Cuntinuemu a nostra seria di articuli dedicati à l'analisi di malware. IN In parte, avemu dettu cumu Ilya Pomerantsev, un specialista in analisi di malware in CERT Group-IB, hà realizatu un analisi detallatu di un schedariu ricevutu per mail da una di e cumpagnie europee è hà scupertu spyware. Agente Tesla. In questu articulu, Ilya furnisce i risultati di un analisi passu à passu di u modulu principale Agente Tesla.
L'Agente Tesla hè un software di spia modulare distribuitu utilizendu un mudellu di malware-as-a-service sottu a forma di un produttu keylogger legittimu. L'agente Tesla hè capace di estrae è trasmette credenziali di l'utilizatori da i navigatori, i clienti di e-mail è i clienti FTP à u servitore à l'attaccanti, arregistrendu dati di clipboard, è catturà a pantalla di u dispositivu. À u mumentu di l'analisi, u situ ufficiale di i sviluppatori ùn era micca dispunibule.
File di cunfigurazione
A tavula quì sottu elenca quale funziunalità si applica à l'esempiu chì site aduprate:
| discrizzione | valore |
| Bandiera di usu KeyLogger | vera |
| Bandiera di usu di ScreenLogger | sbagliate |
| KeyLogger log invià intervallu in minuti | 20 |
| ScreenLogger logu intervallu di mandatu in minuti | 20 |
| Bandiera di gestione di chjave backspace. False - logu solu. True - sguassate a chjave precedente | sbagliate |
| tippu CNC. Opzioni: smtp, webpanel, ftp | Linux |
| Bandiera di attivazione di filu per finisce i prucessi da a lista "%filter_list%" | sbagliate |
| UAC disattivà a bandiera | sbagliate |
| Task manager disattivà a bandiera | sbagliate |
| CMD disattivà a bandiera | sbagliate |
| Eseguite a finestra disattivate a bandiera | sbagliate |
| Registry Viewer Disable Flag | sbagliate |
| Disattivà a bandiera di punti di risturazione di u sistema | vera |
| U pannellu di cuntrollu disattiveghja a bandiera | sbagliate |
| MSCONFIG disattivà a bandiera | sbagliate |
| Bandiera per disattivà u menù di cuntestu in Explorer | sbagliate |
| Pin flag | sbagliate |
| Percorsu per copià u modulu principale quandu u pinning à u sistema | %startupfolder% %insfolder%%insname% |
| Bandiera per stabilisce l'attributi "Sistema" è "Hidden" per u modulu principale assignatu à u sistema | sbagliate |
| Bandiera per eseguisce un riavviu quandu hè appiccicatu à u sistema | sbagliate |
| Bandiera per spustà u modulu principale in un cartulare tempuranee | sbagliate |
| Bandiera di bypass UAC | sbagliate |
| Formatu di data è ora per u logu | aaaa-MM-gg HH:mm:ss |
| Bandiera per utilizà un filtru di prugramma per KeyLogger | vera |
| Tipu di filtru di prugramma. 1 - u nome di u prugramma hè cercatu in i tituli di a finestra 2 - u nome di u prugramma hè cercatu in u nome di u prucessu di a finestra |
1 |
| Filtru di prugramma | "facebook" "twitter" "gmail" "instagram" "filmu" "skype" "pornu" "pirate" "whatsapp" "discordia" |
Attaccà u modulu principale à u sistema
Se a bandiera currispondente hè stabilita, u modulu principale hè copiatu à u percorsu specificatu in a cunfigurazione cum'è a strada per esse assignata à u sistema.
Sicondu u valore da a cunfigurazione, u schedariu hè datu l'attributi "Hidden" è "System".
