Dalam beberapa tahun terakhir, trojan mobile telah secara aktif menggantikan trojan untuk komputer pribadi, sehingga munculnya malware baru di bawah "mobil" tua yang baik dan penggunaan aktif mereka oleh penjahat cyber, meskipun tidak menyenangkan, tetapi masih sebuah peristiwa. Baru-baru ini, pusat respons CERT Group-IB sepanjang waktu untuk insiden keamanan informasi mencatat daftar phishing yang tidak biasa, yang menyembunyikan malware baru untuk PC, menggabungkan fungsi Keylogger dan PasswordStealer. Perhatian para analis tertarik pada cara spyware masuk ke mesin pengguna - menggunakan voice messenger populer.
Ilya Pomerantsev , pakar analisis malware di CERT Group-IB, memberi tahu cara kerja malware itu, mengapa berbahaya, dan bahkan menemukan penciptanya - di Irak yang jauh.
Jadi, mari kita mulai. Dengan kedok lampiran, surat seperti itu berisi gambar, ketika diklik, pengguna harus
cdn.discordapp.com , dan file jahat diunduh dari sana.
Menggunakan Discord, voice dan text messenger gratis, sangat tidak biasa. Biasanya utusan atau jejaring sosial lain digunakan untuk tujuan ini.
Dalam analisis yang lebih rinci, keluarga HPE didirikan. Ternyata menjadi pendatang baru di pasar malware -
404 Keylogger .
Pengumuman penjualan keylogger pertama diposting di
hackforums oleh pengguna dengan nama panggilan "404 Coder" pada 8 Agustus.
Domain toko didaftarkan baru-baru ini - 7 September 2019.
Sebagai pengembang di situs
proyek 404 [.] Xyz ,
404 meyakinkan, ini adalah alat yang dibuat untuk membantu perusahaan mempelajari tentang tindakan pelanggan mereka (dengan izin mereka) atau diperlukan oleh mereka yang ingin melindungi file biner mereka dari rekayasa balik. Ke depan, katakanlah
404 tidak bisa mengatasi tugas terakhir.
Kami memutuskan untuk mengarahkan ulang salah satu file dan memeriksa apa βBEST SMART KEYLOGGERβ.
Ekosistem HPE
Bootloader 1 (AtillaCrypter)
File sumber dilindungi dengan
EaxObfuscator dan melakukan unduhan dua langkah
AtProtect dari bagian sumber daya. Dalam analisis sampel lain yang ditemukan di VirusTotal, menjadi jelas bahwa tahap ini tidak disediakan oleh pengembang sendiri, tetapi ditambahkan oleh kliennya. Lebih lanjut ditetapkan bahwa bootloader ini adalah AtillaCrypter.
Bootloader 2 (AtProtect)
Faktanya, bootloader ini merupakan bagian integral dari malware dan, menurut pengembang, ia harus mengambil alih fungsi untuk melawan analisis.
Namun, dalam praktiknya, mekanisme perlindungan sangat primitif, dan sistem kami berhasil mendeteksi malware ini.
Memuat modul utama dilakukan menggunakan berbagai versi
Franchy ShellCode . Namun, kami tidak mengecualikan bahwa opsi lain dapat digunakan, misalnya,
RunPE .
File konfigurasi
Pin sistem
Mengikat ke sistem disediakan oleh loader
AtProtect , jika flag yang sesuai diatur.
- File disalin di sepanjang jalan % AppData% \\ GFqaak \\ Zpzwm.exe .
- File % AppData% \\ GFqaak \\ WinDriv.url dibuat , mulai Zpzwm.exe .
- Di HKCU \\ Software \\ Microsoft \\ Windows \\ CurrentVersion \\ Jalankan cabang, kunci untuk memulai WinDriv.url dibuat .
Interaksi dengan C&C
AtProtect Loader
Dengan tanda yang sesuai, malware dapat memulai proses
iexplorer yang tersembunyi dan mengikuti tautan yang ditentukan untuk memberi tahu server tentang infeksi yang berhasil.
