近年來,移動木馬一直在積極取代個人電腦木馬,因此,針對舊「汽車」的新惡意軟體的出現以及網路犯罪分子的積極使用,儘管令人不快,但仍然是一個事件。 最近,CERT Group-IB 的 XNUMX/XNUMX 資訊安全事件回應中心偵測到一封不尋常的網路釣魚電子郵件,其中隱藏了一種結合了 Keylogger 和 PasswordStealer 功能的新型 PC 惡意軟體。 分析師的注意力被吸引到間諜軟體如何透過流行的語音信使進入使用者的電腦。 伊利亞·波梅蘭采夫CERT Group-IB 的惡意軟體分析專家解釋了該惡意軟體的工作原理、其危險性,甚至在遙遠的伊拉克找到了它的創建者。
那麼,我們就按順序來吧。 在附件的幌子下,這樣的信件包含一張圖片,用戶點擊圖片後就會被帶到該網站 cdn.discordapp.com,並從那裡下載了惡意檔案。
使用免費的語音和文字訊息工具 Discord 是一種非常規的方式。 通常,其他即時通訊工具或社交網路用於這些目的。
在更詳細的分析過程中,發現了一系列惡意軟體。 原來它是惡意軟體市場的新進者—— 404 鍵盤記錄器.
第一個銷售鍵盤記錄器的廣告發佈於 黑客論壇 404 月 8 日,由暱稱「XNUMX Coder」的用戶發布。
該商店域名是最近註冊的 - 7 年 2019 月 XNUMX 日。
正如開發者在網站上所說 404projects[.]xyz, 404 是一種工具,旨在幫助公司了解客戶的活動(在他們的許可下)或為那些想要保護其二進位檔案免受逆向工程影響的人提供。 展望未來,讓我們說最後一個任務 404 絕對應付不了。
我們決定反轉其中一個檔案並檢查「BEST SMART KEYLOGGER」是什麼。
惡意軟體生態系統
載入程式 1 (AtillaCrypter)
原始檔使用以下方式進行保護 Eax混淆器 並執行兩步驟加載 保護 來自資源部分。 在分析 VirusTotal 上發現的其他樣本時,很明顯這個階段不是開發人員自己提供的,而是由他的客戶添加的。 後來確定這個引導程式是AtillaCrypter。
引導程式 2(AtProtect)
事實上,這個載入器是惡意軟體的一個組成部分,按照開發者的意圖,應該承擔反分析的功能。
然而,在實踐中,保護機制非常原始,我們的系統成功地偵測到了這種惡意軟體。
主模組使用加載 Franchy Shell程式碼 不同的版本。 但是,我們不排除可以使用其他選項,例如, 運行PE.
設定檔
系統整合
引導程式確保系統整合 保護,如果設定了相應的標誌。
- 文件沿著路徑複製 %AppData%GFqaakZpzwm.exe.
- 文件已建立 %AppData%GFqaakWinDriv.url,發射 執行程式.
- 在線程中 HKCU軟體MicrosoftWindows目前版本運行 建立啟動密鑰 WinDriv.url.
與命令與征服的互動
裝載機AtProtect
如果存在適當的標誌,惡意軟體可以啟動隱藏進程 IEXPLORER 並按照指定的連結通知伺服器感染成功。
資料竊取者
無論使用哪種方法,網路通訊都是從使用資源獲取受害者的外部IP開始的 [http]://checkip[.]dyndns[.]org/.
使用者代理:Mozilla/4.0(相容;MSIE 6.0;Windows NT 5.2;.NET CLR1.0.3705;)
訊息的一般結構是相同的。 標頭存在
|——- 404 鍵盤記錄器 — {類型} ——-|哪裡 {類型} 對應於正在傳輸的資訊的類型。
以下是有關係統的資訊:
_______ + 受害者資訊 + _______
IP:{外部IP}
所有者名稱:{電腦名稱}
作業系統名稱:{作業系統名稱}
作業系統版本:{作業系統版本}
作業系統平台:{平台}
記憶體大小:{記憶體大小}
______________________________
最後是傳輸的資料。
SMTP
信函的主題如下: 404K | {訊息類型} | 客戶名稱:{使用者名稱}.
有趣的是,送信 404 鍵盤記錄器 使用開發人員的 SMTP 伺服器。
這使得可以識別一些客戶以及其中一位開發人員的電子郵件。
則fTP
使用此方法時,收集的資訊將保存到文件中並立即從那裡讀取。
此操作背後的邏輯並不完全清楚,但它為編寫行為規則創建了一個額外的工件。
%HOMEDRIVE%%HOMEPATH%DocumentsA{任意數字}.txt
引擎收錄
經分析,此方法僅用於傳輸被盜密碼。 此外,它不是作為前兩者的替代品,而是並行使用。 條件是常數的值等於“Vavaa”。 據推測,這是客戶的名字。
透過 API 透過 https 協定進行交互 引擎收錄. 意義 api_paste_private 是 PASTE_UNLISTED 貼上,這禁止在以下位置搜尋此類頁面 引擎收錄.
