نواصل سلسلة المقالات المخصصة لتحليل البرامج الضارة. في لقد أخبرنا جزئيًا كيف أجرى إيليا بوميرانتسيف، المتخصص في تحليل البرامج الضارة في CERT Group-IB، تحليلًا تفصيليًا لملف تم استلامه عبر البريد من إحدى الشركات الأوروبية واكتشف برامج تجسس هناك وكيل تسلا. في هذه المقالة، يقدم إيليا نتائج التحليل خطوة بخطوة للوحدة الرئيسية وكيل تسلا.
Agent Tesla عبارة عن حزمة برامج تجسس معيارية للبرامج الضارة كخدمة متنكرة على أنها منتج مسجل لوحة مفاتيح شرعي. Agent Tesla قادر على استخراج ونقل بيانات اعتماد المستخدم من المتصفحات وعملاء البريد الإلكتروني وعملاء FTP إلى الخادم للمهاجمين وتسجيل بيانات الحافظة والتقاط شاشة الجهاز. في وقت التحليل ، لم يكن الموقع الرسمي للمطورين متاحًا.
ملف الضبط
يسرد الجدول أدناه الوظائف التي تنطبق على النموذج الذي تستخدمه:
| وصف | قيمة |
| علامة استخدام KeyLogger | صحيح |
| علامة استخدام ScreenLogger | زائف |
| الفاصل الزمني لإرسال سجل KeyLogger بالدقائق | 20 |
| سجل ScreenLogger يرسل الفاصل الزمني بالدقائق | 20 |
| علامة التعامل مع مفتاح مسافة للخلف. خطأ - التسجيل فقط. صحيح - يمحو المفتاح السابق | زائف |
| نوع CNC. الخيارات: SMTP، لوحة الويب، بروتوكول نقل الملفات | SMTP |
| علامة تنشيط الموضوع لإنهاء العمليات من القائمة "%filter_list%" | زائف |
| علامة تعطيل UAC | زائف |
| مدير المهام تعطيل العلامة | زائف |
| علامة تعطيل CMD | زائف |
| تشغيل علامة تعطيل النافذة | زائف |
| عارض التسجيل تعطيل العلامة | زائف |
| تعطيل علامة نقاط استعادة النظام | صحيح |
| علامة تعطيل لوحة التحكم | زائف |
| علامة تعطيل MSCONFIG | زائف |
| علامة لتعطيل قائمة السياق في Explorer | زائف |
| دبوس العلم | زائف |
| مسار نسخ الوحدة الرئيسية عند تثبيتها على النظام | %مجلد بدء التشغيل% %المجلد%%insname% |
| علامة لتعيين سمات "النظام" و"المخفية" للوحدة الرئيسية المخصصة للنظام | زائف |
| وضع علامة لإجراء إعادة التشغيل عند تثبيته على النظام | زائف |
| علامة لنقل الوحدة الرئيسية إلى مجلد مؤقت | زائف |
| علامة تجاوز UAC | زائف |
| تنسيق التاريخ والوقت للتسجيل | yyyy-MM-dd HH: mm: ss |
| ضع علامة لاستخدام مرشح البرنامج لـ KeyLogger | صحيح |
| نوع تصفية البرنامج 1- يتم البحث عن اسم البرنامج في عناوين النوافذ 2- يتم البحث عن اسم البرنامج في اسم عملية النافذة |
1 |
| مرشح البرنامج | "فيسبوك" "تويتر" "جيميل" "إنستغرام" "فيلم" "سكايب" "إباحية" "الإختراق" "واتساب" "الخلاف" |
ربط الوحدة الرئيسية بالنظام
إذا تم تعيين العلامة المقابلة، فسيتم نسخ الوحدة الرئيسية إلى المسار المحدد في التكوين باعتباره المسار الذي سيتم تعيينه للنظام.
اعتمادا على القيمة من التكوين، يتم إعطاء الملف السمات "مخفي" و"النظام".
يتم توفير التشغيل التلقائي من خلال فرعين للتسجيل:
- برنامج HKCU، MicrosoftWindowsCurrentVersionRun%insregname%
- HKCUSOFTWAREMicrosoftWindowsCurrentVersionExplorerStartupApprovedRun %insregname%
منذ أن يدخل أداة تحميل التشغيل في العملية RegAsm، يؤدي تعيين العلامة المستمرة للوحدة الرئيسية إلى عواقب مثيرة للاهتمام للغاية. وبدلاً من نسخ نفسها، قامت البرامج الضارة بإرفاق الملف الأصلي بالنظام RegAsm.exeحيث تم خلالها إجراء عملية الحقن.