L'Autorun hè furnitu da dui rami di registru:
- HKCU SoftwareMicrosoftWindowsCurrentVersionRun%insregname%
- HKCUSOFTWAREMicrosoftWindowsCurrentVersionExplorerStartupApprovedRun %insregname%
Dapoi u bootloader injects in u prucessu RegAsm, stabilisce a bandiera persistente per u modulu principale porta à cunsequenze assai interessanti. Invece di cupià stessu, u malware hà attaccatu u schedariu originale à u sistema RegAsm.exe, durante u quali l'iniezione hè stata fatta.
Interazzione cù C&C
Indipendentemente da u metudu utilizatu, a cumunicazione di a rete principia cù l'ottenimentu di l'IP esterna di a vittima utilizendu a risorsa [.]amazonaws[.]com/.
I seguenti descrizanu i metudi di interazzione di rete presentati in u software.
pannellu web
L'interazzione si faci via u protocolu HTTP. U malware esegue una dumanda POST cù i seguenti intestazioni:
- User-Agent: Mozilla/5.0 (Windows U Windows NT 6.1 ru rv:1.9.2.3) Gecko/20100401 Firefox/4.0 (.NET CLR 3.5.30729)
- Cunnessione: Keep-Alive
- Content-Type: application/x-www-form-urlencoded
L'indirizzu di u servitore hè specificatu da u valore % PostURL %. U missaghju criptatu hè mandatu in u paràmetru «P». U mecanismu di criptografia hè descrittu in a sezione "Algoritmi di criptografia" (Metudu 2).
U messagiu trasmessu s'assumiglia cusì:
type={0}nhwid={1}ntime={2}npcname={3}nlogdata={4}nscreen={5}nipadd={6}nwebcam_link={7}nclient={8}nlink={9}nusername={10}npassword={11}nscreen_link={12}
Parameter activité indica u tipu di missaghju:
hwid - un hash MD5 hè registratu da i valori di u numeru di serie di a scheda madre è l'ID di u processatore. U più prubabilmente utilizatu cum'è ID d'utilizatore.
tempu - serve per trasmette l'ora è a data attuale.
pcname - definitu cum'è /.
logdata - dati di log.
Quandu trasmette password, u messagiu s'assumiglia:
type={0}nhwid={1}ntime={2}npcname={3}nlogdata={4}nscreen={5}nipadd={6}nwebcam_link={7}nscreen_link={8}n[passwords]
I seguenti sò descrizzioni di i dati arrubati in u furmatu nclient[]={0}nlink[]={1}nusername[]={2}npassword[]={3}.
Linux
L'interazzione si faci via u protocolu SMTP. A lettera trasmessa hè in formatu HTML. Parametru POPULU pari cum'è:
L'intestazione di a lettera hà a forma generale: / . U cuntenutu di a lettera, è ancu i so annessi, ùn sò micca criptati.
L'interazzione si faci via u protocolu FTP. Un schedariu cù u nome hè trasferitu à u servitore specificatu _-_.html. U cuntenutu di u schedariu ùn hè micca criptatu.
Algoritmi di criptografia
Stu casu usa i seguenti metudi di criptografia:
U metudu 1
Stu metudu hè utilizatu per criptà strings in u modulu principale. L'algoritmu utilizatu per a criptografia hè Eram.
L'input hè un numeru decimale di sei cifre. A seguente trasfurmazioni hè realizatu nantu à questu:
f(x) = (((x >> 2 - 31059) ^ 6380) - 1363) >> 3
U valore risultante hè l'indici per l'array di dati incrustati.
Ogni elementu array hè una sequenza DWORD. Quandu si fusiona DWORD un array di bytes hè ottenutu: i primi 32 bytes sò a chjave di criptografia, seguita da 16 bytes di u vettore d'inizializazione, è i byte restante sò i dati criptati.
U metudu 2
Algoritmu usatu 3DES in u modu U BCE cù padding in byte interi (PKCS7).
A chjave hè specificata da u paràmetru %urlkey%Tuttavia, a criptografia usa u so hash MD5.
