Ons gaan voort met ons reeks artikels oor wanware-analise. IN Ons het gedeeltelik vertel hoe Ilya Pomerantsev, 'n wanware-ontledingspesialis by CERT Group-IB, 'n gedetailleerde ontleding gedoen het van 'n lêer wat per pos van een van die Europese maatskappye ontvang is en spyware daar ontdek het Agent Tesla. In hierdie artikel verskaf Ilya die resultate van 'n stap-vir-stap ontleding van die hoofmodule Agent Tesla.
Agent Tesla is 'n modulêre spioenasieprogrammatuur wat versprei word deur 'n wanware-as-'n-diens-model onder die dekmantel van 'n wettige keylogger-produk te gebruik. Agent Tesla is in staat om gebruikersbewyse van blaaiers, e-poskliënte en FTP-kliënte na die bediener na aanvallers te onttrek en oor te dra, klemborddata op te neem en die toestelskerm vas te vang. Ten tyde van ontleding was die amptelike webwerf van die ontwikkelaars nie beskikbaar nie.
Konfigurasie lêer
Die tabel hieronder lys watter funksionaliteit van toepassing is op die voorbeeld wat jy gebruik:
| Beskrywing | Waarde |
| KeyLogger gebruik vlag | waar |
| ScreenLogger gebruik vlag | valse |
| KeyLogger log versending interval in minute | 20 |
| ScreenLogger log versending interval in minute | 20 |
| Backspace sleutel hantering vlag. Onwaar – slegs aanteken. Waar – vee die vorige sleutel uit | valse |
| CNC tipe. Opsies: smtp, webpanel, ftp | smtp |
| Draadaktiveringsvlag vir die beëindiging van prosesse vanaf die lys "%filter_list%" | valse |
| UAC deaktiveer vlag | valse |
| Taakbestuurder deaktiveer vlag | valse |
| CMD deaktiveer vlag | valse |
| Begin venster deaktiveer vlag | valse |
| Registry Viewer Deaktiveer Vlag | valse |
| Deaktiveer stelselherstelpuntvlag | waar |
| Beheerpaneel deaktiveer vlag | valse |
| MSCONFIG deaktiveer vlag | valse |
| Vlag om die kontekskieslys in Explorer te deaktiveer | valse |
| Speld vlag | valse |
| Pad om die hoofmodule te kopieer wanneer dit aan die stelsel vasgespeld word | %startupfolder% %insfolder%%insname% |
| Vlag vir die opstel van die "Stelsel" en "Versteekte" eienskappe vir die hoofmodule wat aan die stelsel toegewys is | valse |
| Vlag om 'n herbegin uit te voer wanneer dit aan die stelsel vasgespeld is | valse |
| Vlag om die hoofmodule na 'n tydelike vouer te skuif | valse |
| UAC-omseilvlag | valse |
| Datum- en tydformaat vir aanteken | jjjj-MM-dd UU:mm:ss |
| Vlag vir die gebruik van 'n programfilter vir KeyLogger | waar |
| Tipe programfiltrering. 1 – die programnaam word in die venstertitels gesoek 2 – die programnaam word in die vensterprosesnaam gesoek |
1 |
| Program filter | "facebook" "twitter" "gmail" "instagram" "Fliek" "skype" "pornografie" "hack" "whatsapp" "onenigheid" |
Heg die hoofmodule aan die stelsel
As die ooreenstemmende vlag gestel is, word die hoofmodule gekopieer na die pad wat in die konfigurasie gespesifiseer is as die pad wat aan die stelsel toegewys moet word.
Afhangende van die waarde van die konfigurasie, kry die lêer die eienskappe "Hidden" en "System".
Autorun word verskaf deur twee registertakke:
- HKCU SoftwareMicrosoftWindowsCurrentVersionRun%insregname%
- HKCUSOFTWAREMicrosoftWindowsCurrent VersionExplorerStartupApprovedRun %insregname%
Aangesien die selflaaiprogram in die proses inspuit RegAsm, die stel van die aanhoudende vlag vir die hoofmodule lei tot nogal interessante gevolge. In plaas daarvan om homself te kopieer, het die wanware die oorspronklike lêer aan die stelsel geheg RegAsm.exe, waartydens die inspuiting uitgevoer is.
