كلوغر مع مفاجأة: تحليل كلوغر وعميد مطورها

في السنوات الأخيرة ، كانت أحصنة طروادة المتنقلة تعمل بنشاط على استبدال أحصنة طروادة لأجهزة الكمبيوتر الشخصية ، وبالتالي ظهور برامج ضارة جديدة تحت "السيارات" القديمة الجيدة واستخدامها الفعلي من قبل مجرمي الإنترنت ، على الرغم من أنها غير سارة ، ولكنها لا تزال حدثًا. في الآونة الأخيرة ، سجل مركز الاستجابة CERT Group-IB على مدار الساعة لحوادث أمن المعلومات قائمة تصيد غير عادية ، والتي أخفت برامج ضارة جديدة لجهاز الكمبيوتر ، والجمع بين وظائف Keylogger و PasswordStealer. انجذبت انتباه المحللين بالطريقة التي دخلت بها برامج التجسس على جهاز المستخدم - باستخدام برنامج المراسلة الصوتية الشهير. ايليا بوميرانتسيف ، الخبير في تحليل البرامج الضارة في CERT Group-IB ، أخبر كيف تعمل البرامج الضارة ، ولماذا هي خطيرة ، وحتى وجدت منشئها - في العراق البعيد.


لذلك ، دعنا نذهب بالترتيب. تحت ستار المرفق ، تحتوي هذه الرسالة على صورة ، وعند النقر فوقها ، وصل المستخدم إلى cdn.discordapp.com ، وتم تنزيل ملف ضار من هناك.

استخدام Discord ، صوت ورسالة نصية مجانية ، أمر غير معتاد. عادة ما يتم استخدام رسل أو شبكات اجتماعية أخرى لهذه الأغراض.


في تحليل أكثر تفصيلا ، تم تأسيس عائلة HPE. اتضح أن الوافد الجديد إلى سوق البرمجيات الخبيثة - 404 كلوغر .

تم نشر أول إعلان عن بيع كلوغر على hackforums بواسطة مستخدم يحمل الاسم المستعار "404 Coder" في الثامن من أغسطس.



تم تسجيل نطاق المتجر مؤخرًا - 7 سبتمبر ، 2019.


كما يؤكد المطورون على الموقع 404 مشروع [.] Xyz ، 404 ، هذه أداة تم إنشاؤها لمساعدة الشركات على التعرف على تصرفات عملائها ( بإذنهم ) أو يحتاجها أولئك الذين يريدون حماية ملفهم الثنائي من الهندسة العكسية. بالنظر إلى المستقبل ، دعنا نقول أن 404 فقط لا يمكن التعامل مع المهمة الأخيرة.



قررنا إعادة توجيه أحد الملفات والتحقق من ماهية "BEST SMART KEYLOGGER".

النظام البيئي HPE

Bootloader 1 (AtillaCrypter)

الملف المصدر محمي بواسطة EaxObfuscator ويقوم بتنزيل AtProtect من خطوتين من قسم الموارد. في تحليل العينات الأخرى الموجودة على VirusTotal ، أصبح من الواضح أن هذه المرحلة لم يقدمها المطور نفسه ، ولكن تمت إضافتها بواسطة عميله. ثبت كذلك أن أداة تحميل التشغيل هذه هي AtillaCrypter.

بووتلوأدر 2 (AtProtect)

في الواقع ، يعتبر أداة تحميل التشغيل هذه جزءًا لا يتجزأ من البرامج الضارة ، ووفقًا للمطور ، يجب أن يتولى وظيفة مكافحة التحليل.


ومع ذلك ، في الممارسة العملية ، آليات الحماية بدائية للغاية ، وأنظمتنا تكتشف بنجاح هذه البرامج الضارة.

يتم إجراء تحميل الوحدة الرئيسية باستخدام إصدارات مختلفة من Franchy ShellCode . ومع ذلك ، لا نستبعد إمكانية استخدام خيارات أخرى ، على سبيل المثال ، RunPE .

ملف التكوين

دبوس النظام

يتم توفير التثبيت على النظام بواسطة محمل AtProtect ، إذا تم تعيين العلامة المقابلة.

• يتم نسخ الملف على طول المسار ٪ AppData٪ \\ GFqaak \\ Zpzwm.exe .
• يتم إنشاء الملف ٪ AppData٪ \\ GFqaak \\ WinDriv.url ، بدء تشغيل Zpzwm.exe .
• في فرع HKCU \\ Software \\ Microsoft \\ Windows \\ CurrentVersion \\ Run ، يتم إنشاء مفتاح لبدء WinDriv.url .

التفاعل مع C&C

AtProtect Loader

باستخدام العلامة المناسبة ، يمكن أن تبدأ البرامج الضارة عملية iexplorer المخفية وتتبع الرابط المحدد لإعلام الخادم بالإصابة الناجحة.