Funzionalità maliciosa
L'esempiu studiatu usa i seguenti prugrammi per implementà a so funzione maliciosa:
key logger
Se ci hè una bandiera di malware currispondente cù a funzione WinAPI SetWindowsHookEx assigna u so propiu gestore per l'avvenimenti di chjappà nantu à u teclatu. A funzione di handler principia per ottene u titulu di a finestra attiva.
Se a bandiera di filtrazione di l'applicazione hè impostata, u filtru hè realizatu secondu u tipu specificatu:
- u nome di u prugramma hè cercatu in i tituli di a finestra
- u nome di u prugramma hè cercatu in u nome di u prucessu di a finestra
Dopu, un registru hè aghjuntu à u logu cù infurmazioni nantu à a finestra attiva in u formatu:
Allora l'infurmazione nantu à a chjave pressata hè registrata:
| Chjave | Arregistramentu |
| Backspace | Sicondu a bandiera di trasfurmazioni di chjave Backspace: False - {BACK} True - sguassate a chjave precedente |
| CAPSLOCK | {CAPSLOCK} |
| ESC | {ESC} |
| Pagina su | {Page Up} |
| Corsu | ↓ |
| DELETE | {DEL} |
| " | " |
| F5 | {F5} |
| & | & |
| F10 | {F10} |
| TAB | {TAB} |
| < | < |
| > | > |
| Spaziu | |
| F8 | {F8} |
| F12 | {F12} |
| F9 | {F9} |
| ALT + TAB | {ALT+TAB} |
| END | {END} |
| F4 | {F4} |
| F2 | {F2} |
| CTRL | {CTRL} |
| F6 | {F6} |
| Diritta | → |
| Up | ↑ |
| F1 | {F1} |
| manca | ← |
| Pagina in giù | {PageDown} |
| inside | {Inserisci} |
| Win | {Vince} |
| Num Lock | {NumLock} |
| F11 | {F11} |
| F3 | {F3} |
| Home | {HOME} |
| ENTER | {ENTER} |
| ALT + F4 | {ALT+F4} |
| F7 | {F7} |
| Altra chjave | U caratteru hè in maiuscule o minuscule secondu e pusizioni di i tasti CapsLock è Shift |
À una frequenza specifica, u logu cullatu hè mandatu à u servitore. Se u trasferimentu ùn hè micca successu, u logu hè salvatu in un schedariu %TEMP%log.tmp in furmatu:
Quandu u timer spara, u schedariu serà trasferitu à u servitore.
ScreenLogger
À una frequenza specifica, u malware crea una screenshot in u formatu Jpeg cun significatu Artigiani uguale à 50 è u salva in un schedariu %APPDATA %.jpg. Dopu à u trasferimentu, u schedariu hè sguassatu.
clipboardlogger
Se a bandiera apprupriata hè stabilita, i rimpiazzamenti sò fatti in u testu interceptatu secondu a tabella sottu.
