近年来,移动木马一直在积极取代个人电脑木马,因此,针对旧“汽车”的新恶意软件的出现以及网络犯罪分子的积极使用,尽管令人不快,但仍然是一个事件。 最近,CERT Group-IB 的 XNUMX/XNUMX 信息安全事件响应中心检测到一封不寻常的网络钓鱼电子邮件,其中隐藏了一种结合了 Keylogger 和 PasswordStealer 功能的新型 PC 恶意软件。 分析人士的注意力被吸引到间谍软件如何通过流行的语音信使进入用户的计算机。 伊利亚·波梅兰采夫CERT Group-IB 的恶意软件分析专家解释了该恶意软件的工作原理、其危险性,甚至在遥远的伊拉克找到了它的创建者。
那么,我们就按顺序来吧。 在附件的幌子下,这样的信件包含一张图片,用户点击该图片后就会被带到该网站 cdn.discordapp.com,并从那里下载了恶意文件。
使用免费的语音和文本消息工具 Discord 是一种非常规的方式。 通常,其他即时通讯工具或社交网络用于这些目的。
在更详细的分析过程中,发现了一系列恶意软件。 原来它是恶意软件市场的新来者—— 404 键盘记录器.
第一个销售键盘记录器的广告发布于 hackforums 404 月 8 日,由昵称“XNUMX Coder”的用户发布。
该商店域名是最近注册的 - 7 年 2019 月 XNUMX 日。
正如开发者在网站上所说 404projects[.]xyz, 404 是一种工具,旨在帮助公司了解客户的活动(在他们的许可下)或为那些想要保护其二进制文件免受逆向工程影响的人提供。 展望未来,让我们说最后一个任务 404 绝对应付不了。
我们决定反转其中一个文件并检查“BEST SMART KEYLOGGER”是什么。
恶意软件生态系统
加载程序 1 (AtillaCrypter)
源文件使用以下方式进行保护 Eax混淆器 并执行两步加载 保护 来自资源部分。 在分析 VirusTotal 上发现的其他样本时,很明显这个阶段不是由开发人员自己提供的,而是由他的客户添加的。 后来确定这个引导加载程序是AtillaCrypter。
引导加载程序 2(AtProtect)
事实上,这个加载器是恶意软件的一个组成部分,按照开发者的意图,应该承担反分析的功能。
然而,在实践中,保护机制极其原始,我们的系统成功地检测到了这种恶意软件。
主模块使用加载 Franchy Shell代码 不同的版本。 但是,我们不排除可以使用其他选项,例如, 运行PE.
配置文件
系统整合
引导加载程序确保系统整合 保护,如果设置了相应的标志。
- 文件沿着路径复制 %AppData%GFqaakZpzwm.exe.
- 文件已创建 %AppData%GFqaakWinDriv.url,发射 执行程序.
- 在线程中 HKCU软件MicrosoftWindows当前版本运行 创建启动密钥 WinDriv.url.
与命令与征服的互动
装载机AtProtect
如果存在适当的标志,恶意软件可以启动隐藏的进程 浏览器 并按照指定的链接通知服务器感染成功。
数据窃取者
无论使用哪种方法,网络通信都是从使用资源获取受害者的外部IP开始的 [http]://checkip[.]dyndns[.]org/.
用户代理:Mozilla/4.0(兼容;MSIE 6.0;Windows NT 5.2;.NET CLR1.0.3705;)
消息的一般结构是相同的。 标头存在
|——- 404 键盘记录器 — {类型} ——-|哪里 {类型} 对应于正在传输的信息的类型。
以下是有关系统的信息:
_______ + 受害者信息 + _______
IP:{外部IP}
所有者名称:{计算机名称}
操作系统名称:{操作系统名称}
操作系统版本:{操作系统版本}
操作系统平台:{平台}
内存大小:{内存大小}
______________________________
最后是传输的数据。
SMTP
信函的主题如下: 404K | {消息类型} | 客户名称:{用户名}.
有趣的是,给客户送信 404 键盘记录器 使用开发人员的 SMTP 服务器。
这使得可以识别一些客户以及其中一名开发人员的电子邮件。
则fTP
使用此方法时,收集的信息将保存到文件中并立即从那里读取。
此操作背后的逻辑并不完全清楚,但它为编写行为规则创建了一个额外的工件。
%HOMEDRIVE%%HOMEPATH%DocumentsA{任意数字}.txt
引擎收录
经分析,该方法仅用于传输被盗密码。 而且,它不是作为前两者的替代品,而是并行使用。 条件是常数的值等于“Vavaa”。 据推测,这是客户的名字。
通过 API 通过 https 协议进行交互 引擎收录... 值 api_paste_private 是 PASTE_UNLISTED 粘贴,这禁止在以下位置搜索此类页面 引擎收录.
