Napakyas ang turnout: atong ibutyag ang AgentTesla sa limpyo nga tubig. Bahin 1
Bag-ohay lang, usa ka taga-Europa nga tiggama sa mga kagamitan sa pag-install sa elektrisidad ang nakontak sa Group-IB - ang empleyado niini nakadawat usa ka kadudahang sulat nga adunay usa ka malisyosong attachment sa mail. Ilya Pomerantsev, usa ka espesyalista sa pag-analisa sa malware sa CERT Group-IB, nagpahigayon ug detalyado nga pagtuki sa kini nga file, nakadiskubre sa AgentTesla spyware didto ug gisultihan kung unsa ang madahom gikan sa ingon nga malware ug kung giunsa kini peligro.
Sa kini nga post nagbukas kami usa ka serye sa mga artikulo kung giunsa pag-analisar ang ingon nga mga peligro nga peligro nga mga file, ug naghulat kami sa labing katingad-an sa Disyembre 5 alang sa usa ka libre nga interactive nga webinar sa hilisgutan "Pagtuki sa Malware: Pagtuki sa Tinuod nga mga Kaso". Ang tanan nga mga detalye anaa sa ilawom sa pagputol.
Mekanismo sa pag-apod-apod
Nahibal-an namon nga ang malware nakaabot sa makina sa biktima pinaagi sa mga email sa phishing. Ang nakadawat sa sulat lagmit BCCed.
Ang pag-analisar sa mga ulohan nagpakita nga ang nagpadala sa sulat gilimbongan. Sa pagkatinuod, ang sulat mibiya uban sa vps56[.]oneworldhosting[.]com.
Ang email attachment adunay usa ka WinRar archive qoute_jpeg56a.r15 nga adunay malisyosong executable file QOUTE_JPEG56A.exe sulod.
Malware nga ekosistema
Karon tan-awon nato kung unsa ang hitsura sa ekosistema sa malware nga gitun-an. Ang dayagram sa ubos nagpakita sa istruktura niini ug ang mga direksyon sa interaksyon sa mga sangkap.
Karon atong tan-awon ang matag usa sa mga sangkap sa malware sa mas detalyado.
Loader
Orihinal nga file QOUTE_JPEG56A.exe usa ka gihugpong AutoIt v3 script.
Aron ma-obfuscate ang orihinal nga script, usa ka obfuscator nga adunay parehas PElock AutoIT-Obfuscator mga kinaiya.
Ang deobfuscation gihimo sa tulo ka yugto:
Pagtangtang sa obfuscation Kay-Kon
Ang unang lakang mao ang pagpasig-uli sa kontrol nga dagan sa script. Ang Control Flow Flattening usa sa labing kasagarang mga paagi aron mapanalipdan ang binary code sa aplikasyon gikan sa pagtuki. Ang makalibog nga mga pagbag-o mahinuklugong nagdugang sa pagkakomplikado sa pagkuha ug pag-ila sa mga algorithm ug mga istruktura sa datos.
Pagbawi sa linya
Duha ka function ang gigamit sa pag-encrypt sa mga string:
gdorizabegkvfca - Nagbuhat sama sa Base64 nga pag-decode
xgacyukcyzxz - yano nga byte-byte XOR sa unang hilo nga adunay gitas-on sa ikaduha
Pagtangtang sa obfuscation BinaryToString ΠΈ Ipatuman
Ang nag-unang load gitipigan sa usa ka nabahin nga porma sa direktoryo tulonghaan mga seksyon sa kapanguhaan sa file.
Ang han-ay sa gluing mao ang mosunod: TIEQHCXWFG, EMI, SPDGUHIMPV, KQJMWQQAQTKTFXTUOSW, AOCHKRWWSKWO, JSHMSJPS, NHHWXJBMTTSPXVN, BFUTIFWWXVE, HWJHO, AVZOUMVFRDWFLWU.
Ang function sa WinAPI gigamit sa pag-decrypt sa nakuha nga datos CryptoDecrypt, ug ang yawe sa sesyon nga namugna base sa kantidad gigamit isip yawe fZgFiZlJDxvuWatFRgRXZqmNCIyQgMYc.
Ang decrypted executable file gipadala ngadto sa function input RunPE, nga nagpatuman ProcessInject Π² RegAsm.exe gamit ang built-in ShellCode (nailhan usab nga RunPE ShellCode). Ang authorship iya sa user sa Spanish forum dili makit-an [.]net ubos sa angga nga Wardow.
Angay usab nga matikdan nga sa usa sa mga hilo niini nga forum, usa ka obfuscator alang sa Sa atop nga adunay susama nga mga kabtangan nga giila sa panahon sa pag-analisar sa sample.
