Неуспешна избирателна активност: нека изложим AgentTesla на чиста вода. Част 1

Наскоро европейски производител на електроинсталационно оборудване се свърза с Group-IB - негов служител получи подозрително писмо със злонамерен прикачен файл по пощата. Иля Померанцев, специалист по анализ на зловреден софтуер в CERT Group-IB, извърши подробен анализ на този файл, откри там шпионския софтуер на AgentTesla и каза какво да очаквате от такъв зловреден софтуер и колко е опасен.

С тази публикация откриваме поредица от статии за това как да анализираме такива потенциално опасни файлове и очакваме най-любопитните на 5 декември за безплатен интерактивен уебинар по темата „Анализ на зловреден софтуер: анализ на реални случаи“. Всички детайли са под кройката.

Разпределителен механизъм

Знаем, че зловреден софтуер е достигнал до машината на жертвата чрез фишинг имейли. Получателят на писмото вероятно е BCCed.

Анализът на заглавките показва, че подателят на писмото е бил подправен. Всъщност писмото си тръгна с vps56[.]oneworldhosting[.]com.

Прикаченият имейл съдържа WinRar архив qoute_jpeg56a.r15 със злонамерен изпълним файл QOUTE_JPEG56A.exe вътре.

HPE екосистема

Сега нека да видим как изглежда екосистемата на изследвания зловреден софтуер. Схемата по-долу показва неговата структура и посоките на взаимодействие на компонентите.

Сега нека разгледаме по-подробно всеки от компонентите на зловреден софтуер.

Товарач

Оригинален файл QOUTE_JPEG56A.exe е компилиран AutoIt v3 сценарий.

За да обфускаирате оригиналния скрипт, обфускатор с подобен PELock AutoIT-Obfuscator характеристики.
Деобфускацията се извършва на три етапа:

1. Премахване на обфускацията За-Ако

   Първата стъпка е да възстановите контролния поток на скрипта. Control Flow Flattening е един от най-разпространените начини за защита на двоичния код на приложението от анализ. Объркващите трансформации драстично увеличават сложността на извличането и разпознаването на алгоритми и структури от данни.

   

2. Възстановяване на ред

   Две функции се използват за криптиране на низове:

   • gdorizabegkvfca - Извършва декодиране, подобно на Base64

     

   • xgacyukcyzxz - просто байт-байт XOR на първия низ с дължината на втория

     

   

3. Премахване на обфускацията BinaryToString и Изпълнение

   

Основният товар се съхранява в разделен вид в директорията Шрифтове раздели с ресурси на файла.

Редът на залепване е както следва: TIEQHCXWFG, ИПИ, SPDGUHIMPV, KQJMWQQAQTKTFXTUOSW, AOCHKRWWSKWO, JSHMSJPS, NHHWXJBMTTSPXVN, BFUTIFWWXVE, HWJHO, AVZOUMVFRDWFLWU.

Функцията WinAPI се използва за дешифриране на извлечените данни CryptDecryptи сесийният ключ, генериран въз основа на стойността, се използва като ключ fZgFiZlJDxvuWatFRgRXZqmNCIyQgMYc.

Дешифрираният изпълним файл се изпраща на входа на функцията RunPE, която извършва ProcessInject в RegAsm.exe с помощта на вградени ShellCode (също известен като RunPE ShellCode). Авторството принадлежи на потребителя на испанския форум неоткриваеми [.] мрежа под прякора Wardow.

Също така си струва да се отбележи, че в една от темите на този форум, обфускатор за AutoIt с подобни свойства, идентифицирани по време на анализа на пробата.

Себе си ShellCode доста проста и привлича вниманието само заимствана от хакерската група AnunakCarbanak. Функция за хеширане на извикване на API.