加密算法
从资源中检索文件
有效负载存储在引导加载程序资源中 保护 位图图像的形式。 提取分几个阶段进行:
- 从图像中提取字节数组。 每个像素被视为按 BGR 顺序的 3 个字节的序列。 提取后,数组的前 4 个字节存储消息的长度,后续字节存储消息本身。
- 关键是计算出来的。 为此,MD5 是根据指定为密码的值“ZpzwmjMJyfTNiRalKVrcSkxCN”计算的。 生成的哈希值被写入两次。
- 使用ECB模式下的AES算法进行解密。
恶意功能
下载
在引导加载程序中实现 保护.
- 通过联系 [activelink-替换] 请求服务器的状态以确认它已准备好提供文件。 服务器应该返回 “上”.
- 链接 [下载链接-替换] 有效负载已下载。
- 同 FranchyShell代码 有效负载被注入到进程中 [注入-替换].
域分析期间 404projects[.]xyz VirusTotal 上还发现了其他实例 404 键盘记录器,以及几种类型的装载机。
按照惯例,它们分为两种:
- 下载是从资源中进行的 404projects[.]xyz.
数据采用 Base64 编码和 AES 加密。 - 该选项由多个阶段组成,最有可能与引导加载程序结合使用 保护.
- 在第一阶段,数据加载自 引擎收录 并使用函数解码 十六进制转字节.
- 第二阶段,载荷源为 404projects[.]xyz。 然而,解压缩和解码功能与 DataStealer 中的类似。 最初可能计划在主模块中实现引导加载程序功能。
- 在此阶段,有效负载已经以压缩形式存在于资源清单中。 在主模块中也发现了类似的提取功能。
在分析的文件中发现了下载程序 新泽西州, 间谍门 和其他 RAT。
键盘记录
日志发送周期:30分钟。
支持所有字符。 特殊字符被转义。 对 BackSpace 和 Delete 键进行处理。 区分大小写。
剪贴板记录器
日志发送周期:30分钟。
缓冲区轮询周期:0,1秒。
实现了链接转义。
屏幕记录器
日志发送周期:60分钟。
截图保存在 %HOMEDRIVE%%HOMEPATH%Documents404k404pic.png.
发送文件夹后 404k 已移除。
密码窃取者
浏览器 | 邮件客户端 | FTP客户端 |
---|---|---|
铬 | Outlook | FileZilla中 |
火狐 | 雷鸟 | |
SeaMonkey的 | Foxmail的 | |
Icedragon | ||
苍白的月亮 | ||
Cyberfox | ||
铬 | ||
勇敢的浏览器 | ||
QQ浏览器 | ||
铱星浏览器 | ||
Xvast浏览器 | ||
切多 | ||
360浏览器 | ||
科摩多龙 | ||
360Chrome | ||
超级鸟 | ||
中心浏览器 | ||
幽灵浏览器 | ||
铁浏览器 | ||
铬 | ||
维瓦尔第 | ||
Slimjet浏览器 | ||
轨道 | ||
椰子 | ||
火炬 | ||
UC浏览器 | ||
史诗浏览器 | ||
叶盘浏览器 | ||
Opera |
动态分析的反作用
- 检查进程是否正在分析
使用流程搜索进行 taskmgr就是, 进程黑客, 过程exp64, 进程, 普罗蒙。 如果至少找到一个,恶意软件就会退出。
- 检查您是否处于虚拟环境中
使用流程搜索进行 虚拟机工具, VGAuth服务, 虚拟机, VBox服务, 垂直盒托盘。 如果至少找到一个,恶意软件就会退出。
- 5秒入睡
- 不同类型对话框的演示
可用于绕过一些沙箱。
- 绕过UAC
通过编辑注册表项来执行 EnableLUA 在组策略设置中。
- 将“隐藏”属性应用于当前文件。
- 能够删除当前文件。
非活动功能
在分析引导加载程序和主模块期间,发现了负责附加功能的函数,但它们没有在任何地方使用。 这可能是因为该恶意软件仍在开发中,功能很快就会扩展。
装载机AtProtect
发现一个函数负责加载并注入到进程中 msiexec.exe的 任意模块。
数据窃取者
- 系统整合
- 解压解密功能
网络通信过程中的数据加密很可能很快就会实现。 - 终止防病毒进程
zlclient | DVP95_0 | 帕夫谢德 | 平均服务9 |
埃吉 | 易擎 | 帕瓦夫 | avgserv9schedapp |
代理 | 易安全 | PCCIOMON | 平均宝石 |
npf消息 | 埃斯普手表 | 电脑管理系统 | 灰网 |
