[Информационная безопасность, Реверс-инжиниринг, Исследования и прогнозы в IT, IT-компании] К вам ползет Snake: разбираем новый кейлоггер

Автор Сообщение
news_bot ®

Стаж: 6 лет 9 месяцев
Сообщений: 27286

Создавать темы news_bot ® написал(а)
29-Июн-2021 20:34


В конце прошлого года в руки аналитикам CERT-GIB попал любопытный образец ВПО — Snake Keylogger. Хотя справедливости ради заметим, что изучаемый объект являлся скорее стилером, так как KeyLogger — лишь часть его функционала, отвечающего за логгирование нажатий клавиш на клавиатуре. "Пойман" был данный экземпляр не в чистом виде, а уже зашифрованным криптером Cassandra, о котором мы писали недавно. При первом взгляде на Snake Keylogger казалось, что он находится на стадии бета-теста, так как многие функции были неактивны и записи из конфигурационного файла нигде не использовались. Что оказалось на самом деле, как устроена эта вредоносная программа, как она проникает на устройство жертвы и какие механизмы защиты использует, рассказывает Алексей Чехов, аналитик CERT-GIB. Распространение Snake Keylogger распространяется через официальный сайт, Telegram и Discord. На данный момент ни один из этих источников связи недоступен, но это не мешает злоумышленникам использовать ВПО в своих атаках.Закрепление в системе (в исследуемом сэмпле неактивно)Реализовано тривиально: Snake добавляет себя в автозапуск при помощи изменения ключа реестра:HKCU\software\microsoft\windows\currentversion\runКонфигурационный файлРасширение для файлов с логами.txtИнтервал отправки логов Keylogger в секундах100Интервал отправки логов Screenlogger в секундах100Интервал отправки логов Clipboard в секундах100clprEPsНе используетсяkLLTImНе используетсяTPSSendsНе используетсяProHfutimerНе используетсяТип CnC$%SMTPDV$HSHCheckerНе используетсяID ботаZyiAEnXWZPCnC В зависимости от выбранной опции в конфигурационном файле, возможно три варианта взаимодействия с CnC:
  • FTP При передаче по протоколу FTP на сервер будет отправлен файл с именем: {Имя компьютера}{Тип данных}{ID жертвы}{Расширение файла}.Данные не шифруются.ID жертвы формируется следующим образом: первая часть задается в конфигурационном файле, а вторая часть представляет собой случайно сгенерированное 4-байтовое число.
  • SMTPПри передаче по SMTP будет сформировано сообщение формата:Тема:  Pc Name: {Имя пользователя} | Snake KeyloggerТело письма: {Тип данных} | {Имя пользователя} | Snake\r\n{Информация о системе}"\r\n\r\n"Вложение: {Тип данных}.{Расширение}Все данные передаются во вложении. Шифрование отсутствует.
  • Telegram Данные передаются в виде прикрепленного файла.Вредоносный функционал.Вложения лог-файлов имеют следующий формат:
    Довольно странно в логах выглядит очень частое упоминание название малвари.  
Keylogger ВПО устанавливает свой обработчик для событий нажатия клавиш на клавиатуре. Запись в лог ведется следующим образом:Backspace, Delete, End, F1-F11Не записываютсяF12[F12]TAB[TAP]ENTER[Entr]SPACE Другая клавишаСимвол в верхнем или нижнем регистре в зависимости от положения клавиш Shift и Caps LockЧерез определенный промежуток времени собранные данные отправляются на CnC. При неудачной отправке буфер для хранения лога не очищается. К интересной особенности можно отнести то, что ВПО удаляет cookie браузеров Chrome и Firefox, а также данные из общего репозитория файлов cookie в системе. Данное действие, предположительно, выполняется для того, чтобы пользователю пришлось заново заходить в учетные записи на различных сервисах — в таком случае данные будут перехвачены при помощи кейлоггера.   ScreenLoggerВ конфигурационном файле устанавливается временной промежуток, через который будет сделан скриншот. По умолчанию это 100 секунд. Когда снимок экрана сделан, он сохраняется в папку «{Мои документы}\SnakeKeylogger» с именем «Screenshot.png». После этого осуществляется попытка отправить файл. При любом результате отправки файл будет удален.Stealer ВПО умеет выгружать пароли из следующих приложений:БраузерыПочтовые клиентыМессенджеры7StarThunderbirdDiscordAmigoPostBoxPidginAvastFoxmailBlackHawkOutlookBliskBraveCentFTP клиенты:ChedotFileZillaChromeChrome_CanaryChromiumCitrioCocCocComodoCoolNovoCoowonElementsEpicFalkonGhostIridiumIronKinzaaKometaLiebaoMicrosoftNichromeOperaTorbitumQIPSurfQQSalamWebSleipnirSlimjetSputnikSuperbirdTorchUCUranVivaldiXpomxVastYandexCyberFoxFireFoxIceCatIceDragonPaleMoonSlimWaterFoxПротиводействие анализуAnti-VMМеханизм противодействия виртуализации реализован тривиально: 
  • Поиск процессов, свойственных для виртуальных машин.
  • Проверка наличия файлов, свойственных для виртуальных машин.
  • Проверка процессов на наличие специального ПО, в том числе для анализа.