Interaksie met C&C
Ongeag die metode wat gebruik word, begin netwerkkommunikasie met die verkryging van die eksterne IP van die slagoffer deur die hulpbron te gebruik [.]amazonaws[.]com/.
Die volgende beskryf die netwerkinteraksiemetodes wat in die sagteware aangebied word.
webpaneel
Die interaksie vind plaas via die HTTP-protokol. Die wanware voer 'n POST-versoek uit met die volgende opskrifte:
- Gebruikersagent: Mozilla/5.0 (Windows U Windows NT 6.1 ru rv:1.9.2.3) Gecko/20100401 Firefox/4.0 (.NET CLR 3.5.30729)
- Verbinding: Keep-Alive
- Inhoud-tipe: application/x-www-form-urlencoded
Die bedieneradres word deur die waarde gespesifiseer %PostURL%. Die geënkripteerde boodskap word in die parameter gestuur «P». Die enkripsiemeganisme word in afdeling beskryf "Enkripsie-algoritmes" (metode 2).
Die gestuurde boodskap lyk soos volg:
type={0}nhwid={1}ntime={2}npcname={3}nlogdata={4}nscreen={5}nipadd={6}nwebcam_link={7}nclient={8}nlink={9}nusername={10}npassword={11}nscreen_link={12}
Parameter tipe dui die boodskaptipe aan:
hwid - 'n MD5-hash word aangeteken vanaf die waardes van die moederbordreeksnommer en verwerker-ID. Heel waarskynlik gebruik as 'n gebruikers-ID.
tyd - dien om die huidige tyd en datum oor te dra.
rekenaarnaam - gedefinieer as /.
logdata - log data.
Wanneer wagwoorde oorgedra word, lyk die boodskap soos volg:
type={0}nhwid={1}ntime={2}npcname={3}nlogdata={4}nscreen={5}nipadd={6}nwebcam_link={7}nscreen_link={8}n[passwords]
Die volgende is beskrywings van die gesteelde data in die formaat nkliënt[]={0}nskakel[]={1}gebruikernaam[]={2}nwagwoord[]={3}.
smtp
Die interaksie vind plaas via die SMTP-protokol. Die gestuurde brief is in HTML-formaat. Parameter LIGGAAM lyk soos:
Die kopskrif van die brief het die algemene vorm: / . Die inhoud van die brief, sowel as sy aanhangsels, is nie geïnkripteer nie.
Die interaksie vind plaas via die FTP-protokol. 'n Lêer met die naam word na die gespesifiseerde bediener oorgedra _-_.html. Die inhoud van die lêer is nie geïnkripteer nie.
Enkripsie algoritmes
Hierdie geval gebruik die volgende enkripsiemetodes:
Die 1-metode
Hierdie metode word gebruik om stringe in die hoofmodule te enkripteer. Die algoritme wat vir enkripsie gebruik word, is AES.
Die invoer is 'n ses-syfer desimale getal. Die volgende transformasie word daarop uitgevoer:
f(x) = (((x >> 2 - 31059) ^ 6380) - 1363) >> 3
Die gevolglike waarde is die indeks vir die ingebedde data-skikking.
Elke skikkingselement is 'n ry DWORD. Wanneer saamsmelt DWORD 'n verskeidenheid grepe word verkry: die eerste 32 grepe is die enkripsiesleutel, gevolg deur 16 grepe van die inisialiseringsvektor, en die oorblywende grepe is die geënkripteerde data.
Die 2-metode
Algoritme gebruik 3DES in modus ECB met opvulling in hele grepe (PKCS7).
Die sleutel word deur die parameter gespesifiseer %urlkey%Enkripsie gebruik egter sy MD5-hash.
