🥇Яўка правалена: выводзім AgentTesla на чыстую ваду. Частка 1

Нядаўна ў Group-IB звярнулася еўрапейская кампанія-вытворца электрамантажнага абсталявання - яе супрацоўнік атрымаў па пошце падазроны ліст з шкоднасным укладаннем. Ілля Памаранцаў, адмысловец па аналізе шкоднаснага кода CERT Group-IB, правёў дэталёвы аналіз гэтага файла, выявіў тамака шпіёнскую праграму AgentTesla і распавёў, чаго чакаць ад падобнага СПА і чым яно небяспечна.

Гэтым пастом мы адчыняем серыю артыкулаў аб тым, як праводзіць аналіз падобных патэнцыйна небяспечных файлаў, а самых цікаўных чакаем 5 снежня на бясплатны інтэрактыўны вэбінар па тэме. "Аналіз шкоднаснага ПА: разбор рэальных кейсаў". Усе падрабязнасці - пад катом.

Механізм распаўсюджвання

Нам вядома, што шкоднаснае ПЗ патрапіла на машыну ахвяры праз фішынгавыя лісты. Атрымальнік ліста быў, верагодна, пастаўлены ва ўтоеную копію.

Аналіз загалоўкаў паказвае, што адпраўнік ліста быў падроблены. У рэчаіснасці ліст сышло з vps56[.]oneworldhosting[.]com.

У атачы ліста знаходзіцца архіў WinRar qoute_jpeg56a.r15 з шкоднасным выкананым файлам QOUTE_JPEG56A.exe ўнутры.

Экасістэма ВПА

Зараз паглядзім, як выглядае экасістэма доследнага шкоднаснага ПЗ. На схеме ніжэй намалявана яго структура і кірункі ўзаемадзеяння кампанентаў.

Зараз разгледзім кожны з кампанентаў ВПО падрабязней.

загрузнік

Зыходны файл QOUTE_JPEG56A.exe уяўляе сабой адкампіляваны AutoIt v3 скрыпт.

Для абфускацыі зыходнага скрыпту выкарыстоўваўся абфускатар з аналагічнымі. PELock AutoIT-Obfuscator характарыстыкамі.
Дэабфускацыя вырабляецца ў тры этапы:

Зняцце абфускацыі For-If
Перш за ўсё неабходна аднавіць струмень кіравання скрыпту. Заблытванне патоку кіравання (Control Flow Flattening) - адзін з найбольш распаўсюджаных спосабаў абароны бінарнага кода прыкладанняў ад аналізу. Якія заблытваюць пераўтварэнні рэзка павялічваюць працаёмкасць вылучэння і распазнанні алгарытмаў і структур дадзеных.
Аднаўленне радкоў
Для шыфравання радкоў выкарыстоўваюцца дзве функцыі:
- gdorizabegkvfca - выконвае Base64-падобнае дэкадаванне
- xgacyukcyzxz — просты пабайтавы XOR першага радка з даўжынёй другі
Зняцце абфускацыі BinaryToString и Выконваць

Асноўная нагрузка захоўваецца ў падзеленым выглядзе ў дырэкторыі Шрыфты секцыі рэсурсаў файла.

Парадак злепвання наступны: TIEQHCXWFG, EMI, SPDGUHIMPV, KQJMWQQAQTKTFXTUOSW, AOCHKRWWSKWO, JSHMSJPS, NHHWXJBMTTSPXVN, BFUTIFWWXVE, HWJHO, AVZOUMVFRDWFLWU.

Для дэшыфроўкі вынятых дадзеных выкарыстоўваецца WinAPI-функцыя CryptDecrypt, а ў якасці ключа прымяняецца сесійны ключ, згенераваны на аснове значэння fZgFiZlJDxvuWatFRgRXZqmNCIyQgMYc.

Дэшыфраваны выкананы файл паступае на ўваход функцыі RunPE, якая ажыццяўляе ProcessInject в RegAsm.exe пры дапамозе ўбудаванага ShellCode (Таксама вядомага як RunPE ShellCode). Аўтарства належыць карыстальніку іспанскага форума indetectables[.]net пад нікам Wardow.

Варта таксама адзначыць, што ў адной з галінак гэтага форума абмяркоўваўся абфускатар для На даху з аналагічнымі выяўленым у працэсе аналізу сэмпла ўласцівасцямі.

