近年来,移动木马已积极取代个人计算机的木马,因此,在老旧的“汽车”下出现了新的恶意软件,并被网络犯罪分子积极使用,尽管这令人不快,但这仍然是一个事件。 最近,CERT Group-IB信息安全事件全天候响应中心记录了一个异常的网络钓鱼清单,该清单将Keylogger和PasswordStealer的功能结合在一起,为PC隐藏了一种新的恶意软件。 使用流行的语音信使,间谍软件在用户计算机上的传播方式吸引了分析人员的注意。 CERT Group-IB的恶意软件分析专家
Ilya Pomerantsev讲述了该恶意软件的工作原理,危险性,甚至在遥远的伊拉克找到了它的创造者。
所以,让我们按顺序进行。 以附件为幌子,这样的一封信包含图片,单击后,用户进入了
cdn.discordapp.com ,并从那里下载了恶意文件。
使用Discord(一种免费的语音和短信工具)非常不寻常。 通常,其他信使或社交网络也用于这些目的。
在更详细的分析中,建立了HPE系列。 事实证明,这是恶意软件市场的新成员
-404 Keylogger 。
8月8日,昵称“ 404 Coder”
的用户在
黑客论坛上发布了第一笔键盘记录销售公告。
该商店的域名是最近注册的-2019年9月7日。
正如站点
404上的开发人员对
404的 Xyz进行保证一样,这是一个工具,旨在帮助公司了解其客户的行为(得到他们的许可),或者是那些想要保护其二进制文件免受逆向工程的人所需要的工具。 展望未来,假设
404不能应付上一个任务。
我们决定重定向其中一个文件,并检查“ BEST SMART KEYLOGGER”是什么。
HPE生态系统
引导程序1(AtillaCrypter)
源文件受
EaxObfuscator保护,并从资源部分
分两步下载
AtProtect 。 在对VirusTotal上发现的其他样本进行分析时,很明显该阶段不是由开发人员本人提供的,而是由他的客户添加的。 进一步确定该引导程序是AtillaCrypter。
引导加载程序2(AtProtect)
实际上,此引导加载程序是恶意软件不可或缺的一部分,并且据开发人员称,它应该接管功能以进行分析。
但是,实际上,保护机制非常原始,我们的系统可以成功检测到该恶意软件。
使用各种版本的
Franchy ShellCode来执行主模块的加载。 但是,我们不排除可以使用其他选项,例如
RunPE 。
配置文件
系统引脚
如果设置了相应的标志,则由
AtProtect加载程序提供对系统的固定。
- 该文件将沿路径%AppData%\\ GFqaak \\ Zpzwm.exe复制 。
- 创建文件%AppData%\\ GFqaak \\ WinDriv.url ,从Zpzwm.exe开始。
- 在HKCU \\ Software \\ Microsoft \\ Windows \\ CurrentVersion \\ Run分支中, 创建了一个用于启动WinDriv.url的密钥。
与C&C的互动
AtProtect加载器
使用适当的标志,恶意软件可以启动隐藏的
iexplorer进程并按照指定的链接通知服务器成功感染。
DataStealer
无论使用哪种方法,网络交互都始于使用
[http]获得受害者的外部IP
:// checkip [。] Dyndns [。]组织/资源。
用户代理:Mozilla / 4.0(兼容; MSIE 6.0; Windows NT 5.2; .NET CLR1.0.3705;)
消息的一般结构是相同的。 现在的标题
| ------- 404键盘记录程序-{Type} ------- | ,其中
{type}对应于传输的信息类型。
以下是系统信息:
_______ +受害人信息+ _______
IP:{外部IP}
所有者名称:{计算机名称}
操作系统名称:{OS Name}
操作系统版本:{OS Version}
操作系统平台:{平台}
RAM大小:{RAM Size}
______________________________
最后是传输的数据。
SMTP
这封信的主题如下:
404 K | {消息类型} | 客户端名称:{Username} 。
有趣的是,开发人员的SMTP服务器用于向
404 Keylogger客户端传递信件。
这使我们能够识别一些客户以及其中一位开发人员的邮件。
的FTP
使用此方法时,收集的信息将存储在文件中并立即从那里读取。
此动作的逻辑尚不完全清楚,但是会创建用于编写行为规则的其他工件。
%HOMEDRIVE %% HOMEPATH%\\文档\\ {任意编号} .txtPastebin
在分析时,此方法仅用于传输被盗密码。 而且,它不是前两个的替代,而是并行使用。 条件是等于“ Vavaa”的恒定值。 据说这是客户的名字。
交互是通过
