ProHoster > Blog > internet nuus > Opkoms het misluk: kom ons stel AgentTesla bloot aan skoon water. Deel 1
Opkoms het misluk: kom ons stel AgentTesla bloot aan skoon water. Deel 1
Onlangs het 'n Europese vervaardiger van elektriese installasietoerusting Group-IB gekontak - sy werknemer het 'n verdagte brief met 'n kwaadwillige aanhangsel in die pos ontvang. Ilya Pomerantsev, 'n wanware-ontledingspesialis by CERT Group-IB, het 'n gedetailleerde ontleding van hierdie lêer gedoen, die AgentTesla-spioenware daar ontdek en vertel wat om van sulke wanware te verwag en hoe dit gevaarlik is.
Met hierdie pos open ons 'n reeks artikels oor hoe om sulke potensieel gevaarlike lêers te ontleed, en ons wag vir die mees nuuskieriges op 5 Desember vir 'n gratis interaktiewe webinar oor die onderwerp "Walware-analise: ontleding van werklike gevalle". Al die besonderhede is onder die snit.
Verspreidingsmeganisme
Ons weet dat die wanware die slagoffer se masjien bereik het via uitvissing-e-posse. Die ontvanger van die brief was waarskynlik BCCed.
Ontleding van die opskrifte toon dat die afsender van die brief bedrieg is. Trouens, die brief gelaat met vps56[.]oneworldhosting[.]com.
Die e-posaanhangsel bevat 'n WinRar-argief qoute_jpeg56a.r15 met 'n kwaadwillige uitvoerbare lêer QOUTE_JPEG56A.exe binne.
HPE ekosisteem
Kom ons kyk nou hoe die ekosisteem van die wanware wat bestudeer word, lyk. Die diagram hieronder toon die struktuur daarvan en die rigtings van interaksie van die komponente.
Kom ons kyk nou na elk van die malware-komponente in meer besonderhede.
Laaier
Oorspronklike lêer QOUTE_JPEG56A.exe is 'n saamgestelde AutoIt v3 skrif.
Om die oorspronklike skrif te verduister, 'n obfuscator met soortgelyke PELock AutoIT-Obfuscator eienskappe.
Deobfuskasie word in drie fases uitgevoer:
Verwydering van verduistering Vir-As
Die eerste stap is om die skrif se beheervloei te herstel. Control Flow Flattening is een van die mees algemene maniere om toepassingsbinêre kode teen analise te beskerm. Verwarrende transformasies verhoog dramaties die kompleksiteit van onttrekking en herkenning van algoritmes en datastrukture.
Ry herstel
Twee funksies word gebruik om stringe te enkripteer:
gdorizabegkvfca - Voer Base64-agtige dekodering uit
xgacyukcyzxz - eenvoudige byte-byte XOR van die eerste string met die lengte van die tweede
Verwydering van verduistering BinaryToString и Voer
Die hooflading word in 'n verdeelde vorm in die gids gestoor Fonts hulpbronafdelings van die lêer.
Die plakvolgorde is soos volg: TIEQHCXWFG, EMI, SPDGUHIMPV, KQJMWQQAQTKTFXTUOSW, AOCHKRWWSKWO, JSHMSJPS, NHHWXJBMTTSPXVN, BFUTIFWWXVE, HWJHO, AVZOUMVFRDWFLWU.
Die WinAPI-funksie word gebruik om die onttrekde data te dekripteer CryptDecrypt, en die sessiesleutel wat op grond van die waarde gegenereer word, word as die sleutel gebruik fZgFiZlJDxvuWatFRgRXZqmNCIyQgMYc.
Die gedekripteerde uitvoerbare lêer word na die funksie-invoer gestuur RunPE, wat uitvoer ProsesInspuit в RegAsm.exe met behulp van ingeboude Shell-kode (ook bekend as RunPE ShellCode). Outeurskap behoort aan die gebruiker van die Spaanse forum onopspoorbare[.]net onder die bynaam Wardow.
Dit is ook opmerklik dat in een van die drade van hierdie forum, 'n obfuscator vir By die dak met soortgelyke eienskappe wat tydens monsterontleding geïdentifiseer is.