Сам ShellCode даволі просты і прыцягвае да сябе ўвагу толькі запазычанай у хакерскай групы AnunakCarbanak. функцыяй хэшавання API-выклікаў.

Нам таксама вядомы выпадкі выкарыстання Frenchy Shellcode розных версій.
Апроч апісанага функцыяналу мы таксама выявілі неактыўныя функцыі:

Блакаванне ручнога завяршэння працэсу ў мэнэджэры задач
Перазапуск даччынага працэсу ў выпадку яго завяршэння
Абыход UAC
Захаванне карыснай нагрузкі ў файл
Дэманстрацыя мадальных вокнаў
Чаканне змены пазіцыі курсора мышы
AntiVM і AntiSandbox
Самазнішчэнне
Выпампоўванне карыснай нагрузкі з сеткі

Нам вядома, што такі функцыянал характэрны для пратэктара. CypherIT, Якім, мяркуючы па ўсім, і з'яўляецца доследны загрузнік.

Асноўны модуль ВПА

Далей коратка апішам асноўны модуль ВПО, а больш падрабязна разгледзім яго ў другім артыкуле. У дадзеным выпадку ён уяўляе сабой дадатак на . NET.

У ходзе аналізу мы выявілі, што выкарыстоўваўся абфускатар. ConfuserEX.

IELibrary.dll

Бібліятэка захоўваецца ў выглядзе рэсурсу асноўнага модуля і з'яўляецца вядомым убудовай для AgentTesla, які дае функцыянал для вымання рознай інфармацыі з браўзэраў Internet Explorer і Edge.

Agent Tesla – гэта модульнае праграмнае забеспячэнне для шпіянажу, якое распаўсюджваецца па мадэлі malware-as-a-service пад выглядам легальнага кейлоггер-прадукта. Agent Tesla здольны здабываць і перадаваць на сервер зламыснікам уліковыя дадзеныя карыстача з браўзэраў, паштовых кліентаў і кліентаў FTP, рэгістраваць дадзеныя буфера абмену, захопліваць экран прылады. На момант аналізу афіцыйны сайт распрацоўшчыкаў быў недаступны.

Пунктам уваходу служыць функцыя GetSavedPasswords класа InternetExplorer.

У цэлым, выкананне кода лінейна і не ўтрымоўвае сродкаў абароны ад аналізу. Увагі заслугоўвае толькі нерэалізаваная функцыя GetSavedCookies. Мабыць, функцыянал плагіна меркавалася пашырыць, але гэта так і не было зроблена.

Замацаванне загрузніка ў сістэме

Вывучым, якім чынам загрузнік замацоўваецца ў сістэме. Доследны экзэмпляр не ажыццяўляе замацавання, аднак у аналагічных падзеях яно адбываецца па наступнай схеме:

У тэчцы З:UsersPublic ствараецца скрыпт Візуальны Бейсик
Прыклад скрыпту:
Змесціва файла загрузніка дапаўняецца нулявым сімвалам і захоўваецца ў тэчку %Temp%<Адвольнае імя тэчкі><Імя файла>
У рэестры ствараецца ключ на аўтазапуск для файла скрыпту HKCUSoftwareMicrosoftWindowsCurrentVersionRun<Імя скрыпту>

Такім чынам, па выніках першай часткі аналізу нам атрымалася ўсталяваць назовы сямействаў усіх кампанентаў які вывучаецца ВПО, разабраць схему заражэння, а таксама атрымаць аб'екты для напісання сігнатур. Мы працягнем разбор гэтага аб'екта ў наступным артыкуле, дзе больш дэталёва разгледзім асноўны модуль AgentTesla. Не прапусціце!

Дарэчы, 5 снежня запрашаем усіх чытачоў на бясплатны інтэрактыўны вэбінар па тэме «Аналіз шкоднаснага ПЗ: разбор рэальных кейсаў», дзе аўтар гэтага артыкула, спецыяліст CERT-GIB, у анлайн-рэжыме пакажа першы этап аналізу СПА – паўаўтаматычную распакоўку сэмплаў на прыкладзе трох рэальных. міні-кейсаў з практыкі, а вы зможаце прыняць удзел у аналізе. Вебінар падыдзе адмыслоўцам, якія ўжо мелі досвед аналізу шкоднасных файлаў. Рэгістрацыя строга з карпаратыўнай пошты: зарэгіструйцеся. Чакаем вас!