奥林德布格 | F-Agnt95 | PCCWIN98 | 灰烬显示 |
阿努比斯 | 芬德维尔 | 电脑壁图标 | 阿什迈斯夫 |
Wireshark的 | 普罗特 | 珀斯夫夫 | 阿什服务 |
阿瓦斯图伊 | F-普罗特 | POP3陷阱 | aswUpdSv |
_AVP32 | F-Prot95 | PVIEW95 | 符号世界 |
VSMON | Fp-Win | Rav7 | 诺顿 |
姆巴姆 | 帧率 | 拉夫7win | 诺顿自动防护 |
密码器 | F-停止 | 营救 | 诺顿AV |
_Avpcc | 亚马普 | 安全网 | 诺托纳夫 |
_Avpm | 即时服务 | Scan32 | ccsetmgr |
阿克温32 | 伊布马森 | Scan95 | ccevtmgr |
Outpost | 伊布马夫斯普 | 扫描仪 | 管理员 |
反木马 | 负载95 | 扫描仪 | AV中心 |
抗病毒药 | 负载电流 | 伺服95 | 平均 |
Apvxdwin | 伊克蒙 | SMC | 前卫 |
轨道 | icsupp95 | SMC服务 | avnotify |
自动下降 | 中断 | 鼻息声 | AV扫描 |
爱维康索尔 | 我面对 | 人头狮身 | 守卫者 |
Ave32 | 伊奥蒙98 | 扫一扫 | 诺德32krn |
平均控制 | 绝地 | SYMPROXYSVC | 诺德32奎 |
AVK服务 | 封锁2000 | 扫描仪 | 蛤蜊扫描仪 |
阿文特 | 小心 | TCA | 蛤蜊托盘 |
四月 | 卢尔 | TDS2-98 | 蛤赢 |
AVP32 | 麦卡菲 | Tds2-Nt | freshclam的 |
AVPCC | 莫利夫 | 特米网 | 奥拉丁 |
Avpdos32 | MP托盘 | 兽医95 | 信号工具 |
平均平均流速 | N32扫描仪 | 维特雷 | w9xpopen |
AVPTC32 | NAVAPSVC | Vscan40 | 关闭 |
AVPUPD | NAVAPW32 | 威塞康 | 厘米格 |
Avsched32 | 海军陆战队32 | Vshwin32 | 服务 |
AVSYNMGR | 纳文特 | 电压统计 | 麦克希尔德 |
AVWIN95 | 导航系统 | 网络扫描仪 | VSHWIN32 |
AVWUPD32 | 导航W32 | 网络陷阱 | AVConsol |
布莱克德 | 纳温特 | Wfindv32 | 对比状态 |
黑冰 | 新手表 | ZoneAlarm的 | AV同步器 |
管理员 | NIS服务 | 封锁2000 | AV命令 |
审计委员会 | 尼苏姆 | 救援32 | AV配置 |
金融网 | 主网 | 卢康服务器 | 利姆格 |
云网32 | 规范主义者 | 平均CC | 附表: |
爪95 | NORTON | 平均CC | 预准备 |
爪95cf | 努普格莱德 | AVGAMSVR | 工程师小姐 |
清洁工人 | NVC95 | AVGUPSVC | 崔女士 |
清洁剂3 | Outpost | 平均总重量 | Avira 系统托盘 |
防御观察 | 帕德明 | 平均CC32 | |
dvp95 | 帕夫尔 | 平均服务 |
- 自我毁灭
- 从指定的资源清单加载数据
- 沿路径复制文件 %Temp%tmpG[当前日期和时间(以毫秒为单位)].tmp
有趣的是,AgentTesla 恶意软件中也存在相同的功能。 - 蠕虫功能
恶意软件接收可移动媒体列表。 在媒体文件系统的根目录中创建恶意软件的副本,名称为 系统程序。 自动运行是使用文件实现的 AUTORUN.INF.
攻击者简介
在对命令中心的分析过程中,可以确定开发人员的电子邮件和昵称 - Razer,又名 Brwa、Brwa65、HiDDen PerSOn、404 Coder。 接下来,我们在 YouTube 上发现了一个有趣的视频,演示了与构建器的合作。
这样就可以找到原来的开发者渠道了。
很明显,他有编写密码学家的经验。 还有社交网络页面的链接以及作者的真实姓名。 原来他是伊拉克居民。
这就是 404 键盘记录程序开发人员的样子。 照片来自他的个人 Facebook 个人资料。
CERT Group-IB 宣布了一种新威胁 - 404 Keylogger - 位于巴林的 XNUMX 小时网络威胁 (SOC) 监控和响应中心。
来源: habr.com