In den letzten Jahren haben mobile Trojaner Trojaner für PCs abgelöst, so dass die Entstehung neuer Malware unter den guten alten „Autos“ und deren aktive Nutzung durch Cyberkriminelle zwar unangenehm, aber immer noch ein Ereignis ist. Kürzlich hat das rund um die Uhr verfügbare Reaktionszentrum der CERT Group-IB für Sicherheitsvorfälle eine ungewöhnliche Phishing-Liste aufgezeichnet, in der eine neue Malware für den PC versteckt ist, die die Funktionen von Keylogger und PasswordStealer kombiniert. Die Aufmerksamkeit der Analysten wurde durch die Art und Weise erregt, in der die Spyware auf den Computer des Benutzers gelangt ist - mithilfe des beliebten Voice Messenger.
Ilya Pomerantsev , Experte für Malware-Analyse bei CERT Group-IB, erklärte, wie die Malware funktioniert, warum sie gefährlich ist, und fand sogar ihren Schöpfer - im fernen Irak.
Also, lass uns in Ordnung gehen. Unter dem Deckmantel eines Anhangs enthielt ein solcher Brief ein Bild, als der Benutzer auf
cdn.discordapp.com klickte und eine schädliche Datei von dort heruntergeladen wurde.
Die Verwendung von Discord, einem kostenlosen Sprach- und Text-Messenger, ist recht ungewöhnlich. In der Regel werden für diese Zwecke andere Messenger oder soziale Netzwerke verwendet.
In einer detaillierteren Analyse wurde die HPE-Familie etabliert. Es stellte sich heraus, dass
404 Keylogger ein Neuling auf dem Malware-Markt ist.
Die erste Ankündigung zum Keylogger-Verkauf wurde am
8. August von einem Benutzer mit dem Spitznamen „404 Coder“ in den
Hackforen veröffentlicht .
Die Domain des Stores wurde vor kurzem - am 7. September 2019 - registriert.
Wie die Entwickler von
404projects [.] Xyz ,
404 versichern, handelt es sich um ein Tool, das Unternehmen dabei unterstützt, sich über die Aktionen ihrer Kunden zu
informieren (mit deren Erlaubnis), oder das von denen benötigt wird, die ihre Binärdateien vor Reverse Engineering schützen möchten. Mit Blick auf die Zukunft sagen wir, dass
404 die letzte Aufgabe einfach nicht bewältigen kann.
Wir haben beschlossen, eine der Dateien umzuleiten und zu überprüfen, was "BEST SMART KEYLOGGER" ist.
HPE-Ökosystem
Bootloader 1 (AtillaCrypter)
Die Quelldatei ist mit
EaxObfuscator geschützt und führt einen zweistufigen Download von
AtProtect aus dem Ressourcenbereich durch. Bei der Analyse anderer auf VirusTotal gefundener Proben wurde deutlich, dass diese Phase nicht vom Entwickler selbst bereitgestellt, sondern von seinem Kunden hinzugefügt wurde. Es wurde weiterhin festgestellt, dass dieser Bootloader AtillaCrypter ist.
Bootloader 2 (AtProtect)
Tatsächlich ist dieser Bootloader ein wesentlicher Bestandteil von Malware und sollte laut Entwickler die Funktionalität übernehmen, um der Analyse entgegenzuwirken.
In der Praxis sind Schutzmechanismen jedoch äußerst primitiv, und unsere Systeme erkennen diese Malware erfolgreich.
Das Laden des Hauptmoduls erfolgt mit verschiedenen Versionen von
Franchy ShellCode . Wir schließen jedoch nicht aus, dass andere Optionen verwendet werden könnten, beispielsweise
RunPE .
Konfigurationsdatei
System-Pin
Die Befestigung am System
übernimmt der
AtProtect Loader, wenn das entsprechende Flag gesetzt ist.
- Die Datei wird unter dem Pfad % AppData% \\ GFqaak \\ Zpzwm.exe kopiert .
- Die Datei % AppData% \\ GFqaak \\ WinDriv.url wird erstellt und Zpzwm.exe gestartet .
- In der Verzweigung HKCU \\ Software \\ Microsoft \\ Windows \\ CurrentVersion \\ Run wird ein Schlüssel zum Starten von WinDriv.url erstellt .
Interaktion mit C & C
AtProtect Loader
Mit dem entsprechenden Flag kann Malware den versteckten
IEXPLORER- Prozess starten und dem angegebenen Link folgen, um den Server über eine erfolgreiche Infektion zu benachrichtigen.