Също така сме наясно със случаите на употреба Френски шелкод различни версии.
В допълнение към описаната функционалност, идентифицирахме и неактивни функции:

• Блокиране на ръчно прекратяване на процеса в диспечера на задачите

  

• Рестартиране на дъщерен процес, когато той приключи

  

• Заобикаляне на UAC

  

• Запазване на полезния товар във файл

  

• Демонстрация на модални прозорци

  

• Изчакване позицията на курсора на мишката да се промени

  

• AntiVM и AntiSandbox

  

• самоунищожение

  

• Изпомпване на полезен товар от мрежата

  

Знаем, че подобна функционалност е характерна за протектора CypherIT, което очевидно е въпросният буутлоудър.

Основен модул на софтуера

След това ще опишем накратко основния модул на зловреден софтуер и ще го разгледаме по-подробно във втората статия. В случая това е приложение на . NET.

По време на анализа открихме, че е използван обфускатор ConfuserEX.

IELibrary.dll

Библиотеката се съхранява като основен модулен ресурс и е добре познат плъгин за Агент Тесла, който предоставя функционалност за извличане на различна информация от браузърите Internet Explorer и Edge.

Agent Tesla е модулен софтуер за шпиониране, разпространяван с помощта на модел на злонамерен софтуер като услуга под прикритието на легитимен кийлогър продукт. Agent Tesla е способен да извлича и предава потребителски идентификационни данни от браузъри, имейл клиенти и FTP клиенти към сървъра към нападателите, да записва данни от клипборда и да заснема екрана на устройството. По време на анализа официалният уебсайт на разработчиците не беше достъпен.

Входната точка е функцията GetSavedPasswords клас InternetExplorer.

Като цяло изпълнението на кода е линейно и не съдържа защита срещу анализ. Внимание заслужава само нереализираната функция GetSavedCookies. Очевидно функционалността на плъгина е трябвало да бъде разширена, но това така и не е направено.

Прикачване на буутлоудъра към системата

Нека да проучим как буутлоудърът е прикрепен към системата. Изследваният екземпляр не се закотвя, но при подобни събития това се случва по следната схема:

1. В папка C:UsersPublic е създаден скрипт Visual Basic

   Пример за скрипт:

   

2. Съдържанието на файла за зареждане се допълва с нулев знак и се записва в папката %Temp%<Име на папка по избор><Име на файл>
3. Създава се ключ за автоматично стартиране в системния регистър за файла със скрипта HKCUSoftwareMicrosoftWindowsCurrentVersionRun<име на скрипт>

И така, въз основа на резултатите от първата част на анализа, успяхме да установим имената на семействата на всички компоненти на изследвания злонамерен софтуер, да анализираме модела на заразяване и също да получим обекти за писане на подписи. Ще продължим анализа на този обект в следващата статия, където ще разгледаме по-подробно основния модул Агент Тесла. Не пропускайте!

Между другото, на 5 декември каним всички читатели на безплатен интерактивен уебинар на тема „Анализ на зловреден софтуер: анализ на реални случаи“, където авторът на тази статия, специалист от CERT-GIB, ще покаже онлайн първия етап на анализ на злонамерен софтуер - полуавтоматично разопаковане на проби по примера на три реални мини-случая от практиката, като можете да участвате в анализа. Уебинарът е подходящ за специалисти, които вече имат опит в анализирането на злонамерени файлове. Регистрацията е строго от корпоративния имейл: регистър. Чакам те!