Dopu questu, u testu hè inseritu in u logu:
Password Stealer
U malware pò scaricà password da e seguenti applicazioni:
| Браузеры | Clienti di email | Clienti FTP |
| Chrome | orticultura | FileZilla |
| brumann | Thunderbird | WS_FTP |
| IE/Edge | mail di volpe | WinSCP |
| Jeep | Opera Mail | CoreFTP |
| Navigatore Opera | IncrediMail | Navigatore FTP |
| Yandex | Pocomail | FlashFXP |
| Comodo | Eudora | SmartFTP |
| ChromePlus | TheBat | FTP Commander |
| cromu | Postbox | |
| Torch | ClawsMail | |
| 7Star | ||
| Amicu | ||
| BraveSoftware | I clienti di Jabber | Clienti VPN |
| CentBrowser | Psi/Psi+ | Apri VPN |
| Chedot | ||
| CocCoc | ||
| Elementi Browser | Download Managers | |
| Navigatore Epic Privacy | Internet Download Manager | |
| Cumeta | JDownloader | |
| orbitum | ||
| Sputnik | ||
| uCozMedia | ||
| Vivaldi | ||
| MareMonkey | ||
| Flock Browser | ||
| Navigatore UC | ||
| BlackHawk | ||
| CyberFox | ||
| K-meleon | ||
| gattu di ghiaccio | ||
| drago di ghiaccio | ||
| PaleLuna | ||
| volpe d'acqua | ||
| U navigatore Falkon |
Opposizione à l'analisi dinamica
- Usendu a funzione sonnu. Permette di scaccià alcuni sandbox per timeout
- Distrughjendu un filu Zone.Identificatore. Permette di ammuccià u fattu di scaricà un schedariu da Internet
- In u paràmetru %filter_list% specifica una lista di prucessi chì u malware finiscinu à intervalli di una seconda
- Scumpressione UAC
- Disattivazione di u task manager
- Scumpressione CMD
- Disattivazione di una finestra "Corri"
- Disattivà u Panel di cuntrollu
- Disattivà un strumentu RegEdit
- Disattivà i punti di restaurazione di u sistema
- Disattivate u menù di cuntestu in Explorer
- Scumpressione MSCONFIG
- Bypass UAC:
Funzioni inattive di u modulu principale
Durante l'analisi di u modulu principale, e funzioni sò state identificate chì eranu rispunsevuli di sparghje in a reta è di seguità a pusizione di u mouse.
Worm
L'avvenimenti per cunnette i media removable sò monitorati in un filu separatu. Quandu hè cunnessu, u malware cù u nome hè copiatu à a radica di u sistema di fugliale scr.exe, dopu chì cerca i schedari cù l'estensione lnk. A squadra di tutti lnk cambia à cmd.exe /c start scr.exe&start & esci.
Ogni repertoriu à a radica di i media hè datu un attributu "Ammucciatu" è un schedariu hè creatu cù l'estensione lnk cù u nome di u repertoriu oculatu è u cumandamentu cmd.exe /c start scr.exe&explorer /root,"%CD%" è esce.
MouseTracker
U metudu per fà l'intercepzioni hè simile à quellu utilizatu per u teclatu. Sta funziunalità hè sempre in sviluppu.
File attività
| chjassu | discrizzione |
| %Temp%temp.tmp | Contene un contatore per i tentativi di bypass UAC |
| %startupfolder%%insfolder%%insname% | Percorsu da assignà à u sistema HPE |
| %Temp%tmpG{Ora attuale in millisecondi}.tmp | Percorsu per a copia di salvezza di u modulu principale |
| %Temp%log.tmp | Log file |
| %AppData%{Una sequenza arbitraria di 10 caratteri}.jpeg | Screenshots |
| C:UsersPublic{Una sequenza arbitraria di 10 caratteri}.vbs | Percorsu à un schedariu vbs chì u bootloader pò aduprà per aghjunghje à u sistema |
| %Temp%{Nome di u cartulare persunalizatu}{Nome di u schedariu} | Percorsu utilizatu da u bootloader per attaccà si à u sistema |
Profil d'attaccante
Grazie à i dati di autentificazione hardcoded, pudemu avè accessu à u centru di cummandu.
Questu ci hà permessu di identificà l'email finali di l'attaccanti:
junaid[.]in***@gmail[.]com.
U nome di duminiu di u centru di cummandu hè registratu à u mail sg***@gmail[.]com.
cunchiusioni
Durante un analisi detallatu di u malware utilizatu in l'attaccu, pudemu stabilisce a so funziunalità è ottene a lista più completa di indicatori di cumprumissu pertinenti à questu casu. A capiscitura di i miccanismi di l'interazzione di a rete trà u malware hà permessu di dà cunsiglii per aghjustà u funziunamentu di e strumenti di sicurezza di l'infurmazioni, è ancu di scrive regule IDS stabile.