Anti-Sandbox (неактивна) Метод, реализующий Anti-Sandbox-функционал, определяет IP-адрес жертвы и сверяет его с захардкоженными IP-адресами, некоторые из которых относятся к адресам бесплатных VPN-сервисов. Также он проверяет имя машины на типичные для honeypot’ов. При совпадении процесс завершается.
ДругоеДля шифрования строк злоумышленники используют open-source-обфускатор Obfuscar. Также для защиты от статического и динамического анализа используется BedsProtector. В исследуемом сэмпле было применено две функции защиты: 
  • Первая — так называемый AntiTamper. Данная функция позволяет расшифровать код программы после ее запуска, что делает статический анализ основной части программы невозможным.
  • Вторая функция проверяет наличие установленной системной переменной COR_ENABLE_PROFILING, которая позволяет проверить, подключена ли CLR к профилировщику.  
В данной статье мы разобрали новое и достаточно противоречивое ВПО. С одной стороны, ничего выдающегося в данном кейлоггере нет: он похож на остальных представителей .net-кейлоггеров, например, 404Keylogger, про который мы писалиранее. С другой — применение различных криптеров, протекторов, обфускаторов, даже open-source, позволяет использовать подобное программное обеспечение в атаках и несколько усложнять его анализ.
===========
Источник:
habr.com
===========

Похожие новости: Теги для поиска: #_informatsionnaja_bezopasnost (Информационная безопасность), #_reversinzhiniring (Реверс-инжиниринг), #_issledovanija_i_prognozy_v_it (Исследования и прогнозы в IT), #_itkompanii (IT-компании), #_kejlogger (кейлоггер), #_reversing (реверсинг), #_reversinzhiniring (реверс-инжиниринг), #_analiz_vredonosov (анализ вредоносов), #_vpo (впо), #_malvar (малварь), #_analiz_vredonosnogo_po (анализ вредоносного по), #_informatsionnaja_bezopasnost (информационная безопасность), #_kompjuternaja_kriminalistika (компьютерная криминалистика), #_kompjuternaja_bezopasnost (компьютерная безопасность), #_blog_kompanii_groupib (
Блог компании Group-IB
)
, #_informatsionnaja_bezopasnost (
Информационная безопасность
)
, #_reversinzhiniring (
Реверс-инжиниринг
)
, #_issledovanija_i_prognozy_v_it (
Исследования и прогнозы в IT
)
, #_itkompanii (
IT-компании
)
Профиль  ЛС 
Показать сообщения:     

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы

Текущее время: 22-Ноя 13:23
Часовой пояс: UTC + 5