التفاعل مع C&C
بغض النظر عن الطريقة المستخدمة ، يبدأ اتصال الشبكة بالحصول على IP الخارجي للضحية باستخدام المورد [.]أمازوناو[.]كوم/.
فيما يلي وصف لأساليب تفاعل الشبكة المقدمة في البرنامج.
webpanel
يتم التفاعل عبر بروتوكول HTTP. تنفذ البرامج الضارة طلب POST بالرؤوس التالية:
- وكيل المستخدم: Mozilla/5.0 (Windows U Windows NT 6.1 ru rv:1.9.2.3) Gecko/20100401 Firefox/4.0 (.NET CLR 3.5.30729)
- اتصال: الحفاظ على الحياة
- نوع المحتوى: application / x-www-form-urlencoded
يتم تحديد عنوان الخادم بالقيمة %ما بعدURL%. يتم إرسال الرسالة المشفرة في المعلمة «ف». تم توضيح آلية التشفير في القسم "خوارزميات التشفير" (الطريقة الثانية).
تبدو الرسالة المرسلة كما يلي:
type={0}nhwid={1}ntime={2}npcname={3}nlogdata={4}nscreen={5}nipadd={6}nwebcam_link={7}nclient={8}nlink={9}nusername={10}npassword={11}nscreen_link={12}
المعلمة نوع يشير إلى نوع الرسالة:
hwid — يتم تسجيل تجزئة MD5 من قيم الرقم التسلسلي للوحة الأم ومعرف المعالج. على الأرجح يستخدم كمعرف مستخدم.
الوقت - يعمل على نقل الوقت والتاريخ الحاليين.
com.pcname - معرف ك /.
تسجيل البيانات - تسجيل البيانات.
عند إرسال كلمات المرور، تبدو الرسالة كما يلي:
type={0}nhwid={1}ntime={2}npcname={3}nlogdata={4}nscreen={5}nipadd={6}nwebcam_link={7}nscreen_link={8}n[passwords]
فيما يلي أوصاف البيانات المسروقة بالتنسيق nclient[]={0}nlink[]={1}nusername[]={2}npassword[]={3}.
SMTP
يتم التفاعل عبر بروتوكول SMTP. الرسالة المرسلة بتنسيق HTML. معامل الجسم لديه النموذج:
يحتوي رأس الرسالة على الشكل العام: / . لم يتم تشفير محتويات الرسالة ومرفقاتها.
يتم التفاعل عبر بروتوكول FTP. يتم نقل الملف بالاسم إلى الخادم المحدد _-_.html. محتويات الملف غير مشفرة.
خوارزميات التشفير
تستخدم هذه الحالة طرق التشفير التالية:
طريقة 1
تُستخدم هذه الطريقة لتشفير السلاسل في الوحدة الرئيسية. الخوارزمية المستخدمة للتشفير هي AES.
الإدخال هو رقم عشري مكون من ستة أرقام. يتم إجراء التحويل التالي عليه:
و(خ) = (((خ >> 2 - 31059) ^ 6380) - 1363) >> 3
القيمة الناتجة هي فهرس مجموعة البيانات المضمنة.
كل عنصر من عناصر المصفوفة عبارة عن تسلسل DWORD. عند الدمج DWORD يتم الحصول على مصفوفة من البايتات: أول 32 بايت هي مفتاح التشفير، تليها 16 بايت من متجه التهيئة، والبايتات المتبقية هي البيانات المشفرة.
طريقة 2
الخوارزمية المستخدمة 3DES في الوضع البنك المركزي الأوروبي مع الحشو بالبايتات الكاملة (PKCS7).
يتم تحديد المفتاح بواسطة المعلمة %urlkey%ومع ذلك، يستخدم التشفير تجزئة MD5 الخاصة به.
وظائف ضارة
تستخدم العينة محل الدراسة البرامج التالية لتنفيذ وظيفتها الخبيثة:
كلوغر
إذا كانت هناك علامة برامج ضارة مقابلة باستخدام وظيفة WinAPI SetWindowsHookEx يقوم بتعيين معالج خاص به لأحداث الضغط على لوحة المفاتيح. تبدأ وظيفة المعالج بالحصول على عنوان النافذة النشطة.