Mismo iyang kaugalingon ShellCode medyo yano ug nagdani sa atensyon nga hinulaman lamang gikan sa grupo sa hacker nga AnunakCarbanak. API call hashing function.
Nahibal-an usab namon ang mga kaso sa paggamit Frenchy Shellcode lain-laing mga bersyon.
Dugang pa sa gihulagway nga pag-andar, nahibal-an usab namon ang mga dili aktibo nga gimbuhaton:
Pag-block sa manual nga pagtapos sa proseso sa task manager
Pagsugod pag-usab sa proseso sa bata kung kini matapos
Pag-bypass sa UAC
Pag-save sa payload sa usa ka file
Pagpakita sa modal windows
Naghulat nga mausab ang posisyon sa cursor sa mouse
AntiVM ug AntiSandbox
Paglaglag sa kaugalingon
Pagbomba sa payload gikan sa network
Nahibal-an namon nga ang ingon nga pag-andar kasagaran alang sa tigpanalipod CypherIT, nga, dayag, mao ang bootloader sa pangutana.
Panguna nga module sa software
Sunod, atong ihulagway sa daklit ang nag-unang module sa malware, ug tagdon kini sa mas detalyado sa ikaduhang artikulo. Sa kini nga kaso, kini usa ka aplikasyon sa .NET.
Atol sa pagtuki, among nadiskobrehan nga gigamit ang usa ka obfuscator MakalibogEX.
IELlibrary.dll
Ang librarya gitipigan isip usa ka nag-unang module nga kapanguhaan ug usa ka ilado nga plugin alang sa AhenteTesla, nga naghatag ug gamit para sa pagkuha sa lain-laing impormasyon gikan sa Internet Explorer ug Edge browsers.
Ang Agent Tesla usa ka modular spying software nga gipang-apod-apod gamit ang malware-as-a-service nga modelo ubos sa pagtakuban sa usa ka lehitimong produkto sa keylogger. Ang Agent Tesla makahimo sa pagkuha ug pagpadala sa mga kredensyal sa user gikan sa mga browser, email client ug FTP client ngadto sa server ngadto sa mga tig-atake, pagrekord sa data sa clipboard, ug pagkuha sa screen sa device. Sa panahon sa pagtuki, ang opisyal nga website sa mga developers wala magamit.
Ang entry point mao ang function GetSavedPasswords klase nga InternetExplorer.
Sa kinatibuk-an, ang pagpatuman sa code kay linear ug walay bisan unsang panalipod batok sa pagtuki. Ang wala matuman nga gimbuhaton lamang ang angay nga hatagan pagtagad GetSavedCookies. Dayag, ang pagpaandar sa plugin kinahanglan nga mapalapad, apan wala kini nahimo.
Pagdugtong sa bootloader sa sistema
Atong tun-an kung giunsa ang bootloader gilakip sa sistema. Ang espesimen nga gitun-an wala mag-angkla, apan sa susamang mga panghitabo kini mahitabo sumala sa mosunod nga laraw:
Sa folder C:UsersPublic gihimo ang script visual Basic
Pananglitan sa script:
Ang mga sulod sa bootloader file giputos sa usa ka null nga karakter ug gitipigan sa folder %Temp%
Ang usa ka autorun key gihimo sa registry alang sa script file HKCUSoftwareMicrosoftWindowsCurrentVersionRun
Busa, base sa mga resulta sa unang bahin sa pag-analisar, nakahimo kami sa pag-establisar sa mga ngalan sa mga pamilya sa tanan nga mga sangkap sa malware nga gitun-an, pag-analisar sa sumbanan sa impeksyon, ug pagkuha usab og mga butang alang sa pagsulat sa mga pirma. Atong ipadayon ang atong pagtuki niini nga butang sa sunod nga artikulo, diin atong tan-awon ang nag-unang module sa mas detalyado AhenteTesla. Ayaw palabya!
Pinaagi sa dalan, sa Disyembre 5 gidapit namo ang tanan nga mga magbabasa sa usa ka libre nga interactive nga webinar sa hilisgutan nga "Pag-analisar sa malware: pagtuki sa tinuod nga mga kaso", diin ang tagsulat niini nga artikulo, usa ka espesyalista sa CERT-GIB, magpakita online sa unang yugto sa pagtuki sa malware - semi-awtomatikong pag-unpack sa mga sample gamit ang panig-ingnan sa tulo ka tinuod nga mini-kaso gikan sa praktis, ug mahimo ka nga moapil sa pagtuki. Ang webinar angay alang sa mga espesyalista nga adunay kasinatian sa pag-analisar sa mga malisyosong file. Ang pagrehistro estrikto gikan sa corporate email: magparehistro. Naghulat kanimo!