DataStealer
Terlepas dari metode yang digunakan, interaksi jaringan dimulai dengan memperoleh IP eksternal dari korban menggunakan
[http]: // checkip [.] Dyndns [.] Org / resource.
User-Agent: Mozilla / 4.0 (kompatibel; MSIE 6.0; Windows NT 5.2; .NET CLR1.0.3705;)
Struktur umum pesannya sama. Header yang ada
| ------- 404 Keylogger - {Type} ------- | , di mana
{type} sesuai dengan jenis informasi yang dikirim.
Berikut ini adalah informasi sistem:
_______ + INFO VICTIM + _______
IP: {IP Eksternal}
Nama Pemilik: {Nama Komputer}
Nama OS: {Nama OS}
Versi OS: {Versi OS}
OS PlatForm: {Platform}
Ukuran RAM: {Ukuran RAM}
______________________________
Dan akhirnya, data yang dikirimkan.
SMTP
Subjek surat itu adalah sebagai berikut:
404 K | {Jenis Pesan} | Nama Klien: {Nama Pengguna} .
Menariknya, server SMTP pengembang digunakan untuk mengirimkan surat ke klien
404 Keylogger .
Ini memungkinkan kami mengidentifikasi beberapa pelanggan, serta surat dari salah satu pengembang.
FTP
Saat menggunakan metode ini, informasi yang dikumpulkan disimpan dalam file dan segera dibaca dari sana.
Logika tindakan ini tidak sepenuhnya jelas, tetapi menciptakan artefak tambahan untuk menulis aturan perilaku.
% HOMEDRIVE %% HOMEPATH% \\ Dokumen \\ A {Nomor Sewenang-wenang} .txtPastebin
Pada saat analisis, metode ini hanya digunakan untuk mentransfer kata sandi yang dicuri. Selain itu, digunakan bukan sebagai alternatif dari dua yang pertama, tetapi secara paralel. Syaratnya adalah nilai konstan sama dengan "Vavaa". Ini seharusnya adalah nama pelanggan.
Interaksi berlangsung melalui protokol https melalui API
pastebin . Nilai
api_paste_private adalah
PASTE_UNLISTED , yang melarang pencarian halaman tersebut di
pastebin .
Algoritma enkripsi
Ekstrak file dari sumber daya
Payload disimpan dalam sumber daya loader
AtProtect dalam bentuk gambar Bitmap. Ekstraksi dilakukan dalam beberapa tahap:
- Array byte diekstraksi dari gambar. Setiap piksel diperlakukan sebagai urutan 3 byte dalam urutan BGR. Setelah ekstraksi, 4 byte pertama dari array menyimpan panjang pesan, selanjutnya - pesan itu sendiri.
- Kuncinya dihitung. Untuk melakukan ini, MD5 dihitung dari nilai "ZpzwmjMJyfTNiRalKVrcSkxCN" yang ditentukan sebagai kata sandi. Hash yang dihasilkan ditulis dua kali.
- Dekripsi dilakukan oleh algoritma AES dalam mode ECB.
Fungsionalitas berbahaya
Pengunduh
Diterapkan dalam bootloader
AtProtect .
- Dengan menghubungi [activelink-repalce], status server diminta untuk siap memberikan file. Server harus mengembalikan "ON" .
- Gunakan tautan [unduh-ganti] untuk mengunduh muatan.
- FranchyShellcode menyuntikkan payload ke dalam proses [inj-replace] .
Analisis dari
404 proyek [.] Xyz domain di VirusTotal mengungkapkan contoh tambahan
404 Keylogger , serta beberapa jenis pengunduh.
Secara konvensional, mereka dibagi menjadi dua jenis:
- Pengunduhan dilakukan dari sumber daya 404 proyek [.] Xyz .
Data ini disandikan Base64 dan AES dienkripsi.
- Opsi ini terdiri dari beberapa tahap dan kemungkinan besar digunakan bersama dengan loader AtProtect .
- Pada tahap pertama, data diunduh dari pastebin dan didekodekan menggunakan fungsi HexToByte .