DataStealer
Unabhängig von der verwendeten Methode beginnt die Netzwerkinteraktion mit dem
Abrufen der externen IP-
Adresse des Opfers mithilfe der
[http]: // checkip [.] Dyndns [.] -Org / -Ressource .
User-Agent: Mozilla / 4.0 (kompatibel; MSIE 6.0; Windows NT 5.2; .NET CLR1.0.3705;)
Die allgemeine Struktur der Nachricht ist dieselbe. Gegenwärtiger Header
| ------- 404 Keylogger - {Type} ------- | , wobei
{Typ} dem Typ der übertragenen Informationen entspricht.
Folgendes sind Systeminformationen:
_______ + VICTIM INFO + _______
IP: {Externe IP}
Name des Besitzers: {Computername}
Betriebssystemname: {Betriebssystemname}
OS-Version: {OS-Version}
Betriebssystem PlatForm: {Plattform}
RAM-Größe: {RAM-Größe}
______________________________
Und schließlich die übertragenen Daten.
SMTP
Der Betreff des Schreibens lautet wie folgt:
404 K | {Nachrichtentyp} | Kundenname: {Benutzername} .
Interessanterweise wird der SMTP-Server der Entwickler verwendet, um Briefe an den
404 Keylogger- Client zu übermitteln.
Dies ermöglichte es uns, einige Kunden sowie die E-Mail eines der Entwickler zu identifizieren.
FTP
Bei dieser Methode werden die gesammelten Informationen in einer Datei gespeichert und von dort sofort gelesen.
Die Logik dieser Aktion ist nicht ganz klar, aber sie schafft ein zusätzliches Artefakt zum Schreiben von Verhaltensregeln.
% HOMEDRIVE %% HOMEPATH% \\ Documents \\ A {Arbitrary Number} .txtPastebin
Zum Zeitpunkt der Analyse werden mit dieser Methode nur gestohlene Passwörter übertragen. Darüber hinaus wird es nicht als Alternative zu den ersten beiden verwendet, sondern parallel. Die Bedingung ist ein konstanter Wert gleich "Vavaa". Dies ist angeblich der Name des Kunden.
Die Interaktion erfolgt über das https-Protokoll über die
Pastebin- API. Der Wert für
api_paste_private ist
PASTE_UNLISTED , wodurch die Suche nach solchen Seiten im
Pastebin verhindert wird .
Verschlüsselungsalgorithmen
Datei aus Ressourcen extrahieren
Die Nutzdaten werden in Form von Bitmap-Bildern in den Ressourcen des
AtProtect-Loaders gespeichert. Die Extraktion erfolgt in mehreren Stufen:
- Aus dem Bild wird ein Array von Bytes extrahiert. Jedes Pixel wird als Folge von 3 Bytes in BGR-Reihenfolge behandelt. Nach dem Extrahieren speichern die ersten 4 Bytes des Arrays die Länge der Nachricht, die nächste - die Nachricht selbst.
- Der Schlüssel wird berechnet. Dazu wird MD5 aus dem als Passwort angegebenen Wert "ZpzwmjMJyfTNiRalKVrcSkxCN" berechnet. Der resultierende Hash wird zweimal geschrieben.
- Die Entschlüsselung erfolgt durch den AES-Algorithmus im ECB-Modus.
Schädliche Funktionalität
Downloader
Implementiert im
AtProtect Bootloader.
- Wenn Sie sich mit [activelink-repalce] in Verbindung setzen, wird der Serverstatus angefordert, damit Sie die Datei bereitstellen können. Der Server sollte "ON" zurückgeben .
- Verwenden Sie den Link [downloadlink-replace] , um die Nutzdaten herunterzuladen.
- FranchyShellcode injiziert die Nutzlast in den [inj-replace] -Prozess.
Eine Analyse der
404Projects [.] Xyz- Domäne in VirusTotal ergab, dass
404 Keylogger und verschiedene Downloader-Typen zusätzlich
installiert wurden .
Üblicherweise werden sie in zwei Typen unterteilt:
- Der Download erfolgt aus der Ressource 404projects [.] Xyz .
Die Daten sind Base64-verschlüsselt und AES-verschlüsselt.
- Diese Option besteht aus mehreren Stufen und wird höchstwahrscheinlich in Verbindung mit dem AtProtect- Loader verwendet.
- In der ersten Phase werden Daten aus dem Pastebin heruntergeladen und mit der HexToByte- Funktion dekodiert.
- In der zweiten Phase dienen die 404-Projekte [.] Xyz selbst als Quelle für das Laden. Die Dekomprimierungs- und Dekodierungsfunktionen ähneln denen in DataStealer. Ursprünglich war wahrscheinlich geplant, die Bootloader-Funktionalität im Hauptmodul zu implementieren.
