فشل الإقبال: نحضر AgentTesla لتنظيف المياه. الجزء 1
في الآونة الأخيرة ، اتصلت شركة أوروبية لتصنيع المعدات الكهربائية بـ Group-IB بعد أن تلقى أحد الموظفين رسالة بريد إلكتروني مشبوهة بها مرفق ضار في البريد. ايليا بوميرانتسيفأجرى ، متخصص في تحليل البرامج الضارة في CERT Group-IB ، تحليلاً مفصلاً لهذا الملف ، ووجد برنامج التجسس AgentTesla هناك وأخبر ما يمكن توقعه من هذه البرامج الضارة وسبب كونها خطيرة.
من خلال هذا المنشور ، نفتح سلسلة من المقالات حول كيفية تحليل مثل هذه الملفات التي يحتمل أن تكون خطرة ، ونحن ننتظر الأكثر فضولًا في 5 كانون الأول (ديسمبر) للحصول على ندوة تفاعلية مجانية على الويب حول هذا الموضوع "تحليل البرامج الضارة: تحليل حالات حقيقية". كل التفاصيل تحت الخفض.
آلية التوزيع
نحن نعلم أن البرامج الضارة دخلت جهاز الضحية عبر رسائل البريد الإلكتروني للتصيد الاحتيالي. ربما تم وضع مستلم الرسالة في نسخة مخفية.
يُظهر تحليل الرأس أن مرسل البريد الإلكتروني تم انتحاله. في الواقع ، انطلقت الرسالة من vps56 [.] oneworldhosting [.] com.
يوجد في مرفق الرسالة أرشيف WinRar qoute_jpeg56a.r15 مع ملف تنفيذي ضار QOUTE_JPEG56A.exe داخل.
النظام البيئي HPE
الآن دعنا نرى كيف يبدو النظام البيئي للبرامج الضارة قيد التحقيق. يوضح الرسم البياني أدناه هيكله واتجاهات تفاعل المكونات.
الآن دعنا نلقي نظرة فاحصة على كل مكون من مكونات البرامج الضارة.
محمل
الملف الأصلي QOUTE_JPEG56A.exe هو مترجم AutoIt v3 النصي.
للتشويش على النص الأصلي ، تشويش مع ما شابه PELock AutoIT-Obfuscator صفات.
يتم تنفيذ عملية إزالة التبسيط على ثلاث مراحل:
إزالة التشويش إذا
تتمثل الخطوة الأولى في استعادة تدفق التحكم في البرنامج النصي. تعد تسوية تدفق التحكم واحدة من أكثر الطرق شيوعًا لحماية التعليمات البرمجية الثنائية للتطبيق من التحليل. تزيد التحولات المبهمة بشكل كبير من تعقيد استخراج الخوارزميات وهياكل البيانات والتعرف عليها.
استعادة السلسلة
يتم استخدام وظيفتين لتشفير السلاسل:
gdorizabegkvfca - يقوم بفك تشفير يشبه Base64
xgacyukcyzxz - بايت بسيط XOR من السلسلة الأولى بطول الثانية
إزالة التشويش بيناريتوسترينج и تنفيذ
يتم تخزين الحمولة الرئيسية في نموذج منفصل في الدليل الخطوط قسم موارد الملفات.
ترتيب اللصق كما يلي: TIEQHCXWFG, IME, SPDGUHIMPV, KQJMWQQAQTKTFXTUOSW, أوشكروسكوو, JSHMSJPS, NHHWXJBMTTSPXVN, BFUTIFWWXVE, هوجهو, أفزومففردوفلوو.
لفك تشفير البيانات المستخرجة ، استخدم الدالة WinAPI كريبتديكريبت، ويتم استخدام مفتاح الجلسة الذي تم إنشاؤه بناءً على القيمة كمفتاح fZgFiZlJDxvuWatFRgRXZqmNCIyQgMYc.
الملف القابل للتنفيذ الذي تم فك تشفيره هو إدخال إلى الوظيفة RunPEالذي ينفذ عمليةحقن в RegAsm.exe باستخدام المدمج في شلكود (المعروف أيضًا باسم RunPE ShellCode). حقوق النشر تنتمي إلى مستخدم منتدى إسباني غير قابلة للكشف [.] صافي تحت الاسم المستعار Wardow.
ومن الجدير بالذكر أيضًا أنه في أحد خيوط هذا المنتدى ، هناك معتم لـ أوتويت مع خصائص مماثلة تم الكشف عنها أثناء تحليل العينة.
نفسه شلكود بسيطة للغاية وتجذب الانتباه فقط اقترضت من مجموعة الهاكر AnunakCarbanak. وظيفة تجزئة استدعاء API.