Yara

rule AgentTesla_clean{
meta:
    author = "Group-IB"
    file = "78566E3FC49C291CB117C3D955FA34B9A9F3EEFEFAE3DE3D0212432EB18D2EAD"
    scoring = 5
    family = "AgentTesla"
strings:
    $string_format_AT = {74 00 79 00 70 00 65 00 3D 00 7B 00 30 00 7D 00 0D 00 0A 00 68 00 77 00 69 00 64 00 3D 00 7B 00 31 00 7D 00 0D 00 0A 00 74 00 69 00 6D 00 65 00 3D 00 7B 00 32 00 7D 00 0D 00 0A 00 70 00 63 00 6E 00 61 00 6D 00 65 00 3D 00 7B 00 33 00 7D 00 0D 00 0A 00 6C 00 6F 00 67 00 64 00 61 00 74 00 61 00 3D 00 7B 00 34 00 7D 00 0D 00 0A 00 73 00 63 00 72 00 65 00 65 00 6E 00 3D 00 7B 00 35 00 7D 00 0D 00 0A 00 69 00 70 00 61 00 64 00 64 00 3D 00 7B 00 36 00 7D 00 0D 00 0A 00 77 00 65 00 62 00 63 00 61 00 6D 00 5F 00 6C 00 69 00 6E 00 6B 00 3D 00 7B 00 37 00 7D 00 0D 00 0A 00 73 00 63 00 72 00 65 00 65 00 6E 00 5F 00 6C 00 69 00 6E 00 6B 00 3D 00 7B 00 38 00 7D 00 0D 00 0A 00 5B 00 70 00 61 00 73 00 73 00 77 00 6F 00 72 00 64 00 73 00 5D 00}
    $web_panel_format_string = {63 00 6C 00 69 00 65 00 6E 00 74 00 5B 00 5D 00 3D 00 7B 00 30 00 7D 00 0D 00 0A 00 6C 00 69 00 6E 00 6B 00 5B 00 5D 00 3D 00 7B 00 31 00 7D 00 0D 00 0A 00 75 00 73 00 65 00 72 00 6E 00 61 00 6D 00 65 00 5B 00 5D 00 3D 00 7B 00 32 00 7D 00 0D 00 0A 00 70 00 61 00 73 00 73 00 77 00 6F 00 72 00 64 00 5B 00 5D 00 3D 00 7B 00 33 00 7D 00 00 15 55 00 52 00 4C 00 3A 00 20 00 20 00 20 00 20 00 20 00 20 00 00 15 55 00 73 00 65 00 72 00 6E 00 61 00 6D 00 65 00 3A 00 20 00 00 15 50 00 61 00 73 00 73 00 77 00 6F 00 72 00 64 00 3A 00}
condition:
     all of them
}

rule  AgentTesla_obfuscated {
meta:
    author = "Group-IB"
    file = "41DC0D5459F25E2FDCF8797948A7B315D3CB075398D808D1772CACCC726AF6E9"
    scoring = 5
    family = "AgentTesla"
strings:
    $first_names = {61 66 6B 00 61 66 6D 00 61 66 6F 00 61 66 76 00 61 66 79 00 61 66 78 00 61 66 77 00 61 67 6A 00 61 67 6B 00 61 67 6C 00 61 67 70 00 61 67 72 00 61 67 73 00 61 67 75 00}
    $second_names = "IELibrary.resources"
condition:
     all of them
}

rule AgentTesla_module_for_IE{
meta:
    author = "Group-IB"
    file = "D55800A825792F55999ABDAD199DFA54F3184417215A298910F2C12CD9CC31EE"
    scoring = 5
    family = "AgentTesla_module_for_IE"
strings:
    $s0 = "ByteArrayToStructure" 
    $s1 = "CryptAcquireContext" 
    $s2 = "CryptCreateHash" 
    $s3 = "CryptDestroyHash" 
    $s4 = "CryptGetHashParam" 
    $s5 = "CryptHashData"
    $s6 = "CryptReleaseContext" 
    $s7 = "DecryptIePassword" 
    $s8 = "DoesURLMatchWithHash" 
    $s9 = "GetSavedCookies" 
    $s10 = "GetSavedPasswords" 
    $s11 = "GetURLHashString"  
condition:
     all of them
}