Periculu principale Agente Tesla cum'è DataStealer in quantu ùn hà micca bisognu à impegnà à u sistema o aspittà un cumandamentu di cuntrollu per eseguisce i so compiti. Una volta nantu à a macchina, principia subitu à cullà infurmazione privata è u trasferisce à CnC. Stu cumpurtamentu aggressivu hè in certi modi simili à u cumpurtamentu di ransomware, cù l'unica diferenza chì l'ultimi ùn anu mancu bisognu di una cunnessione di rete. Sè vo scontru sta famiglia, dopu à pulizziari lu sistemu nfittati da u malware stissu, tu avissi definitu canciari tutti i password chì pudia, almenu teoricamente, esse salvatu in una di l 'applicazzioni lista sopra.
Fighjendu avanti, dicemu chì l'attaccanti mandanu Agente Tesla, u boot loader iniziale hè cambiatu assai spessu. Questu permette di stà inosservatu da i scanners statici è l'analizzatori heuristici à u mumentu di l'attaccu. È a tendenza di sta famiglia à principià immediatamente e so attività rende i monitori di u sistema inutile. U megliu modu per cumbatte AgentTesla hè l'analisi preliminare in un sandbox.
In u terzu articulu di sta serie avemu da guardà altri bootloaders utilizati Agente Tesla, è ancu studià u prucessu di u so unpacking semi-automaticu. Ùn mancate micca!
Hash
| SHA1 |
| A8C2765B3D655BA23886D663D22BDD8EF6E8E894 |
| 8010CC2AF398F9F951555F7D481CE13DF60BBECF |
| 79B445DE923C92BF378B19D12A309C0E9C5851BF |
| 15839B7AB0417FA35F2858722F0BD47BDF840D62 |
| 1C981EF3EEA8548A30E8D7BF8D0D61F9224288DD |
C&C
| URL |
| sina-c0m[.]icu |
| smtp[.]sina-c0m[.]icu |
RegKey
| Registru |
| HKCUSoftwareMicrosoftWindowsCurrentVersionRun{Nome script} |
| HKCUSoftwareMicrosoftWindowsCurrentVersionRun%insregname% |
| HKCUSOFTWAREMicrosoftWindowsCurrentVersionExplorerStartupApprovedRun%insregname% |
mutexes
Ùn ci sò micca indicatori.
schedari
| File attività |
| %Temp%temp.tmp |
| %startupfolder%%insfolder%%insname% |
| %Temp%tmpG{Ora attuale in millisecondi}.tmp |
| %Temp%log.tmp |
| %AppData%{Una sequenza arbitraria di 10 caratteri}.jpeg |
| C:UsersPublic{Una sequenza arbitraria di 10 caratteri}.vbs |
| %Temp%{Nome di u cartulare persunalizatu}{Nome di u schedariu} |
Samples Info
| nomu | Inconnu |
| MD5 | F7722DD8660B261EA13B710062B59C43 |
| SHA1 | 15839B7AB0417FA35F2858722F0BD47BDF840D62 |
| SHA256 | 41DC0D5459F25E2FDCF8797948A7B315D3CB0753 98D808D1772CACCC726AF6E9 |
| Type | PE (.NET) |
| Size | 327680 |
| Nome originale | AZZRIDKGGSLTYFUUBCCRRCUMRKTOXFVPDKGAGPUZI_20190701133545943.exe |
| DataStamp | 01.07.2019 |
| Compilatore | VB.NET |
| nomu | IELibrary.dll |
| MD5 | BFB160A89F4A607A60464631ED3ED9FD |
| SHA1 | 1C981EF3EEA8548A30E8D7BF8D0D61F9224288DD |
| SHA256 | D55800A825792F55999ABDAD199DFA54F3184417 215A298910F2C12CD9CC31EE |
| Type | PE (.NET DLL) |
| Size | 16896 |
| Nome originale | IELibrary.dll |
| DataStamp | 11.10.2016 |
| Compilatore | Microsoft Linker (48.0 *) |
Source: www.habr.com