Bag-ohay lang, usa ka taga-Europa nga tiggama sa mga kagamitan sa pag-install sa elektrisidad ang nakontak sa Group-IB - ang empleyado niini nakadawat usa ka kadudahang sulat nga adunay usa ka malisyosong attachment sa mail. Ilya Pomerantsev, usa ka espesyalista sa pag-analisa sa malware sa CERT Group-IB, nagpahigayon ug detalyado nga pagtuki sa kini nga file, nakadiskubre sa AgentTesla spyware didto ug gisultihan kung unsa ang madahom gikan sa ingon nga malware ug kung giunsa kini peligro.
Sa kini nga post nagbukas kami usa ka serye sa mga artikulo kung giunsa pag-analisar ang ingon nga mga peligro nga peligro nga mga file, ug naghulat kami sa labing katingad-an sa Disyembre 5 alang sa usa ka libre nga interactive nga webinar sa hilisgutan "Pagtuki sa Malware: Pagtuki sa Tinuod nga mga Kaso". Ang tanan nga mga detalye anaa sa ilawom sa pagputol.
Mekanismo sa pag-apod-apod
Nahibal-an namon nga ang malware nakaabot sa makina sa biktima pinaagi sa mga email sa phishing. Ang nakadawat sa sulat lagmit BCCed.
Ang pag-analisar sa mga ulohan nagpakita nga ang nagpadala sa sulat gilimbongan. Sa pagkatinuod, ang sulat mibiya uban sa vps56[.]oneworldhosting[.]com.
Ang email attachment adunay usa ka WinRar archive qoute_jpeg56a.r15 nga adunay malisyosong executable file QOUTE_JPEG56A.exe sulod.
Malware nga ekosistema
Karon tan-awon nato kung unsa ang hitsura sa ekosistema sa malware nga gitun-an. Ang dayagram sa ubos nagpakita sa istruktura niini ug ang mga direksyon sa interaksyon sa mga sangkap.
Karon atong tan-awon ang matag usa sa mga sangkap sa malware sa mas detalyado.
Loader
Orihinal nga file QOUTE_JPEG56A.exe usa ka gihugpong AutoIt v3 script.
Aron ma-obfuscate ang orihinal nga script, usa ka obfuscator nga adunay parehas PElock AutoIT-Obfuscator mga kinaiya.
Ang deobfuscation gihimo sa tulo ka yugto:
- Pagtangtang sa obfuscation Kay-Kon
Ang unang lakang mao ang pagpasig-uli sa kontrol nga dagan sa script. Ang Control Flow Flattening usa sa labing kasagarang mga paagi aron mapanalipdan ang binary code sa aplikasyon gikan sa pagtuki. Ang makalibog nga mga pagbag-o mahinuklugong nagdugang sa pagkakomplikado sa pagkuha ug pag-ila sa mga algorithm ug mga istruktura sa datos.
- Pagbawi sa linya
Duha ka function ang gigamit sa pag-encrypt sa mga string:
- gdorizabegkvfca - Nagbuhat sama sa Base64 nga pag-decode
- xgacyukcyzxz - yano nga byte-byte XOR sa unang hilo nga adunay gitas-on sa ikaduha
- gdorizabegkvfca - Nagbuhat sama sa Base64 nga pag-decode
- Pagtangtang sa obfuscation BinaryToString ΠΈ Ipatuman
Ang nag-unang load gitipigan sa usa ka nabahin nga porma sa direktoryo tulonghaan mga seksyon sa kapanguhaan sa file.
Ang han-ay sa gluing mao ang mosunod: TIEQHCXWFG, EMI, SPDGUHIMPV, KQJMWQQAQTKTFXTUOSW, AOCHKRWWSKWO, JSHMSJPS, NHHWXJBMTTSPXVN, BFUTIFWWXVE, HWJHO, AVZOUMVFRDWFLWU.
Ang function sa WinAPI gigamit sa pag-decrypt sa nakuha nga datos CryptoDecrypt, ug ang yawe sa sesyon nga namugna base sa kantidad gigamit isip yawe fZgFiZlJDxvuWatFRgRXZqmNCIyQgMYc.
Ang decrypted executable file gipadala ngadto sa function input RunPE, nga nagpatuman ProcessInject Π² RegAsm.exe gamit ang built-in ShellCode (nailhan usab nga RunPE ShellCode). Ang authorship iya sa user sa Spanish forum dili makit-an [.]net ubos sa angga nga Wardow.