Kwaadwillige funksionaliteit
Die steekproef wat bestudeer word, gebruik die volgende programme om die kwaadwillige funksie daarvan te implementeer:
Keylogger
As daar 'n ooreenstemmende malware-vlag is wat die WinAPI-funksie gebruik Stel WindowsHookEx ken sy eie hanteerder toe vir sleuteldrukgebeurtenisse op die sleutelbord. Die hanteerderfunksie begin deur die titel van die aktiewe venster te kry.
As die toepassingsfiltreervlag gestel is, word filtering uitgevoer, afhangende van die gespesifiseerde tipe:
- die programnaam word in die venstertitels gesoek
- die programnaam word in die vensterprosesnaam opgesoek
Vervolgens word 'n rekord by die log gevoeg met inligting oor die aktiewe venster in die formaat:
Dan word inligting oor die gedrukte sleutel aangeteken:
| sleutel | rekord |
| Backspace | Afhangende van die Backspace-sleutelverwerkingsvlag: False – {BACK} Waar – vee die vorige sleutel uit |
| CAPSLOCK | {CAPSLOCK} |
| ESC | {ESC} |
| Bladsyop | {PageUp} |
| af | ↓ |
| DELETE | {DEL} |
| " | " |
| F5 | {F5} |
| & | & |
| F10 | {F10} |
| TAB | {TAB} |
| < | < |
| > | > |
| Ruimte | |
| F8 | {F8} |
| F12 | {F12} |
| F9 | {F9} |
| ALT + TAB | {ALT+TAB} |
| EINDE | {END} |
| F4 | {F4} |
| F2 | {F2} |
| Ctrl | {CTRL} |
| F6 | {F6} |
| Reg | → |
| Up | ↑ |
| F1 | {F1} |
| Links | ← |
| Blaai af | {Blaai af} |
| Plaas | {Voeg in} |
| Wen | {Wen} |
| NumLock | {NumLock} |
| F11 | {F11} |
| F3 | {F3} |
| HOME | {TUIS} |
| Enter | {ENTER} |
| ALT + F4 | {ALT+F4} |
| F7 | {F7} |
| Ander sleutel | Die karakter is in hoofletters of kleinletters, afhangende van die posisies van die CapsLock- en Shift-sleutels |
Op 'n bepaalde frekwensie word die versamelde logboek na die bediener gestuur. As die oordrag onsuksesvol is, word die log in 'n lêer gestoor %TEMP%log.tmp in formaat:
Wanneer die timer brand, sal die lêer na die bediener oorgedra word.
ScreenLogger
Op 'n gespesifiseerde frekwensie skep die wanware 'n skermskoot in die formaat Jpeg met betekenis Gehalte gelyk aan 50 en stoor dit in 'n lêer %APPDATA %.jpg. Na oordrag word die lêer uitgevee.
knipbordlogger
As die toepaslike vlag gestel is, word vervangings in die onderskepte teks volgens die tabel hieronder gemaak.
Hierna word die teks in die log ingevoeg:
Wagwoord Stealer
Die wanware kan wagwoorde van die volgende toepassings aflaai:
| Браузеры | E-pos kliënte | FTP kliënte |
| Chrome | Outlook | FileZilla |
| Firefox | Thunderbird | WS_FTP |
| IE/Rand | Foxmail | WinSCP |
| safari | Opera Mail | CoreFTP |
| Opera Browser | IncrediMail | FTP Navigator |
| Yandex | Pocomail | FlashFXP |
| Comodo | Eudora | SmartFTP |
| ChromePlus | TheBat | FTP-bevelvoerder |
| Chroom | Posbus | |
| Torch | ClawsMail | |
| 7Star | ||
| Vriend | ||
| BraveSoftware | Jabber kliënte | VPN-kliënte |
| CentBrowser | Psi/Psi+ | Maak VPN oop |
| Chedot | ||
| CocCoc | ||
| Elemente-blaaier | Laai Bestuurders af | |
| Epiese privaatheidsblaaier | Internet aflaai bestuurder | |
| Kometa | JDownloader | |
| Orbitum | ||
| Sputnik | ||
| uCozMedia | ||
| Vivaldi | ||
| SeaMonkey | ||
| Kuddeblaaier | ||
| UC Browser | ||