- Pada tahap kedua, 404 proyek [.] Xyz sendiri berfungsi sebagai sumber pemuatan. Fungsi dekompresi dan dekoding mirip dengan yang ditemukan di DataStealer. Mungkin awalnya direncanakan untuk mengimplementasikan fungsionalitas bootloader di modul utama.
- Pada tahap ini, muatan sudah dalam manifes sumber daya dalam bentuk terkompresi. Fungsi ekstraksi serupa juga ditemukan dalam modul utama.
Di antara file yang dianalisis ditemukan loader
njRat ,
SpyGate dan RAT lainnya.
Keylogger
Periode pengiriman log: 30 menit.
Semua karakter didukung. Karakter khusus lolos. Ada pemrosesan tombol BackSpace dan Delete. Peka huruf besar-kecil.
Clipboardlogger
Periode pengiriman log: 30 menit.
Periode polling penyangga: 0,1 detik.
Tautan pelolosan yang diterapkan.
Screenlogger
Periode pengiriman log: 60 menit.
Tangkapan layar disimpan dalam
% HOMEDRIVE %% HOMEPATH% \\ Documents \\ 404k \\ 404pic.png .
Setelah mengirim, folder
404k dihapus.
PasswordStealer
Menangkal analisis dinamis
- Memeriksa proses yang sedang dianalisis
Itu dilakukan dengan mencari proses taskmgr , ProcessHacker , procexp64 , procexp , procmon . Jika setidaknya satu ditemukan, malware keluar. - Verifikasi berada di lingkungan virtual
Ini dilakukan dengan mencari proses vmtoolsd , VGAuthService , vmacthlp , VBoxService , VBoxTray . Jika setidaknya satu ditemukan, malware keluar. - Tertidur selama 5 detik
- Demonstrasi berbagai jenis kotak dialog
Ini dapat digunakan untuk memotong beberapa kotak pasir. - Bypass UAC
Ini dilakukan dengan mengedit kunci registri EnableLUA di pengaturan Kebijakan Grup. - Menerapkan atribut Rahasia ke file saat ini.
- Kemampuan untuk menghapus file saat ini.
Fitur tidak aktif
Selama analisis bootloader dan modul utama, fungsi yang bertanggung jawab untuk fungsionalitas tambahan ditemukan, tetapi mereka tidak digunakan di mana pun. Ini mungkin karena fakta bahwa malware masih dalam pengembangan, dan segera fungsionalitas akan diperluas.
AtProtect Loader
Sebuah fungsi ditemukan yang bertanggung jawab untuk memuat dan menyuntikkan modul arbitrer ke dalam proses
msiexec.exe .
DataStealer
- Pin sistem
- Fungsi Dekompresi dan Dekripsi
Kemungkinan, enkripsi data selama interaksi jaringan akan segera diimplementasikan.
- Mengakhiri proses antivirus
- Penghancuran diri
- Memuat data dari manifes sumber daya yang ditentukan
- Menyalin file di sepanjang jalan % Temp% \\ tmpG \\ [Tanggal dan waktu saat ini dalam milidetik] .tmp
Menariknya, fungsi identik hadir di malware AgentTesla.
- Fungsionalitas cacing
Malware menerima daftar media yang dapat dilepas. Salinan malware dibuat di root sistem file media dengan nama Sys.exe . Autostart diimplementasikan menggunakan file autorun.inf .
Profil penyusup
Selama analisis pusat komando, dimungkinkan untuk membuat surat dan nama panggilan pengembang - Razer, alias Brwa, Brwa65, HiDDen PerSOn, 404 Coder. Kemudian video aneh di YouTube ditemukan, yang menunjukkan pekerjaan dengan pembuatnya.
Ini memungkinkan kami menemukan saluran pengembang asli.
Menjadi jelas bahwa ia memiliki pengalaman dalam menulis cryptors. Ada juga tautan ke halaman di jejaring sosial, serta nama asli penulis. Ternyata menjadi warga Irak.
Seperti itulah seharusnya tampilan pengembang 404 Keylogger. Foto-foto dari profil Facebook pribadinya.
CERT Group-IB mengumumkan ancaman baru - 404 Keylogger, pusat pemantauan dan respons ancaman cyber (SOC) 24 jam di Bahrain.