Angay usab nga matikdan nga sa usa sa mga hilo niini nga forum, usa ka obfuscator alang sa Sa atop nga adunay susama nga mga kabtangan nga giila sa panahon sa pag-analisar sa sample.
Mismo iyang kaugalingon ShellCode medyo yano ug nagdani sa atensyon nga hinulaman lamang gikan sa grupo sa hacker nga AnunakCarbanak. API call hashing function.
Nahibal-an usab namon ang mga kaso sa paggamit Frenchy Shellcode lain-laing mga bersyon.
Dugang pa sa gihulagway nga pag-andar, nahibal-an usab namon ang mga dili aktibo nga gimbuhaton:
- Pag-block sa manual nga pagtapos sa proseso sa task manager
- Pagsugod pag-usab sa proseso sa bata kung kini matapos
- Pag-bypass sa UAC
- Pag-save sa payload sa usa ka file
- Pagpakita sa modal windows
- Naghulat nga mausab ang posisyon sa cursor sa mouse
- AntiVM ug AntiSandbox
- Paglaglag sa kaugalingon
- Pagbomba sa payload gikan sa network
Nahibal-an namon nga ang ingon nga pag-andar kasagaran alang sa tigpanalipod CypherIT, nga, dayag, mao ang bootloader sa pangutana.
Panguna nga module sa software
Sunod, atong ihulagway sa daklit ang nag-unang module sa malware, ug tagdon kini sa mas detalyado sa ikaduhang artikulo. Sa kini nga kaso, kini usa ka aplikasyon sa .NET.
Atol sa pagtuki, among nadiskobrehan nga gigamit ang usa ka obfuscator MakalibogEX.
IELlibrary.dll
Ang librarya gitipigan isip usa ka nag-unang module nga kapanguhaan ug usa ka ilado nga plugin alang sa AhenteTesla, nga naghatag ug gamit para sa pagkuha sa lain-laing impormasyon gikan sa Internet Explorer ug Edge browsers.
Ang Agent Tesla usa ka modular spying software nga gipang-apod-apod gamit ang malware-as-a-service nga modelo ubos sa pagtakuban sa usa ka lehitimong produkto sa keylogger. Ang Agent Tesla makahimo sa pagkuha ug pagpadala sa mga kredensyal sa user gikan sa mga browser, email client ug FTP client ngadto sa server ngadto sa mga tig-atake, pagrekord sa data sa clipboard, ug pagkuha sa screen sa device. Sa panahon sa pagtuki, ang opisyal nga website sa mga developers wala magamit.
Ang entry point mao ang function GetSavedPasswords klase nga InternetExplorer.
Sa kinatibuk-an, ang pagpatuman sa code kay linear ug walay bisan unsang panalipod batok sa pagtuki. Ang wala matuman nga gimbuhaton lamang ang angay nga hatagan pagtagad GetSavedCookies. Dayag, ang pagpaandar sa plugin kinahanglan nga mapalapad, apan wala kini nahimo.
Pagdugtong sa bootloader sa sistema
Atong tun-an kung giunsa ang bootloader gilakip sa sistema. Ang espesimen nga gitun-an wala mag-angkla, apan sa susamang mga panghitabo kini mahitabo sumala sa mosunod nga laraw:
- Sa folder C:UsersPublic gihimo ang script visual Basic
Pananglitan sa script:
- Ang mga sulod sa bootloader file giputos sa usa ka null nga karakter ug gitipigan sa folder %Temp%
- Ang usa ka autorun key gihimo sa registry alang sa script file HKCUSoftwareMicrosoftWindowsCurrentVersionRun
Busa, base sa mga resulta sa unang bahin sa pag-analisar, nakahimo kami sa pag-establisar sa mga ngalan sa mga pamilya sa tanan nga mga sangkap sa malware nga gitun-an, pag-analisar sa sumbanan sa impeksyon, ug pagkuha usab og mga butang alang sa pagsulat sa mga pirma. Atong ipadayon ang atong pagtuki niini nga butang sa sunod nga artikulo, diin atong tan-awon ang nag-unang module sa mas detalyado AhenteTesla. Ayaw palabya!
