÓA2000 | avcmd |
| Cfiaudit | nisum | CỨU HỘ32 | avconfig |
| Cfinet | chính | LUCOMSERVER | licmgr |
| Cfinet32 | người theo chủ nghĩa chuẩn mực | trung bình | lập kế hoạch |
| Vuốt95 | NORTON | trung bình | cập nhật trước |
| Vuốt95cf | nâng cấp | trung bình | MsMpEng |
| Cleaner | Nvc95 | trung bình | MSASCui |
| Trình dọn dẹp3 | Đồn tiền tuyến | trung bình | Avira.Systray |
| Xem lại | quản trị viên | trung bình32 | |
| Dvp95 | Pavcl | trung bình |
- tự hủy hoại
- Đang tải dữ liệu từ bảng kê khai tài nguyên được chỉ định
- Sao chép tập tin dọc theo đường dẫn %Temp%tmpG[Ngày và giờ hiện tại tính bằng mili giây].tmp
Điều thú vị là một chức năng tương tự cũng có trong phần mềm độc hại AgentTesla. - Chức năng sâu
Phần mềm độc hại nhận được một danh sách phương tiện di động. Một bản sao của phần mềm độc hại được tạo trong thư mục gốc của hệ thống tệp phương tiện có tên sys.exe. Autorun được thực hiện bằng cách sử dụng một tập tin autorun.inf.
Hồ sơ kẻ tấn công
Trong quá trình phân tích trung tâm chỉ huy, có thể thiết lập email và biệt danh của nhà phát triển - Razer, hay còn gọi là Brwa, Brwa65, HiDDen PerSOn, 404 Coder. Tiếp theo, chúng tôi tìm thấy một video thú vị trên YouTube minh họa cách làm việc với công cụ xây dựng.
Điều này giúp bạn có thể tìm thấy kênh nhà phát triển ban đầu.
Rõ ràng là anh ta có kinh nghiệm viết mật mã. Ngoài ra còn có các đường dẫn đến các trang trên mạng xã hội cũng như tên thật của tác giả. Hóa ra anh ta là cư dân của Iraq.
Đây được cho là một nhà phát triển Keylogger 404 trông như thế nào. Ảnh từ trang Facebook cá nhân của anh.
CERT Group-IB đã công bố một mối đe dọa mới - 404 Keylogger - trung tâm giám sát và ứng phó XNUMX giờ đối với các mối đe dọa mạng (SOC) ở Bahrain.
Nguồn: www.habr.com