| Swart Valk | ||
| Cyber Fox | ||
| K-Meleon | ||
| Yskat | ||
| ysdraak | ||
| Bleekmaan | ||
| waterjakkals | ||
| Falkon-blaaier |
Teenstand teen dinamiese analise
- Gebruik die funksie Slaap. Laat jou toe om sommige sandkaste te omseil deur uitteltyd
- Vernietig 'n draad Sone.Identifiseerder. Laat jou toe om die feit van die aflaai van 'n lêer van die internet weg te steek
- In die parameter %filter_lys% spesifiseer 'n lys prosesse wat die wanware sal beëindig met intervalle van een sekonde
- afsluiting UAC
- Deaktiveer die taakbestuurder
- afsluiting CMD
- Deaktiveer 'n venster «Vrypoel»
- Deaktiveer die beheerpaneel
- Deaktiveer 'n instrument regedit
- Deaktiveer stelselherstelpunte
- Deaktiveer die kontekskieslys in Explorer
- afsluiting MSCONFIG
- Omseil UAC:
Onaktiewe kenmerke van die hoofmodule
Tydens die ontleding van die hoofmodule is funksies geïdentifiseer wat verantwoordelik was om oor die netwerk te versprei en die posisie van die muis op te spoor.
Wurm
Gebeurtenisse vir die koppeling van verwyderbare media word in 'n aparte draad gemonitor. Wanneer dit gekoppel is, word die wanware met die naam na die wortel van die lêerstelsel gekopieer scr.exe, waarna dit soek na lêers met die uitbreiding lnk. Almal se span lnk veranderings aan cmd.exe /c begin scr.exe&begin & verlaat.
Elke gids aan die wortel van die media kry 'n kenmerk "Versteek" en 'n lêer word geskep met die uitbreiding lnk met die naam van die verborge gids en die opdrag cmd.exe /c begin scr.exe&explorer /root,"%CD%" en verlaat.
Muisspoor
Die metode om onderskepping uit te voer is soortgelyk aan dié wat vir die sleutelbord gebruik word. Hierdie funksionaliteit is nog onder ontwikkeling.
Lêeraktiwiteit
| Pad | Beskrywing |
| %Temp%temp.tmp | Bevat 'n teller vir UAC-omseilpogings |
| %startupfolder%%insfolder%%insname% | Pad wat aan die HPE-stelsel toegewys moet word |
| %Temp%tmpG{Huidige tyd in millisekondes}.tmp | Pad vir rugsteun van die hoofmodule |
| %Temp%log.tmp | Log lêer |
| %AppData%{'n Willekeurige volgorde van 10 karakters}.jpeg | Kiekies |
| C:UsersPublic{'n Willekeurige volgorde van 10 karakters}.vbs | Pad na 'n vbs-lêer wat die selflaaiprogram kan gebruik om aan die stelsel te heg |
| %Temp%{Gepasmaakte vouernaam}{Lêernaam} | Pad wat deur die selflaaiprogram gebruik word om homself aan die stelsel te koppel |
Aanvallerprofiel
Danksy hardgekodeerde verifikasiedata kon ons toegang tot die bevelsentrum kry.
Dit het ons in staat gestel om die finale e-pos van die aanvallers te identifiseer:
junaid[.]in***@gmail[.]com.
Die domeinnaam van die bevelsentrum is by die pos geregistreer sg***@gmail[.]com.
Gevolgtrekking
Tydens 'n gedetailleerde ontleding van die wanware wat in die aanval gebruik is, kon ons die funksionaliteit daarvan vasstel en die mees volledige lys van aanwysers van kompromie wat vir hierdie saak relevant is, verkry. Om die meganismes van wanware-netwerkinteraksie te verstaan, het dit moontlik gemaak om aanbevelings te gee vir die aanpassing van die werking van inligtingsekuriteitsinstrumente, asook om stabiele IDS-reëls te skryf.