加密演算法
從資源中檢索文件
有效負載儲存在引導程式資源中 保護 點陣圖影像的形式。 提取分幾個階段進行:
- 從圖像中提取位元組數組。 每個像素被視為按 BGR 順序的 3 個位元組的序列。 提取後,數組的前 4 個位元組儲存訊息的長度,後續位元組儲存訊息本身。
- 關鍵是計算出來的。 為此,MD5 是根據指定為密碼的值“ZpzwmjMJyfTNiRalKVrcSkxCN”計算的。 產生的哈希值被寫入兩次。
- 使用ECB模式下的AES演算法進行解密。
惡意功能
下載
在引導程式中實現 保護.
- 透過聯繫 [activelink-替換] 請求伺服器的狀態以確認它已準備好提供文件。 伺服器應該返回 “上”.
- 通過參考 [下載連結-替換] 有效負載已下載。
- 同 FranchyShell程式碼 有效負載被注入到進程中 [注入-替換].
域分析期間 404projects[.]xyz VirusTotal 上也發現了其他實例 404 鍵盤記錄器,以及幾種類型的裝載機。
按照慣例,它們分為兩種:
- 下載是從資源進行的 404projects[.]xyz.
資料採用 Base64 編碼和 AES 加密。 - 此選項由多個階段組成,最有可能與引導程式結合使用 保護.
- 在第一階段,資料載入自 引擎收錄 並使用函數解碼 十六進位轉位元組.
- 第二階段,載荷源為 404projects[.]xyz。 然而,解壓縮和解碼功能與 DataStealer 中的類似。 最初可能計劃在主模組中實現引導程式功能。
- 在此階段,有效負載已以壓縮形式存在於資源清單中。 在主模組中也發現了類似的提取功能。
在分析的文件中發現了下載程序 新澤西州, 間諜門 和其他 RAT。
鍵盤記錄
日誌發送週期:30分鐘。
支援所有字元。 特殊字符被轉義。 對 BackSpace 和 Delete 鍵進行處理。 區分大小寫。
剪貼簿記錄器
日誌發送週期:30分鐘。
緩衝區輪詢週期:0,1秒。
實現了連結轉義。
螢幕記錄器
日誌發送週期:60分鐘。
截圖保存在 %HOMEDRIVE%%HOMEPATH%Documents404k404pic.png.
發送資料夾後 404k 被刪除。
密碼竊取者
| 瀏覽器 | 郵件客戶端 | FTP客戶端 |
|---|---|---|
| Chrome瀏覽器 | Outlook | FileZilla中 |
| 火狐瀏覽器 | 雷鳥 | |
| 設備SeaMonkey | FOXMAIL | |
| Icedragon | ||
| 蒼白的月亮 | ||
| Cyberfox | ||
| Chrome瀏覽器 | ||
| 勇敢瀏覽器 | ||
| QQ瀏覽器 | ||
| 銥星瀏覽器 | ||
| Xvast瀏覽器 | ||
| 切多 | ||
| 360瀏覽器 | ||
| 葛摩多龍 | ||
| 360鉻 | ||
| 超級鳥 | ||
| 中央瀏覽器 | ||
| 幽靈瀏覽器 | ||
| 鐵瀏覽器 | ||
| 鉻 | ||
| 維瓦爾第 | ||
| Slimjet瀏覽器 | ||
| 軌道 | ||
| 椰子 | ||
| 火炬 | ||
| UC瀏覽器 | ||
| 史詩瀏覽器 | ||
| 葉盤瀏覽器 | ||
| Opera |
動態分析的反作用
- 檢查進程是否正在分析
使用流程搜尋進行 taskmgr就是, 進程黑客, 過程exp64, 進程, 進程監控程式。 如果至少找到一個,惡意軟體就會退出。
- 檢查您是否處於虛擬環境中
使用流程搜尋進行 虛擬機器工具, VGAuth服務, 虛擬機, VBox服務, 垂直盒托盤。 如果至少找到一個,惡意軟體就會退出。
- 5秒入睡
- 不同類型對話框的演示
可用於繞過一些沙箱。
- 繞過UAC
透過編輯註冊表項來執行 EnableLUA 在群組原則設定中。
- 將“隱藏”屬性套用至目前檔案。
- 能夠刪除目前文件。
非活動功能
在分析引導程式和主模組期間,發現了負責附加功能的函數,但它們沒有在任何地方使用。 這可能是因為該惡意軟體仍在開發中,功能很快就會擴展。
裝載機AtProtect
發現一個函數負責載入並注入到進程中 msiexec.exe的 任意模組。
資料竊取者
- 系統整合
- 解壓縮解密功能
網路通訊過程中的資料加密很可能很快就會實現。 - 終止防毒進程
| zlclient | DVP95_0 | 帕夫謝德 | 平均服務9 |
| 埃吉 | 易擎 | 帕瓦夫 | avgserv9schedapp |
| 代理商 | 易安全 | PCCIOMON | 平均寶石 |
| npf訊息 | 埃斯普手錶 | 電腦管理系統 | 灰網 |