DataStealer

بغض النظر عن الطريقة المستخدمة ، يبدأ تفاعل الشبكة بالحصول على IP الخارجي للضحية باستخدام [http]: // checkip [.] Dyndns [.] Org / resource.

وكيل المستخدم: Mozilla / 4.0 (متوافق ؛ MSIE 6.0 ؛ Windows NT 5.2 ؛ .NET CLR1.0.3705 ؛)

الهيكل العام للرسالة هو نفسه. العنوان الحالي
| ------- 404 Keylogger - {Type} ------- | ، حيث يتوافق {type} مع نوع المعلومات المرسلة.
ما يلي هو معلومات النظام:

_______ + VICTIM INFO + _______

IP: {External IP}
اسم المالك: {اسم الكمبيوتر}
اسم نظام التشغيل: {OS Name}
إصدار نظام التشغيل: {OS Version}
OS PlatForm: {Platform}
حجم ذاكرة الوصول العشوائي: {RAM Size}
______________________________

وأخيرا ، البيانات المرسلة.

SMTP

موضوع الرسالة على النحو التالي: 404 K | {نوع الرسالة} | اسم العميل: {اسم المستخدم} .

ومن المثير للاهتمام ، يتم استخدام خادم SMTP للمطورين لتسليم رسائل إلى عميل 404 Keylogger .


هذا سمح لنا بتحديد بعض العملاء ، وكذلك بريد أحد المطورين.

FTP

عند استخدام هذه الطريقة ، يتم تخزين المعلومات التي تم جمعها في ملف وقراءتها من هناك على الفور.


منطق هذا الإجراء ليس واضحًا تمامًا ، ولكنه يخلق قطعة أثرية إضافية لكتابة القواعد السلوكية.

٪ HOMEDRIVE ٪٪ HOMEPATH٪ \\ Documents \\ A {Arbitrary Number} .txt

باستبين

في وقت التحليل ، تستخدم هذه الطريقة فقط لنقل كلمات المرور المسروقة. علاوة على ذلك ، يتم استخدامه ليس كبديل عن الأولين ، ولكن بالتوازي. الشرط هو قيمة ثابتة تساوي "فافا". هذا هو المفترض اسم العميل.


يحدث التفاعل عبر بروتوكول https من خلال واجهة برمجة تطبيقات pastebin . قيمة api_paste_private هي PASTE_UNLISTED ، والتي تحظر البحث عن مثل هذه الصفحات في pastebin .

خوارزميات التشفير

استخراج الملف من الموارد

يتم تخزين الحمولة في موارد محمل AtProtect في شكل صور نقطية. يتم الاستخراج على عدة مراحل:

• يتم استخراج مجموعة من وحدات البايت من الصورة. يتم التعامل مع كل بكسل كسلسلة من 3 بايت في ترتيب BGR. بعد الاستخراج ، تخزن أول 4 بايت من المصفوفة طول الرسالة ، التالي - الرسالة نفسها.
  
  
  
• يتم حساب المفتاح. للقيام بذلك ، يتم حساب MD5 من القيمة "ZpzwmjMJyfTNiRalKVrcSkxCN" المحددة ككلمة مرور. تتم كتابة التجزئة الناتجة مرتين.
  
  
  
• يتم تنفيذ فك التشفير بواسطة خوارزمية AES في وضع البنك المركزي الأوروبي.
  

وظيفة ضارة

تحميل

مطبق في محمل الإقلاع AtProtect .

• عن طريق الاتصال بـ [activelink-repalce] ، يُطلب من حالة الخادم أن تكون جاهزة لتقديم الملف. يجب أن يعود الخادم "ON" .
• استخدم الرابط [downloadlink-replace] لتنزيل الحمولة النافعة.
• يقوم FranchyShellcode بضخ الحمولة النافعة في عملية [inj-replace] .

كشف تحليل لـ 404projects [.] مجال Xyz على VirusTotal عن حالات إضافية لـ 404 Keylogger ، بالإضافة إلى عدة أنواع من التنزيلات.


تقليديا ، وهي مقسمة إلى نوعين:

1. يتم تنفيذ التنزيل من المورد 404 مشاريع [.] Xyz .
   
   
   
   
   البيانات هي Base64 المشفرة و AES المشفرة.
   
2. يتكون هذا الخيار من عدة مراحل ويتم استخدامه على الأرجح مع محمل AtProtect .

• في المرحلة الأولى ، يتم تنزيل البيانات من pastebin وفك تشفيرها باستخدام وظيفة HexToByte .
  
  
  
• في المرحلة الثانية ، يخدم 404 مشروع [.] Xyz نفسها كمصدر للتحميل. تشبه وظائف فك الضغط وفك التشفير تلك الموجودة في DataStealer. ربما كان من المخطط أصلاً تنفيذ وظيفة أداة تحميل التشغيل في الوحدة الرئيسية.
  