إذا تم تعيين علامة تصفية التطبيق، فسيتم إجراء التصفية وفقًا للنوع المحدد:
- يتم البحث عن اسم البرنامج في عناوين النوافذ
- يتم البحث عن اسم البرنامج في اسم عملية النافذة
بعد ذلك، تتم إضافة سجل إلى السجل يحتوي على معلومات حول النافذة النشطة بالتنسيق:
ثم يتم تسجيل المعلومات حول المفتاح الذي تم الضغط عليه:
| مفتاح | سجل |
| BACKSPACE | اعتمادًا على علامة معالجة مفتاح Backspace: خطأ - {BACK} صحيح - يمحو المفتاح السابق |
| CAPS LOCK | {CAPS LOCK} |
| ESC | {خروج} |
| PAGEUP | {صفحة لأعلى} |
| إلى أسفل | ↓ |
| حذف | {ديل} |
| " | " |
| F5 | {F5} |
| & | و |
| F10 | {F10} |
| TAB | {فاتورة غير مدفوعة} |
| < | < |
| > | > |
| فجوة | |
| F8 | {F8} |
| F12 | {F12} |
| F9 | {F9} |
| ALT + TAB | {ألت+تاب} |
| END | {نهاية} |
| F4 | {F4} |
| F2 | {F2} |
| CTRL | {كنترول} |
| F6 | {F6} |
| حق | → |
| Up | ↑ |
| F1 | {F1} |
| اليسار | ← |
| بين pagedown | {اسفل الصفحة} |
| إدراج | {إدراج} |
| كسب | {يفوز} |
| يكون NumLock | {نوملوك} |
| F11 | {F11} |
| F3 | {F3} |
| الصفحة الرئيسية | {بيت} |
| ENTER | {يدخل} |
| ALT + F4 | {بديل+F4} |
| F7 | {F7} |
| مفتاح آخر | يكون الحرف مكتوبًا بأحرف كبيرة أو صغيرة اعتمادًا على مواضع مفتاحي CapsLock وShift |
عند تردد محدد، يتم إرسال السجل المجمع إلى الخادم. إذا لم ينجح النقل، فسيتم حفظ السجل في ملف %TEMP%log.tmp في الشكل:
عند تشغيل المؤقت، سيتم نقل الملف إلى الخادم.
مسجل الشاشة
وبتكرار محدد، تقوم البرامج الضارة بإنشاء لقطة شاشة بالتنسيق الحياة السياسية في فرنسا مع معنى الجودة يساوي 50 ويحفظه في ملف %APPDATA %.jpg. بعد النقل، يتم حذف الملف.
الحافظة
إذا تم تعيين العلامة المناسبة، فسيتم إجراء عمليات الاستبدال في النص الذي تم اعتراضه وفقًا للجدول أدناه.
بعد ذلك، يتم إدراج النص في السجل:
سارق كلمة المرور
يمكن للبرامج الضارة تنزيل كلمات المرور من التطبيقات التالية:
| المتصفحات | عملاء البريد الإلكتروني | عملاء بروتوكول نقل الملفات |
| الكروم | بريد اوتلوك | فايلزيلا |
| برنامج فايرفوكس | ثندربيرد | WS_FTP |
| آي إي/إيدج | Foxmail | WinSCP |
| سفاري | بريد الأوبرا | كورفتب |
| متصفح أوبرا | إنكريديميل | متصفح بروتوكول نقل الملفات |
| ياندكس | بوكيميل | برنامج FlashFXP |
| Comodo | يودورا | سمارت إف تي بي |
| ChromePlus | الوطواط | FTPCommander |
| الكروم | صندوق بريد | |
| شعلة | ClawsMail | |
| 7Star | ||
| صديق | ||
| برنامج BraveSoftware | عملاء جابر | عملاء VPN |
| متصفح سنت | رطل لكل بوصة مربعة/رطل لكل بوصة مربعة+ | افتح VPN |
| شيدوت | ||
| كوككوك | ||
| متصفح العناصر | مديرو التنزيل | |
| متصفح ملحمة الخصوصية | مدير تحميل الانترنت | |
| المذنب | برنامج JDownloader | |
| Orbitum | ||
| السبوتنيك قمر صناعي | ||
| uCozMedia | ||