Homself Shell-kode redelik eenvoudig en trek aandag net geleen van die hacker-groep AnunakCarbanak. API oproep hashing funksie.
Ons is ook bewus van gebruiksgevalle Frenchy Shellcode verskillende weergawes.
Benewens die beskryfde funksionaliteit, het ons ook onaktiewe funksies geïdentifiseer:
Blokkeer handmatige prosesbeëindiging in taakbestuurder
Herbegin 'n kinderproses wanneer dit beëindig word
Omseil UAC
Stoor die loonvrag na 'n lêer
Demonstrasie van modale vensters
Wag vir die posisie van die muiswyser om te verander
AntiVM en AntiSandbox
selfvernietiging
Pomp loonvrag vanaf die netwerk
Ons weet dat sulke funksionaliteit tipies is vir die beskermer CypherIT, wat blykbaar die betrokke selflaaiprogram is.
Hoofmodule van sagteware
Vervolgens sal ons die hoofmodule van die wanware kortliks beskryf en dit in meer besonderhede in die tweede artikel oorweeg. In hierdie geval is dit 'n aansoek op NET..
Tydens die analise het ons ontdek dat 'n obfuscator gebruik is ConfuserEX.
IELibrary.dll
Die biblioteek word as 'n hoofmodule-hulpbron gestoor en is 'n bekende inprop vir Agent Tesla, wat funksionaliteit bied om verskeie inligting uit Internet Explorer en Edge-blaaiers te onttrek.
Agent Tesla is 'n modulêre spioenasieprogrammatuur wat versprei word deur 'n wanware-as-'n-diens-model onder die dekmantel van 'n wettige keylogger-produk te gebruik. Agent Tesla is in staat om gebruikersbewyse van blaaiers, e-poskliënte en FTP-kliënte na die bediener na aanvallers te onttrek en oor te dra, klemborddata op te neem en die toestelskerm vas te vang. Ten tyde van ontleding was die amptelike webwerf van die ontwikkelaars nie beskikbaar nie.
Die toegangspunt is die funksie Get SavedPasswords klas InternetExplorer.
Oor die algemeen is kode-uitvoering lineêr en bevat geen beskerming teen analise nie. Slegs die ongerealiseerde funksie verdien aandag GetSavedCookies. Blykbaar was die funksionaliteit van die inprop veronderstel om uitgebrei te word, maar dit is nooit gedoen nie.
Koppel die selflaaiprogram aan die stelsel
Kom ons bestudeer hoe die selflaaiprogram aan die stelsel gekoppel is. Die monster onder studie voer nie ankering uit nie, maar in soortgelyke gebeure vind dit volgens die volgende skema plaas:
In vouer C:Gebruikers Publiek skrif geskep word Visual Basic
Skrip voorbeeld:
Die inhoud van die selflaaiprogramlêer is opgevul met 'n nulkarakter en in die gids gestoor %Temp%
'n Outorun-sleutel word in die register vir die skriplêer geskep HKCUSoftwareMicrosoftWindowsCurrentVersionRun
Dus, gebaseer op die resultate van die eerste deel van die analise, kon ons die name van die families van alle komponente van die wanware wat bestudeer word vasstel, die infeksiepatroon ontleed en ook voorwerpe kry om handtekeninge te skryf. Ons gaan voort met ons ontleding van hierdie voorwerp in die volgende artikel, waar ons in meer besonderhede na die hoofmodule sal kyk Agent Tesla. Moet nie misloop nie!
Terloops, op 5 Desember nooi ons alle lesers uit na 'n gratis interaktiewe webinar oor die onderwerp "Analise van wanware: ontleding van werklike gevalle", waar die skrywer van hierdie artikel, 'n CERT-GIB-spesialis, die eerste fase van malware-analise - semi-outomatiese uitpak van monsters met behulp van die voorbeeld van drie regte mini-gevalle uit die praktyk, en jy kan deelneem aan die ontleding. Die webinar is geskik vir spesialiste wat reeds ondervinding het in die ontleding van kwaadwillige lêers. Registrasie is streng vanaf korporatiewe e-pos: registreer. Wag vir jou!