| 奧林德布格 | F-Agnt95 | PCCWIN98 | 灰燼顯示 |
| 阿努比斯 | 芬德維爾 | 電腦壁圖示 | 阿什邁斯夫 |
| Wireshark的 | 普羅特 | 珀斯夫 | 阿什服務 |
| 阿瓦斯圖伊 | F-普羅特 | POP3陷阱 | aswUpdSv |
| _AVP32 | F-Prot95 | PVIEW95 | 符號世界 |
| VSMON | Fp-Win | Ravxnumx | 諾頓 |
| 巴姆 | 前輪 | 拉夫7win | 諾頓自動防護 |
| 鍵擾碼器 | F-停止 | 營救 | 諾頓AV |
| _Avpcc | 亞馬普 | 安全網 | 諾托納夫 |
| _Avpm | 即時服務 | Scan32 | ccsetmgr |
| 阿克溫32 | 伊布馬森 | Scan95 | ccevtmgr |
| 前哨 | 伊布馬夫斯普 | 掃描儀 | 管理員 |
| 防木馬 | 負載95 | 掃描儀 | AV中心 |
| 抗病毒藥 | 負載電流 | 服務95 | 平均 |
| Apvxdwin | 伊克蒙 | SMC | 前衛 |
| 軌道 | icsupp95 | SMC服務 | avnotify |
| 自動下降 | 中斷 | 哼 | AV掃描 |
| 愛維康索爾 | 我面對 | 人頭獅身 | 守衛者 |
| 32 大道 | 伊奧蒙98 | 掃一掃 | 諾德32krn |
| 平均控制 | 絕地 | SYMPROXYSVC | 諾德32奎 |
| AVK服務 | 封鎖2000 | 掃描儀 | 蛤掃描 |
| 阿文特 | 小心 | 鉈 | 蛤蜊托盤 |
| AVP | 盧奧爾 | TDS2-98 | 蛤贏 |
| AVP32 | 馬卡菲 | Tds2-Nt | freshclam的 |
| AVPCC | 莫利夫 | 特米網 | 歐拉丁 |
| Avpdos32 | MP托盤 | 獸醫95 | 簽名工具 |
| 平均平均流速 | N32掃描儀 | 維特雷 | w9xpopen |
| AVPTC32 | NAVAPSVC | Vscan40 | 關閉 |
| AVPUPD | NAVAPW32 | 威塞康 | 厘米格 |
| Avsched32 | 海軍陸戰隊32 | Vshwin32 | 服務 |
| AVSYNMGR | 納文特 | 電壓統計 | 麥克希爾德 |
| AVWIN95 | 導航系統 | 網路掃描儀 | VSHWIN32 |
| AVWUPD32 | 導航W32 | 網路陷阱 | AVConsol |
| 布萊克德 | 納溫特 | Wfindv32 | 對比狀態 |
| 黑冰 | 新手錶 | ZoneAlarm的 | AV同步器 |
| 管理員 | NIS服務 | 封鎖2000 | AV命令 |
| 審計委員會 | 尼蘇姆 | 救援32 | AV配置 |
| 金融網 | 主網 | 盧康伺服器 | 利姆格 |
| 雲端網32 | 規範主義者 | 平均CC | 預定的 |
| 爪95 | NORTON | 平均CC | 預先準備 |
| 爪95cf | 努普格萊德 | AVGAMSVR | 工程師小姐 |
| 清潔器 | NVC95 | AVGUPSVC | 崔女士 |
| 清潔工3 | 前哨 | 平均總重量 | Avira 系統托盤 |
| 防禦觀察 | 帕德明 | 平均CC32 | |
| dvp95 | 帕夫爾 | 平均服務 |
- 自我毀滅
- 從指定的資源清單載入數據
- 沿路徑複製文件 %Temp%tmpG[目前日期和時間(以毫秒為單位)].tmp
有趣的是,AgentTesla 惡意軟體中也存在相同的功能。 - 蠕蟲功能
惡意軟體接收可移動媒體清單。 在媒體檔案系統的根目錄中建立惡意軟體的副本,名稱為 系統程式。 自動運行是使用檔案實現的 AUTORUN.INF.
攻擊者簡介
在對命令中心的分析過程中,可以確定開發人員的電子郵件和暱稱 - Razer,又名 Brwa、Brwa65、HiDDen PerSOn、404 Coder。 接下來,我們在 YouTube 上發現了一個有趣的視頻,演示了與構建器的合作。
這樣就可以找到原來的開發者管道了。
很明顯,他有編寫密碼學家的經驗。 還有社群網路頁面的連結以及作者的真實姓名。 原來他是伊拉克居民。
這就是 404 鍵盤記錄程式開發人員的樣子。 照片來自他的個人 Facebook 個人資料。
CERT Group-IB 宣布了一種新威脅 - 404 Keylogger - 位於巴林的 XNUMX 小時網路威脅 (SOC) 監控和回應中心。
來源: www.habr.com