| فيفالدي | ||
| إضافات | ||
| متصفح فلوك | ||
| UC متصفح | ||
| الصقر الأسود | ||
| سايبر فوكس | ||
| ك Meleon | ||
| قط الجليد | ||
| Icedragon | ||
| القمر الشاحب | ||
| ووترفوكس | ||
| متصفح فالكون |
معارضة التحليل الديناميكي
- باستخدام الوظيفة النوم. يسمح لك بتجاوز بعض صناديق الحماية عن طريق المهلة
- تدمير الخيط المنطقة. معرف. يسمح لك بإخفاء حقيقة تنزيل ملف من الإنترنت
- في المعلمة %filter_list% يحدد قائمة العمليات التي ستنهيها البرامج الضارة على فترات زمنية مدتها ثانية واحدة
- انفصال حملات المستخدم العامة
- تعطيل مدير المهام
- انفصال CMD
- تعطيل النافذة "يركض"
- تعطيل لوحة التحكم
- تعطيل أداة رجديت
- تعطيل نقاط استعادة النظام
- تعطيل قائمة السياق في Explorer
- انفصال MSCONFIG
- تجاوز UAC:
الميزات غير النشطة للوحدة الرئيسية
أثناء تحليل الوحدة الرئيسية، تم تحديد الوظائف المسؤولة عن الانتشار عبر الشبكة وتتبع موضع الماوس.
دودة
تتم مراقبة أحداث توصيل الوسائط القابلة للإزالة في موضوع منفصل. عند الاتصال، يتم نسخ البرنامج الضار الذي يحمل الاسم إلى جذر نظام الملفات scr.exe، وبعد ذلك يبحث عن الملفات ذات الامتداد LNK. فريق الجميع LNK تغيير ل cmd.exe /c بدء تشغيل scr.exe&بدء والخروج.
يتم إعطاء سمة لكل دليل في جذر الوسائط "مختفي" ويتم إنشاء ملف بالملحق LNK مع اسم الدليل المخفي والأمر cmd.exe /c بدء تشغيل scr.exe&explorer /root،"%CD%" والخروج.
تعقب الماوس
طريقة إجراء الاعتراض مشابهة لتلك المستخدمة في لوحة المفاتيح. هذه الوظيفة لا تزال قيد التطوير.
نشاط الملف
| مسار | وصف |
| %درجة الحرارة%درجة الحرارة.tmp | يحتوي على عداد لمحاولات تجاوز UAC |
| %مجلد بدء التشغيل%%المجلد%%insname% | المسار الذي سيتم تخصيصه لنظام HPE |
| %Temp%tmpG{الوقت الحالي بالمللي ثانية}.tmp | مسار النسخ الاحتياطي للوحدة الرئيسية |
| %درجة الحرارة%log.tmp | ملف تسجيل |
| %AppData%{تسلسل عشوائي مكون من 10 أحرف}.jpeg | لقطات |
| C:UsersPublic{تسلسل عشوائي مكون من 10 أحرف}.vbs | المسار إلى ملف vbs الذي يمكن أن يستخدمه برنامج تحميل التشغيل لإرفاقه بالنظام |
| %Temp%{اسم المجلد المخصص}{اسم الملف} | المسار الذي يستخدمه برنامج تحميل التشغيل لربط نفسه بالنظام |
الملف الشخصي للمهاجم
بفضل بيانات المصادقة المشفرة، تمكنا من الوصول إلى مركز القيادة.
وقد سمح لنا ذلك بالتعرف على البريد الإلكتروني الأخير للمهاجمين:
جنيد[.]in***@gmail[.]com.
يتم تسجيل اسم المجال لمركز القيادة في البريد sg***@gmail[.]com.
اختتام
ومن خلال التحليل التفصيلي للبرامج الضارة المستخدمة في الهجوم، تمكنا من تحديد وظائفها والحصول على القائمة الأكثر اكتمالًا لمؤشرات الاختراق ذات الصلة بهذه الحالة. إن فهم آليات تفاعل الشبكة بين البرامج الضارة جعل من الممكن تقديم توصيات لضبط تشغيل أدوات أمن المعلومات، وكذلك كتابة قواعد IDS مستقرة.