نحن نعلم أيضًا حالات الاستخدام كود القشرة الفرنسي إصدارات مختلفة.
بالإضافة إلى الوظائف الموصوفة ، حددنا أيضًا الوظائف غير النشطة:
منع الإنهاء اليدوي للعملية في مدير المهام
إعادة تشغيل عملية الطفل إذا انتهت
تجاوز UAC
حفظ الحمولة في ملف
مظاهرة النوافذ المشروطة
في انتظار تغيير موضع الماوس
AntiVM و AntiSandbox
التدمير الذاتي
تنزيل الحمولة من الشبكة
نحن نعلم أن هذه الوظيفة نموذجية للحامي سايفر اي تي، والذي يبدو أنه محمل الإقلاع قيد الدراسة.
الوحدة الرئيسية للبرامج الضارة
بعد ذلك ، سنصف بإيجاز وحدة البرامج الضارة الرئيسية ، وننظر فيها بمزيد من التفصيل في المقالة الثانية. في هذه الحالة ، يكون التطبيق قيد التشغيل . NET.
أثناء التحليل ، وجدنا أنه تم استخدام مُعتِم ConfuserEX.
IELibrary.dll
يتم تخزين المكتبة كمورد وحدة أساسية وهي مكون إضافي معروف لـ وكيل تسلا، والذي يوفر وظائف لاستخراج معلومات متنوعة من مستعرضات Internet Explorer و Edge.
Agent Tesla عبارة عن حزمة برامج تجسس معيارية للبرامج الضارة كخدمة متنكرة على أنها منتج مسجل لوحة مفاتيح شرعي. Agent Tesla قادر على استخراج ونقل بيانات اعتماد المستخدم من المتصفحات وعملاء البريد الإلكتروني وعملاء FTP إلى الخادم للمهاجمين وتسجيل بيانات الحافظة والتقاط شاشة الجهاز. في وقت التحليل ، لم يكن الموقع الرسمي للمطورين متاحًا.
نقطة الدخول هي الوظيفة الحصول على كلمات المرور المحفوظة فئة Internet Explorer.
بشكل عام ، يكون تنفيذ الكود خطيًا ولا يحتوي على وسائل حماية من التحليل. فقط الوظيفة غير المحققة تستحق الاهتمام الحصول على ملفات تعريف الارتباط المحفوظة. على ما يبدو ، كان من المفترض أن يتم توسيع وظائف المكون الإضافي ، لكن هذا لم يحدث أبدًا.
إصلاح محمل الإقلاع في النظام
دعونا ندرس كيفية إصلاح محمل الإقلاع في النظام. لا يقوم المثيل الذي تم فحصه بإجراء التثبيت ، ومع ذلك ، في الأحداث المماثلة ، يحدث على النحو التالي:
في المجلد ج: UsersPublic يتم إنشاء البرنامج النصي Visual Basic
مثال على البرنامج النصي:
محتوى ملف المحمل مبطن بحرف فارغ ويتم حفظه في المجلد ٪ Temp٪ <اسم المجلد المخصص> <اسم الملف>
يتم إنشاء مفتاح التشغيل التلقائي في التسجيل لملف البرنامج النصي HKCUSoftwareMicrosoftWindowsCurrentVersionRun <اسم البرنامج النصي>
لذلك ، وفقًا لنتائج الجزء الأول من التحليل ، تمكنا من تحديد أسماء عائلات جميع مكونات البرامج الضارة قيد الدراسة ، وتحليل مخطط الإصابة ، وكذلك الحصول على كائنات لكتابة التوقيعات. سنواصل تحليل هذا الكائن في المقالة التالية ، حيث سنلقي نظرة فاحصة على الوحدة الرئيسية وكيل تسلا. لا تفوت!
بالمناسبة ، في 5 كانون الأول (ديسمبر) ، ندعو جميع القراء إلى ندوة تفاعلية مجانية على الويب حول موضوع "تحليل البرامج الضارة: تحليل الحالات الحقيقية" ، حيث سيعرض مؤلف هذه المقالة ، وهو متخصص في CERT-GIB ، عبر الإنترنت المرحلة الأولى من تحليل البرامج الضارة - التفريغ شبه التلقائي للعينات باستخدام مثال لثلاث حالات مصغرة حقيقية من الممارسة ، ويمكنك المشاركة في التحليل. ندوة الويب مناسبة للمتخصصين الذين لديهم بالفعل خبرة في تحليل الملفات الضارة. التسجيل بصرامة من بريد الشركة: зарегистрируйтесь. في انتظاركم!