Pinaagi sa dalan, sa Disyembre 5 gidapit namo ang tanan nga mga magbabasa sa usa ka libre nga interactive nga webinar sa hilisgutan nga "Pag-analisar sa malware: pagtuki sa tinuod nga mga kaso", diin ang tagsulat niini nga artikulo, usa ka espesyalista sa CERT-GIB, magpakita online sa unang yugto sa pagtuki sa malware - semi-awtomatikong pag-unpack sa mga sample gamit ang panig-ingnan sa tulo ka tinuod nga mini-kaso gikan sa praktis, ug mahimo ka nga moapil sa pagtuki. Ang webinar angay alang sa mga espesyalista nga adunay kasinatian sa pag-analisar sa mga malisyosong file. Ang pagrehistro estrikto gikan sa corporate email: . Naghulat kanimo!
Yara
rule AgentTesla_clean{
meta:
author = "Group-IB"
file = "78566E3FC49C291CB117C3D955FA34B9A9F3EEFEFAE3DE3D0212432EB18D2EAD"
scoring = 5
family = "AgentTesla"
strings:
$string_format_AT = {74 00 79 00 70 00 65 00 3D 00 7B 00 30 00 7D 00 0D 00 0A 00 68 00 77 00 69 00 64 00 3D 00 7B 00 31 00 7D 00 0D 00 0A 00 74 00 69 00 6D 00 65 00 3D 00 7B 00 32 00 7D 00 0D 00 0A 00 70 00 63 00 6E 00 61 00 6D 00 65 00 3D 00 7B 00 33 00 7D 00 0D 00 0A 00 6C 00 6F 00 67 00 64 00 61 00 74 00 61 00 3D 00 7B 00 34 00 7D 00 0D 00 0A 00 73 00 63 00 72 00 65 00 65 00 6E 00 3D 00 7B 00 35 00 7D 00 0D 00 0A 00 69 00 70 00 61 00 64 00 64 00 3D 00 7B 00 36 00 7D 00 0D 00 0A 00 77 00 65 00 62 00 63 00 61 00 6D 00 5F 00 6C 00 69 00 6E 00 6B 00 3D 00 7B 00 37 00 7D 00 0D 00 0A 00 73 00 63 00 72 00 65 00 65 00 6E 00 5F 00 6C 00 69 00 6E 00 6B 00 3D 00 7B 00 38 00 7D 00 0D 00 0A 00 5B 00 70 00 61 00 73 00 73 00 77 00 6F 00 72 00 64 00 73 00 5D 00}
$web_panel_format_string = {63 00 6C 00 69 00 65 00 6E 00 74 00 5B 00 5D 00 3D 00 7B 00 30 00 7D 00 0D 00 0A 00 6C 00 69 00 6E 00 6B 00 5B 00 5D 00 3D 00 7B 00 31 00 7D 00 0D 00 0A 00 75 00 73 00 65 00 72 00 6E 00 61 00 6D 00 65 00 5B 00 5D 00 3D 00 7B 00 32 00 7D 00 0D 00 0A 00 70 00 61 00 73 00 73 00 77 00 6F 00 72 00 64 00 5B 00 5D 00 3D 00 7B 00 33 00 7D 00 00 15 55 00 52 00 4C 00 3A 00 20 00 20 00 20 00 20 00 20 00 20 00 00 15 55 00 73 00 65 00 72 00 6E 00 61 00 6D 00 65 00 3A 00 20 00 00 15 50 00 61 00 73 00 73 00 77 00 6F 00 72 00 64 00 3A 00}
condition:
all of them
}
rule AgentTesla_obfuscated {
meta:
author = "Group-IB"
file = "41DC0D5459F25E2FDCF8797948A7B315D3CB075398D808D1772CACCC726AF6E9"
scoring = 5
family = "AgentTesla"
strings:
$first_names = {61 66 6B 00 61 66 6D 00 61 66 6F 00 61 66 76 00 61 66 79 00 61 66 78 00 61 66 77 00 61 67 6A 00 61 67 6B 00 61 67 6C 00 61 67 70 00 61 67 72 00 61 67 73 00 61 67 75 00}
$second_names = "IELibrary.resources"
condition:
all of them
}
rule AgentTesla_module_for_IE{
meta:
author = "Group-IB"
file = "D55800A825792F55999ABDAD199DFA54F3184417215A298910F2C12CD9CC31EE"
scoring = 5