pastebin API通过https协议进行的。
api_paste_private值为
PASTE_UNLISTED ,它禁止在
pastebin中搜索此类页面。
加密算法
从资源中提取文件
有效负载以位图图像的形式存储在
AtProtect加载程序的资源中。 提取过程分为几个阶段:
- 从图片中提取字节数组。 每个像素按BGR顺序视为3个字节的序列。 提取后,数组的前4个字节存储消息的长度,下一个-消息本身。
- 密钥已计算。 为此,从指定为密码的值“ ZpzwmjMJyfTNiRalKVrcSkxCN”中计算出MD5。 生成的哈希写入两次。
- 解密是通过ECB模式下的AES算法执行的。
恶意功能
下载器
在
AtProtect引导程序中实现。
- 通过与[activelink-repalce]联系,请求服务器状态准备好提供文件。 服务器应返回“ ON” 。
- 使用[downloadlink-replace]链接下载有效负载。
- FranchyShellcode将有效负载注入到[inj-replace]进程中。
对VirusTotal上的
404project [。] Xyz域进行的分析显示了
404 Keylogger的其他实例以及几种类型的下载器。
按照惯例,它们分为两种类型:
- 从资源404projects [。] Xyz进行下载。
数据经过Base64编码和AES加密。
- 该选项包括几个阶段,最有可能与AtProtect加载器结合使用。
- 在第一阶段,数据是从pastebin下载的,并使用HexToByte函数进行解码。
- 在第二阶段中, 404projects [。] Xyz本身用作加载源。 解压缩和解码功能类似于DataStealer中的功能。 最初计划是在主模块中实现Bootloader功能。
- 在此阶段,有效负载已经以压缩形式出现在资源清单中。 在主模块中也发现了类似的提取功能。
在分析的文件中,找到了加载程序
njRat ,
SpyGate和其他RAT。
键盘记录器
日志发送周期:30分钟。
支持所有字符。 特殊字符被转义。 有一个退格键和删除键处理。 区分大小写。
剪贴板记录器
日志发送周期:30分钟。
缓冲区轮询时间:0.1秒。
已实现转义链接。
屏幕录像机
日志发送周期:60分钟。
屏幕截图保存在
%HOMEDRIVE %% HOMEPATH%\\文档\\ 404k \\ 404pic.png中 。
发送后,将删除
404k文件夹。
密码老师
抵消动态分析
- 检查分析过程
通过搜索进程taskmgr , ProcessHacker , procexp64 , procexp , procmon来执行 。 如果找到至少一个,则恶意软件退出。 - 检查虚拟环境
它通过搜索进程vmtoolsd , VGAuthService , vmacthlp , VBoxService , VBoxTray来执行 。 如果找到至少一个,则恶意软件退出。 - 入睡5秒钟
- 各种对话框的演示
它可以用来绕过一些沙箱。 - UAC绕过
这是通过在组策略设置中编辑EnableLUA注册表项来完成的。 - 将Secretive属性应用于当前文件。
- 能够删除当前文件。
无效功能
在对引导加载程序和主模块进行分析时,发现了负责附加功能的功能,但并未在任何地方使用它们。 这可能是由于该恶意软件仍在开发中,因此该功能很快将得到扩展。
AtProtect加载器
发现一个函数,该函数负责将任意模块加载并注入到
msiexec.exe进程中。
DataStealer
- 系统引脚
- 解压缩和解密功能
可能很快将在网络交互期间对数据进行加密。
- 终止防病毒程序
- 自我毁灭
- 从指定的资源清单加载数据
- 沿路径%Temp%\\ tmpG \\ [当前日期和时间,以毫秒为单位] .tmp复制文件
有趣的是,AgentTesla恶意软件中存在相同的功能。
- 蠕虫功能
恶意软件会收到可移动媒体的列表。 在名称为Sys.exe的媒体文件系统的根目录中创建了该恶意软件的副本。 使用autorun.inf文件实现自动启动。
入侵者简介
在分析命令中心期间,可以建立开发人员的邮件和昵称-Razer,aka Brwa,Brwa65,HiDDen PerSOn,404 Coder。 然后在YouTube上发现了一个有趣的视频,演示了与构建者的合作。
这使我们能够找到原始的开发人员渠道。
很明显,他有写密码的经验。 在社交网络上也有指向页面的链接,以及作者的真实姓名。 原来是伊拉克居民。
这就是404 Keylogger开发人员的外观。 来自他的个人Facebook个人资料的照片。
CERT Group-IB宣布了一种新的威胁-404 Keylogger,这是位于巴林的24小时网络威胁监视和响应中心(SOC)。