rule RunPE_shellcode {
meta:
    author = "Group-IB"
    file = "37A1961361073BEA6C6EACE6A8601F646C5B6ECD9D625E049AD02075BA996918"
    scoring = 5
    family = "RunPE_shellcode"
strings:
    $malcode = {
      C7 [2-5] EE 38 83 0C // mov     dword ptr [ebp-0A0h], 0C8338EEh
      C7 [2-5] 57 64 E1 01 // mov     dword ptr [ebp-9Ch], 1E16457h
      C7 [2-5] 18 E4 CA 08 // mov     dword ptr [ebp-98h], 8CAE418h
      C7 [2-5] E3 CA D8 03 // mov     dword ptr [ebp-94h], 3D8CAE3h
      C7 [2-5] 99 B0 48 06 // mov     dword ptr [ebp-90h], 648B099h
      C7 [2-5] 93 BA 94 03 // mov     dword ptr [ebp-8Ch], 394BA93h
      C7 [2-5] E4 C7 B9 04 // mov     dword ptr [ebp-88h], 4B9C7E4h
      C7 [2-5] E4 87 B8 04 // mov     dword ptr [ebp-84h], 4B887E4h
      C7 [2-5] A9 2D D7 01 // mov     dword ptr [ebp-80h], 1D72DA9h
      C7 [2-5] 05 D1 3D 0B // mov     dword ptr [ebp-7Ch], 0B3DD105h
      C7 [2-5] 44 27 23 0F // mov     dword ptr [ebp-78h], 0F232744h
      C7 [2-5] E8 6F 18 0D // mov     dword ptr [ebp-74h], 0D186FE8h
      }
condition:
    $malcode 
}

rule AgentTesla_AutoIT_module{
meta:
    author = "Group-IB"
    file = "49F94293F2EBD8CEFF180EDDD58FA50B30DC0F08C05B5E3BD36FD52668D196AF"
    scoring = 5
    family = "AgentTesla"
strings:                                    
    $packedexeau = {55 ED F5 9F 92 03 04 44 7E 16 6D 1F 8C D7 38 E6 29 E4 C8 CF DA 2C C4 E1 F3 65 48 25 B8 93 9D 66 A4 AD 3C 39 50 00 B9 60 66 19 8D FC 20 0A A0 56 52 8B 9F 15 D7 62 30 0D 5C C3 24 FE F8 FC 39 08 DF 87 2A B2 1C E9 F7 06 A8 53 B2 69 C3 3C D4 5E D4 74 91 6E 9D 9A A0 96 FD DB 1F 5E 09 D7 0F 25 FB 46 4E 74 15 BB AB DB 17 EE E7 64 33 D6 79 02 E4 85 79 14 6B 59 F9 43 3C 81 68 A8 B5 32 BC E6}
condition:
     all of them
}

Хэшы

Імя	qoute_jpeg56a.r15
MD5	53BE8F9B978062D4411F71010F49209E
SHA1	A8C2765B3D655BA23886D663D22BDD8EF6E8E894
SHA256	2641DAFB452562A0A92631C2849B8B9CE880F0F8F 890E643316E9276156EDC8A
тып	Archive WinRAR
памер	823014

Імя	QOUTE_JPEG56A.exe
MD5	329F6769CF21B660D5C3F5048CE30F17
SHA1	8010CC2AF398F9F951555F7D481CE13DF60BBECF
SHA256	49F94293F2EBD8CEFF180EDDD58FA50B30DC0F08 C05B5E3BD36FD52668D196AF
тып	PE (Compiled AutoIt Script)
памер	1327616
OrginalName	Невядомы
DateStamp	15.07.2019
Сувязі	Microsoft Linker(12.0)[EXE32]

MD5	C2743AEDDADACC012EF4A632598C00C0
SHA1	79B445DE923C92BF378B19D12A309C0E9C5851BF
SHA256	37A1961361073BEA6C6EACE6A8601F646C5B6ECD 9D625E049AD02075BA996918
тып	ShellCode
памер	1474

Крыніца: habr.com

Яўка правалена: выводны AgentTesla на чыстую ваду. Частка 1