рана

rule AgentTesla_clean{
meta:
    author = "Group-IB"
    file = "78566E3FC49C291CB117C3D955FA34B9A9F3EEFEFAE3DE3D0212432EB18D2EAD"
    scoring = 5
    family = "AgentTesla"
strings:
    $string_format_AT = {74 00 79 00 70 00 65 00 3D 00 7B 00 30 00 7D 00 0D 00 0A 00 68 00 77 00 69 00 64 00 3D 00 7B 00 31 00 7D 00 0D 00 0A 00 74 00 69 00 6D 00 65 00 3D 00 7B 00 32 00 7D 00 0D 00 0A 00 70 00 63 00 6E 00 61 00 6D 00 65 00 3D 00 7B 00 33 00 7D 00 0D 00 0A 00 6C 00 6F 00 67 00 64 00 61 00 74 00 61 00 3D 00 7B 00 34 00 7D 00 0D 00 0A 00 73 00 63 00 72 00 65 00 65 00 6E 00 3D 00 7B 00 35 00 7D 00 0D 00 0A 00 69 00 70 00 61 00 64 00 64 00 3D 00 7B 00 36 00 7D 00 0D 00 0A 00 77 00 65 00 62 00 63 00 61 00 6D 00 5F 00 6C 00 69 00 6E 00 6B 00 3D 00 7B 00 37 00 7D 00 0D 00 0A 00 73 00 63 00 72 00 65 00 65 00 6E 00 5F 00 6C 00 69 00 6E 00 6B 00 3D 00 7B 00 38 00 7D 00 0D 00 0A 00 5B 00 70 00 61 00 73 00 73 00 77 00 6F 00 72 00 64 00 73 00 5D 00}
    $web_panel_format_string = {63 00 6C 00 69 00 65 00 6E 00 74 00 5B 00 5D 00 3D 00 7B 00 30 00 7D 00 0D 00 0A 00 6C 00 69 00 6E 00 6B 00 5B 00 5D 00 3D 00 7B 00 31 00 7D 00 0D 00 0A 00 75 00 73 00 65 00 72 00 6E 00 61 00 6D 00 65 00 5B 00 5D 00 3D 00 7B 00 32 00 7D 00 0D 00 0A 00 70 00 61 00 73 00 73 00 77 00 6F 00 72 00 64 00 5B 00 5D 00 3D 00 7B 00 33 00 7D 00 00 15 55 00 52 00 4C 00 3A 00 20 00 20 00 20 00 20 00 20 00 20 00 00 15 55 00 73 00 65 00 72 00 6E 00 61 00 6D 00 65 00 3A 00 20 00 00 15 50 00 61 00 73 00 73 00 77 00 6F 00 72 00 64 00 3A 00}
condition:
     all of them
}

rule  AgentTesla_obfuscated {
meta:
    author = "Group-IB"
    file = "41DC0D5459F25E2FDCF8797948A7B315D3CB075398D808D1772CACCC726AF6E9"
    scoring = 5
    family = "AgentTesla"
strings:
    $first_names = {61 66 6B 00 61 66 6D 00 61 66 6F 00 61 66 76 00 61 66 79 00 61 66 78 00 61 66 77 00 61 67 6A 00 61 67 6B 00 61 67 6C 00 61 67 70 00 61 67 72 00 61 67 73 00 61 67 75 00}
    $second_names = "IELibrary.resources"
condition:
     all of them
}

rule AgentTesla_module_for_IE{
meta:
    author = "Group-IB"
    file = "D55800A825792F55999ABDAD199DFA54F3184417215A298910F2C12CD9CC31EE"
    scoring = 5
    family = "AgentTesla_module_for_IE"
strings:
    $s0 = "ByteArrayToStructure" 
    $s1 = "CryptAcquireContext" 
    $s2 = "CryptCreateHash" 
    $s3 = "CryptDestroyHash" 
    $s4 = "CryptGetHashParam" 
    $s5 = "CryptHashData"
    $s6 = "CryptReleaseContext" 
    $s7 = "DecryptIePassword" 
    $s8 = "DoesURLMatchWithHash" 
    $s9 = "GetSavedCookies" 
    $s10 = "GetSavedPasswords" 
    $s11 = "GetURLHashString"  
condition:
     all of them
}