family = "AgentTesla_module_for_IE"
strings:
$s0 = "ByteArrayToStructure"
$s1 = "CryptAcquireContext"
$s2 = "CryptCreateHash"
$s3 = "CryptDestroyHash"
$s4 = "CryptGetHashParam"
$s5 = "CryptHashData"
$s6 = "CryptReleaseContext"
$s7 = "DecryptIePassword"
$s8 = "DoesURLMatchWithHash"
$s9 = "GetSavedCookies"
$s10 = "GetSavedPasswords"
$s11 = "GetURLHashString"
condition:
all of them
}
rule RunPE_shellcode {
meta:
author = "Group-IB"
file = "37A1961361073BEA6C6EACE6A8601F646C5B6ECD9D625E049AD02075BA996918"
scoring = 5
family = "RunPE_shellcode"
strings:
$malcode = {
C7 [2-5] EE 38 83 0C // mov dword ptr [ebp-0A0h], 0C8338EEh
C7 [2-5] 57 64 E1 01 // mov dword ptr [ebp-9Ch], 1E16457h
C7 [2-5] 18 E4 CA 08 // mov dword ptr [ebp-98h], 8CAE418h
C7 [2-5] E3 CA D8 03 // mov dword ptr [ebp-94h], 3D8CAE3h
C7 [2-5] 99 B0 48 06 // mov dword ptr [ebp-90h], 648B099h
C7 [2-5] 93 BA 94 03 // mov dword ptr [ebp-8Ch], 394BA93h
C7 [2-5] E4 C7 B9 04 // mov dword ptr [ebp-88h], 4B9C7E4h
C7 [2-5] E4 87 B8 04 // mov dword ptr [ebp-84h], 4B887E4h
C7 [2-5] A9 2D D7 01 // mov dword ptr [ebp-80h], 1D72DA9h
C7 [2-5] 05 D1 3D 0B // mov dword ptr [ebp-7Ch], 0B3DD105h
C7 [2-5] 44 27 23 0F // mov dword ptr [ebp-78h], 0F232744h
C7 [2-5] E8 6F 18 0D // mov dword ptr [ebp-74h], 0D186FE8h
}
condition:
$malcode
}
rule AgentTesla_AutoIT_module{
meta:
author = "Group-IB"
file = "49F94293F2EBD8CEFF180EDDD58FA50B30DC0F08C05B5E3BD36FD52668D196AF"
scoring = 5
family = "AgentTesla"
strings:
$packedexeau = {55 ED F5 9F 92 03 04 44 7E 16 6D 1F 8C D7 38 E6 29 E4 C8 CF DA 2C C4 E1 F3 65 48 25 B8 93 9D 66 A4 AD 3C 39 50 00 B9 60 66 19 8D FC 20 0A A0 56 52 8B 9F 15 D7 62 30 0D 5C C3 24 FE F8 FC 39 08 DF 87 2A B2 1C E9 F7 06 A8 53 B2 69 C3 3C D4 5E D4 74 91 6E 9D 9A A0 96 FD DB 1F 5E 09 D7 0F 25 FB 46 4E 74 15 BB AB DB 17 EE E7 64 33 D6 79 02 E4 85 79 14 6B 59 F9 43 3C 81 68 A8 B5 32 BC E6}
condition:
all of them
}
Mga hashes
| ngalan | qoute_jpeg56a.r15 |
| MD5 | 53BE8F9B978062D4411F71010F49209E |
| SHA1 | A8C2765B3D655BA23886D663D22BDD8EF6E8E894 |
| SHA256 | 2641DAFB452562A0A92631C2849B8B9CE880F0F8F
890E643316E9276156EDC8A |
| Type | I-archive ang WinRAR |
| Size | 823014 |
| ngalan | QOUTE_JPEG56A.exe |
| MD5 | 329F6769CF21B660D5C3F5048CE30F17 |
| SHA1 | 8010CC2AF398F9F951555F7D481CE13DF60BBECF |
| SHA256 | 49F94293F2EBD8CEFF180EDDD58FA50B30DC0F08
C05B5E3BD36FD52668D196AF |
| Type | PE (Gihugpong AutoIt Script) |
| Size | 1327616 |
| Orihinal nga Ngalan | Wala mailhi |
| DateStamp | 15.07.2019 |
| linker | Microsoft Linker(12.0)[EXE32] |
| MD5 | C2743AEDDADACC012EF4A632598C00C0 |
| SHA1 | 79B445DE923C92BF378B19D12A309C0E9C5851BF |
| SHA256 | 37A1961361073BEA6C6EACE6A8601F646C5B6ECD
9D625E049AD02075BA996918 |
| Type | ShellCode |
| Size | 1474 |
Source: www.habr.com