Vernaamste gevaar Agent Tesla soos DataStealer deurdat dit nie hoef te verbind tot die stelsel of te wag vir 'n beheeropdrag om sy take uit te voer nie. Sodra dit op die masjien is, begin dit dadelik om privaat inligting te versamel en dra dit oor na CnC. Hierdie aggressiewe gedrag is in sekere opsigte soortgelyk aan die gedrag van losprysware, met die enigste verskil dat laasgenoemde nie eers 'n netwerkverbinding benodig nie. As jy hierdie familie teëkom, nadat jy die besmette stelsel van die wanware self skoongemaak het, moet jy beslis alle wagwoorde verander wat, ten minste teoreties, gestoor kan word in een van die toepassings hierbo gelys.
As ons vorentoe kyk, kom ons sê dat aanvallers stuur Agent Tesla, word die aanvanklike selflaailaaier baie gereeld verander. Dit laat jou toe om onopgemerk te bly deur statiese skandeerders en heuristiese ontleders ten tyde van die aanval. En die neiging van hierdie gesin om dadelik met hul aktiwiteite te begin maak stelselmonitors nutteloos. Die beste manier om AgentTesla te bestry, is voorlopige ontleding in 'n sandbox.
In die derde artikel van hierdie reeks sal ons kyk na ander selflaailaaiers wat gebruik word Agent Tesla, en bestudeer ook die proses van hul semi-outomatiese uitpak. Moet nie misloop nie!
Hash
| SHA1 |
| A8C2765B3D655BA23886D663D22BDD8EF6E8E894 |
| 8010CC2AF398F9F951555F7D481CE13DF60BBECF |
| 79B445DE923C92BF378B19D12A309C0E9C5851BF |
| 15839B7AB0417FA35F2858722F0BD47BDF840D62 |
| 1C981EF3EEA8548A30E8D7BF8D0D61F9224288DD |
C&C
| URL |
| sina-c0m[.]icu |
| smtp[.]sina-c0m[.]icu |
RegKey
| register |
| HKCUSoftwareMicrosoftWindowsCurrentVersionRun{Skriptnaam} |
| HKCUSoftwareMicrosoftWindowsCurrentVersionRun%insregname% |
| HKCUSOFTWAREMicrosoftWindowsCurrent VersionExplorerStartupApprovedRun%insregname% |
mutekse
Daar is geen aanwysers nie.
lêers
| Lêeraktiwiteit |
| %Temp%temp.tmp |
| %startupfolder%%insfolder%%insname% |
| %Temp%tmpG{Huidige tyd in millisekondes}.tmp |
| %Temp%log.tmp |
| %AppData%{'n Willekeurige volgorde van 10 karakters}.jpeg |
| C:UsersPublic{'n Willekeurige volgorde van 10 karakters}.vbs |
| %Temp%{Gepasmaakte vouernaam}{Lêernaam} |
Voorbeelde inligting
| Naam | Unknown |
| MD5 | F7722DD8660B261EA13B710062B59C43 |
| SHA1 | 15839B7AB0417FA35F2858722F0BD47BDF840D62 |
| SHA256 | 41DC0D5459F25E2FDCF8797948A7B315D3CB0753 98D808D1772CACCC726AF6E9 |
| Tipe | PE (.NET) |
| grootte | 327680 |
| Oorspronklike Naam | AZZRIDKGGSLTYFUUBCCRRCUMRKTOXFVPDKGAGPUZI_20190701133545943.exe |
| Datumstempel | 01.07.2019 |
| samesteller | VB.NET |
| Naam | IELibrary.dll |
| MD5 | BFB160A89F4A607A60464631ED3ED9FD |
| SHA1 | 1C981EF3EEA8548A30E8D7BF8D0D61F9224288DD |
| SHA256 | D55800A825792F55999ABDAD199DFA54F3184417 215A298910F2C12CD9CC31EE |
| Tipe | PE (.NET DLL) |
| grootte | 16896 |
| Oorspronklike Naam | IELibrary.dll |
| Datumstempel | 11.10.2016 |
| samesteller | Microsoft Linker (48.0*) |
Bron: will.com