  
  
• في هذه المرحلة ، تكون البيانات الفعلية موجودة بالفعل في بيان المورد في نموذج مضغوط. تم العثور على وظائف استخراج مماثلة أيضا في الوحدة الرئيسية.

من بين الملفات التي تم تحليلها تم العثور على اللوادر njRat و SpyGate و RAT الأخرى.

كلوغر

سجل فترة الإرسال: 30 دقيقة.

جميع الشخصيات مدعومة. هربت الشخصيات الخاصة. هناك معالجة مفاتيح BackSpace وحذف. قضية حساسة.

ClipboardLogger

سجل فترة الإرسال: 30 دقيقة.

فترة الاقتراع العازلة: 0.1 ثانية.

نفذت الروابط الهروب.

ScreenLogger

سجل فترة الإرسال: 60 دقيقة.

يتم حفظ لقطات الشاشة في ٪ HOMEDRIVE ٪٪ HOMEPATH٪ \\ Documents \\ 404k \\ 404pic.png .

بعد الإرسال ، يتم حذف المجلد 404k .

PasswordStealer

مواجهة التحليل الديناميكي

• التحقق من العملية قيد التحليل
  
  ويتم ذلك عن طريق البحث عن عمليات taskmgr و ProcessHacker و procexp64 و procexp و procmon . إذا تم العثور على واحد على الأقل ، يتم إنهاء البرامج الضارة.
• تحقق من أنك في بيئة افتراضية
  
  يتم تنفيذه من خلال عمليات البحث vmtoolsd ، VGAuthService ، vmacthlp ، VBoxService ، VBoxTray . إذا تم العثور على واحد على الأقل ، يتم إنهاء البرامج الضارة.
• النوم لمدة 5 ثوان
• عرض توضيحي لأنواع مختلفة من مربعات الحوار
  
  ويمكن استخدامه لتجاوز بعض صناديق الرمل.
• تجاوز UAC
  
  يتم ذلك عن طريق تحرير مفتاح التسجيل EnableLUA في إعدادات "نهج المجموعة".
• تطبيق السمة السرية على الملف الحالي.
• القدرة على حذف الملف الحالي.

ميزات غير نشطة

أثناء تحليل محمل الإقلاع والوحدة الرئيسية ، تم العثور على الوظائف المسؤولة عن الوظيفة الإضافية ، ولكنها غير مستخدمة في أي مكان. ربما يرجع هذا إلى حقيقة أن البرامج الضارة لا تزال قيد التطوير ، وسيتم توسيع الوظيفة قريبًا.

AtProtect Loader

تم العثور على وظيفة كانت مسؤولة عن تحميل وحقن وحدة نمطية عشوائية في عملية msiexec.exe .

DataStealer

• دبوس النظام
  
  
  
• وظائف تخفيف الضغط وفك التشفير
  
  
  
  
  
  
  
  ربما ، سيتم تنفيذ تشفير البيانات أثناء تفاعل الشبكة قريبًا.
  
• إنهاء عمليات مكافحة الفيروسات

• تدمير الذات
• تحميل البيانات من بيان المورد المحدد
  
  
  
• نسخ الملف على طول المسار ٪ Temp٪ \\ tmpG \\ [التاريخ والوقت الحالي بالميلي ثانية] .tmp
  
  
  
  
  ومن المثير للاهتمام ، وظيفة مماثلة موجودة في البرامج الضارة AgentTesla.
  
• وظائف دودة
  
  البرامج الضارة تتلقى قائمة الوسائط القابلة للإزالة. يتم إنشاء نسخة من البرامج الضارة في جذر نظام ملفات الوسائط باسم Sys.exe . يتم تطبيق التشغيل التلقائي باستخدام ملف autorun.inf .
  
  
  
  
  

الملف الشخصي الدخيل

أثناء تحليل مركز القيادة ، كان من الممكن إنشاء البريد واللقب للمطور - Razer ، الملقب Brwa ، Brwa65 ، HiDDen PerSOn ، 404 Coder. ثم تم العثور على فيديو غريب على YouTube ، يوضح العمل مع المنشئ.




هذا سمح لنا بالعثور على قناة المطور الأصلية.


أصبح من الواضح أنه كان لديه خبرة في كتابة المشفرات. هناك أيضًا روابط لصفحات على الشبكات الاجتماعية ، بالإضافة إلى الاسم الحقيقي للمؤلف. اتضح أنه من سكان العراق.



هذا ما يبدو عليه المطور 404 Keylogger. صور من ملفه الشخصي على Facebook.







أعلنت CERT Group-IB عن تهديد جديد - 404 كيلوغر ، مركز لمراقبة التهديدات السيبرانية على مدار 24 ساعة في البحرين.