rule RunPE_shellcode {
meta:
    author = "Group-IB"
    file = "37A1961361073BEA6C6EACE6A8601F646C5B6ECD9D625E049AD02075BA996918"
    scoring = 5
    family = "RunPE_shellcode"
strings:
    $malcode = {
      C7 [2-5] EE 38 83 0C // mov     dword ptr [ebp-0A0h], 0C8338EEh
      C7 [2-5] 57 64 E1 01 // mov     dword ptr [ebp-9Ch], 1E16457h
      C7 [2-5] 18 E4 CA 08 // mov     dword ptr [ebp-98h], 8CAE418h
      C7 [2-5] E3 CA D8 03 // mov     dword ptr [ebp-94h], 3D8CAE3h
      C7 [2-5] 99 B0 48 06 // mov     dword ptr [ebp-90h], 648B099h
      C7 [2-5] 93 BA 94 03 // mov     dword ptr [ebp-8Ch], 394BA93h
      C7 [2-5] E4 C7 B9 04 // mov     dword ptr [ebp-88h], 4B9C7E4h
      C7 [2-5] E4 87 B8 04 // mov     dword ptr [ebp-84h], 4B887E4h
      C7 [2-5] A9 2D D7 01 // mov     dword ptr [ebp-80h], 1D72DA9h
      C7 [2-5] 05 D1 3D 0B // mov     dword ptr [ebp-7Ch], 0B3DD105h
      C7 [2-5] 44 27 23 0F // mov     dword ptr [ebp-78h], 0F232744h
      C7 [2-5] E8 6F 18 0D // mov     dword ptr [ebp-74h], 0D186FE8h
      }
condition:
    $malcode 
}

rule AgentTesla_AutoIT_module{
meta:
    author = "Group-IB"
    file = "49F94293F2EBD8CEFF180EDDD58FA50B30DC0F08C05B5E3BD36FD52668D196AF"
    scoring = 5
    family = "AgentTesla"
strings:                                    
    $packedexeau = {55 ED F5 9F 92 03 04 44 7E 16 6D 1F 8C D7 38 E6 29 E4 C8 CF DA 2C C4 E1 F3 65 48 25 B8 93 9D 66 A4 AD 3C 39 50 00 B9 60 66 19 8D FC 20 0A A0 56 52 8B 9F 15 D7 62 30 0D 5C C3 24 FE F8 FC 39 08 DF 87 2A B2 1C E9 F7 06 A8 53 B2 69 C3 3C D4 5E D4 74 91 6E 9D 9A A0 96 FD DB 1F 5E 09 D7 0F 25 FB 46 4E 74 15 BB AB DB 17 EE E7 64 33 D6 79 02 E4 85 79 14 6B 59 F9 43 3C 81 68 A8 B5 32 BC E6}
condition:
     all of them
}

Хеш

Име	qoute_jpeg56a.r15
MD5	53BE8F9B978062D4411F71010F49209E
SHA1	A8C2765B3D655BA23886D663D22BDD8EF6E8E894
SHA256	2641DAFB452562A0A92631C2849B8B9CE880F0F8F 890E643316E9276156EDC8A
Тип	Архив WinRAR
Размер	823014

Име	QOUTE_JPEG56A.exe
MD5	329F6769CF21B660D5C3F5048CE30F17
SHA1	8010CC2AF398F9F951555F7D481CE13DF60BBECF
SHA256	49F94293F2EBD8CEFF180EDDD58FA50B30DC0F08 C05B5E3BD36FD52668D196AF
Тип	PE (компилиран AutoIt скрипт)
Размер	1327616
Оригинално име	неизвестен
DateStamp	15.07.2019
Звена	Microsoft Linker (12.0) [EXE32]

MD5	C2743AEDDADACC012EF4A632598C00C0
SHA1	79B445DE923C92BF378B19D12A309C0E9C5851BF
SHA256	37A1961361073BEA6C6EACE6A8601F646C5B6ECD 9D625E049AD02075BA996918
Тип	ShellCode
Размер	1474

Източник: www.habr.com