- Zu diesem Zeitpunkt befindet sich die Nutzlast bereits in komprimierter Form im Ressourcenmanifest. Ähnliche Extraktionsfunktionen wurden auch im Hauptmodul gefunden.
Unter den analysierten Dateien befanden sich die Loader
njRat ,
SpyGate und andere RAT.
Keylogger
Protokollsendezeit: 30 Minuten.
Alle Zeichen werden unterstützt. Sonderzeichen werden ausgeblendet. Es erfolgt eine Bearbeitung der Schlüssel BackSpace und Delete. Groß- und Kleinschreibung beachten.
Zwischenablage-Logger
Protokollsendezeit: 30 Minuten.
Pufferabrufzeit: 0,1 Sekunden.
Escape-Links implementiert.
Screenlogger
Protokollsendezeit: 60 Minuten.
Screenshots werden in
% HOMEDRIVE %% HOMEPATH% \\ Documents \\ 404k \\ 404pic.png gespeichert .
Nach dem Senden wird der
404k- Ordner gelöscht.
PasswordStealer
Dynamischen Analysen entgegenwirken
- Überprüfung des zu analysierenden Prozesses
Es wird ausgeführt, indem nach den Prozessen taskmgr , ProcessHacker , procexp64 , procexp , procmon gesucht wird . Wird mindestens eine gefunden, wird die Malware beendet. - Stellen Sie sicher, dass Sie sich in einer virtuellen Umgebung befinden
Dies wird durch die Suchprozesse vmtoolsd , VGAuthService , vmacthlp , VBoxService , VBoxTray ausgeführt . Wird mindestens eine gefunden, wird die Malware beendet. - 5 Sekunden einschlafen
- Demonstration verschiedener Arten von Dialogfeldern
Es kann verwendet werden, um einige Sandkästen zu umgehen. - UAC-Umgehung
Dies erfolgt durch Bearbeiten des Registrierungsschlüssels EnableLUA in den Gruppenrichtlinieneinstellungen. - Anwenden des Secretive-Attributs auf die aktuelle Datei.
- Möglichkeit zum Löschen der aktuellen Datei.
Inaktive Funktionen
Bei der Analyse des Bootloaders und des Hauptmoduls wurden die Funktionen gefunden, die für die zusätzliche Funktionalität verantwortlich sind, sie werden jedoch nirgendwo verwendet. Dies liegt wahrscheinlich daran, dass sich die Malware noch in der Entwicklung befindet und bald die Funktionalität erweitert wird.
AtProtect Loader
Es wurde eine Funktion gefunden, die für das Laden und
Einfügen eines beliebigen Moduls in den Prozess
msiexec.exe verantwortlich ist.
DataStealer
- System-Pin
- Dekomprimierungs- und Entschlüsselungsfunktionen
Möglicherweise wird die Verschlüsselung von Daten während der Netzwerkinteraktion bald implementiert.
- Antivirus-Prozesse beenden
- Selbstzerstörung
- Laden von Daten aus dem angegebenen Ressourcenmanifest
- Kopieren der Datei entlang des Pfads % Temp% \\ tmpG \\ [Aktuelles Datum und Uhrzeit in Millisekunden] .tmp
Interessanterweise ist in AgentTesla-Malware eine identische Funktion vorhanden.
- Wurm-Funktionalität
Malware erhält eine Liste von Wechselmedien. Eine Kopie der Malware wird im Stammverzeichnis des Mediendateisystems mit dem Namen Sys.exe erstellt . Autostart wird mithilfe der Datei autorun.inf implementiert.
Eindringlingsprofil
Während der Analyse der Kommandozentrale konnten Mail und Nickname des Entwicklers ermittelt werden - Razer, aka Brwa, Brwa65, HiDDen PerSOn, 404 Coder. Dann wurde auf YouTube ein kurioses Video gefunden, das die Arbeit mit dem Erbauer demonstriert.
Dadurch konnten wir den ursprünglichen Entwicklerkanal finden.
Es wurde klar, dass er Erfahrung im Schreiben von Kryptoren hatte. Es gibt auch Links zu Seiten in sozialen Netzwerken sowie den richtigen Namen des Autors. Es stellte sich heraus, dass er im Irak ansässig war.
So soll der Entwickler des 404 Keylogger aussehen. Fotos aus seinem persönlichen Facebook-Profil.
CERT Group-IB hat eine neue Bedrohung angekündigt - 404 Keylogger, ein 24-Stunden-Überwachungs- und Reaktionszentrum für Cyber-Bedrohungen in Bahrain.