الخطر الرئيسي وكيل تسلا مثل DataStealer من حيث أنه لا يحتاج إلى الالتزام بالنظام أو انتظار أمر التحكم لأداء مهامه. بمجرد وصوله إلى الجهاز، يبدأ على الفور في جمع المعلومات الخاصة ونقلها إلى CnC. يشبه هذا السلوك العدواني في بعض النواحي سلوك برامج الفدية، مع الاختلاف الوحيد هو أن الأخيرة لا تتطلب حتى اتصالاً بالشبكة. إذا واجهت هذه العائلة، بعد تنظيف النظام المصاب من البرامج الضارة نفسها، يجب عليك بالتأكيد تغيير جميع كلمات المرور التي يمكن، على الأقل من الناحية النظرية، حفظها في أحد التطبيقات المذكورة أعلاه.
وبالتطلع إلى المستقبل، لنفترض أن المهاجمين يرسلون وكيل تسلا، يتم تغيير محمل التمهيد الأولي كثيرًا. يتيح لك ذلك البقاء دون أن يلاحظك أحد بواسطة الماسحات الضوئية الثابتة والمحللات الإرشادية في وقت الهجوم. وميل هذه العائلة إلى بدء أنشطتها على الفور يجعل مراقبي النظام عديمي الفائدة. أفضل طريقة لمحاربة AgentTesla هي التحليل الأولي في وضع الحماية.
في المقالة الثالثة من هذه السلسلة سنلقي نظرة على أدوات تحميل التشغيل الأخرى المستخدمة وكيل تسلا، وكذلك دراسة عملية التفريغ شبه التلقائي. لا تفوت!
مزيج
| SHA1 |
| A8C2765B3D655BA23886D663D22BDD8EF6E8E894 |
| 8010CC2AF398F9F951555F7D481CE13DF60BBECF |
| 79B445DE923C92BF378B19D12A309C0E9C5851BF |
| 15839B7AB0417FA35F2858722F0BD47BDF840D62 |
| 1C981EF3EEA8548A30E8D7BF8D0D61F9224288DD |
سي أند سي
| URL |
| سينا-c0m[.]icu |
| smtp[.]sina-c0m[.]icu |
مفتاح التسجيل
| سجل |
| HKCUSoftwareMicrosoftWindowsCurrentVersionRun{اسم البرنامج النصي} |
| HKCUSoftwareMicrosoftWindowsCurrentVersionRun%insregname% |
| HKCUSOFTWAREMicrosoftWindowsCurrentVersionExplorerStartupApprovedRun%insregname% |
مزامنة
لا توجد مؤشرات.
ملفات
| نشاط الملف |
| %درجة الحرارة%درجة الحرارة.tmp |
| %مجلد بدء التشغيل%%المجلد%%insname% |
| %Temp%tmpG{الوقت الحالي بالمللي ثانية}.tmp |
| %درجة الحرارة%log.tmp |
| %AppData%{تسلسل عشوائي مكون من 10 أحرف}.jpeg |
| C:UsersPublic{تسلسل عشوائي مكون من 10 أحرف}.vbs |
| %Temp%{اسم المجلد المخصص}{اسم الملف} |
معلومات العينات
| الاسم | غير معروف |
| MD5 | F7722DD8660B261EA13B710062B59C43 |
| SHA1 | 15839B7AB0417FA35F2858722F0BD47BDF840D62 |
| SHA256 | 41DC0D5459F25E2FDCF8797948A7B315D3CB0753 98D808D1772CACCC726AF6E9 |
| النوع | بي (.نت) |
| مقاس | 327680 |
| الاسم الاصلي | AZZRIDKGGSLTYFUUBCCRRCUMRKTOXFVPDKGAGPUZI_20190701133545943.exe |
| طابع التاريخ | 01.07.2019 |
| مترجم | VB.NET |
| الاسم | IELibrary.dll |
| MD5 | BFB160A89F4A607A60464631ED3ED9FD |
| SHA1 | 1C981EF3EEA8548A30E8D7BF8D0D61F9224288DD |
| SHA256 | D55800A825792F55999ABDAD199DFA54F3184417 215A298910F2C12CD9CC31EE |
| النوع | PE (.NET DLL) |
| مقاس | 16896 |
| الاسم الاصلي | IELibrary.dll |
| طابع التاريخ | 11.10.2016 |
| مترجم | مايكروسوفت لينكر (48.0*) |
المصدر: www.habr.com