Cuntinuemu a nostra seria di articuli dedicati à l'analisi di malware. IN
L'Agente Tesla hè un software di spia modulare distribuitu utilizendu un mudellu di malware-as-a-service sottu a forma di un produttu keylogger legittimu. L'agente Tesla hè capace di estrae è trasmette credenziali di l'utilizatori da i navigatori, i clienti di e-mail è i clienti FTP à u servitore à l'attaccanti, arregistrendu dati di clipboard, è catturà a pantalla di u dispositivu. À u mumentu di l'analisi, u situ ufficiale di i sviluppatori ùn era micca dispunibule.
File di cunfigurazione
A tavula quì sottu elenca quale funziunalità si applica à l'esempiu chì site aduprate:
discrizzione | valore |
Bandiera di usu KeyLogger | vera |
Bandiera di usu di ScreenLogger | sbagliate |
KeyLogger log invià intervallu in minuti | 20 |
ScreenLogger logu intervallu di mandatu in minuti | 20 |
Bandiera di gestione di chjave backspace. False - logu solu. True - sguassate a chjave precedente | sbagliate |
tippu CNC. Opzioni: smtp, webpanel, ftp | Linux |
Bandiera di attivazione di filu per finisce i prucessi da a lista "%filter_list%" | sbagliate |
UAC disattivà a bandiera | sbagliate |
Task manager disattivà a bandiera | sbagliate |
CMD disattivà a bandiera | sbagliate |
Eseguite a finestra disattivate a bandiera | sbagliate |
Registry Viewer Disable Flag | sbagliate |
Disattivà a bandiera di punti di risturazione di u sistema | vera |
U pannellu di cuntrollu disattiveghja a bandiera | sbagliate |
MSCONFIG disattivà a bandiera | sbagliate |
Bandiera per disattivà u menù di cuntestu in Explorer | sbagliate |
Pin flag | sbagliate |
Percorsu per copià u modulu principale quandu u pinning à u sistema | %startupfolder% %insfolder%%insname% |
Bandiera per stabilisce l'attributi "Sistema" è "Hidden" per u modulu principale assignatu à u sistema | sbagliate |
Bandiera per eseguisce un riavviu quandu hè appiccicatu à u sistema | sbagliate |
Bandiera per spustà u modulu principale in un cartulare tempuranee | sbagliate |
Bandiera di bypass UAC | sbagliate |
Formatu di data è ora per u logu | aaaa-MM-gg HH:mm:ss |
Bandiera per utilizà un filtru di prugramma per KeyLogger | vera |
Tipu di filtru di prugramma. 1 - u nome di u prugramma hè cercatu in i tituli di a finestra 2 - u nome di u prugramma hè cercatu in u nome di u prucessu di a finestra |
1 |
Filtru di prugramma | "facebook" "twitter" "gmail" "instagram" "filmu" "skype" "pornu" "pirate" "whatsapp" "discordia" |
Attaccà u modulu principale à u sistema
Se a bandiera currispondente hè stabilita, u modulu principale hè copiatu à u percorsu specificatu in a cunfigurazione cum'è a strada per esse assignata à u sistema.
Sicondu u valore da a cunfigurazione, u schedariu hè datu l'attributi "Hidden" è "System".
L'Autorun hè furnitu da dui rami di registru:
- HKCU SoftwareMicrosoftWindowsCurrentVersionRun%insregname%
- HKCUSOFTWAREMicrosoftWindowsCurrentVersionExplorerStartupApprovedRun %insregname%
Dapoi u bootloader injects in u prucessu RegAsm, stabilisce a bandiera persistente per u modulu principale porta à cunsequenze assai interessanti. Invece di cupià stessu, u malware hà attaccatu u schedariu originale à u sistema RegAsm.exe, durante u quali l'iniezione hè stata fatta.
Interazzione cù C&C
Indipendentemente da u metudu utilizatu, a cumunicazione di a rete principia cù l'ottenimentu di l'IP esterna di a vittima utilizendu a risorsa
I seguenti descrizanu i metudi di interazzione di rete presentati in u software.
pannellu web
L'interazzione si faci via u protocolu HTTP. U malware esegue una dumanda POST cù i seguenti intestazioni:
- User-Agent: Mozilla/5.0 (Windows U Windows NT 6.1 ru rv:1.9.2.3) Gecko/20100401 Firefox/4.0 (.NET CLR 3.5.30729)
- Cunnessione: Keep-Alive
- Content-Type: application/x-www-form-urlencoded
L'indirizzu di u servitore hè specificatu da u valore % PostURL %. U missaghju criptatu hè mandatu in u paràmetru «P». U mecanismu di criptografia hè descrittu in a sezione "Algoritmi di criptografia" (Metudu 2).
U messagiu trasmessu s'assumiglia cusì:
type={0}nhwid={1}ntime={2}npcname={3}nlogdata={4}nscreen={5}nipadd={6}nwebcam_link={7}nclient={8}nlink={9}nusername={10}npassword={11}nscreen_link={12}
Parameter activité indica u tipu di missaghju:
hwid - un hash MD5 hè registratu da i valori di u numeru di serie di a scheda madre è l'ID di u processatore. U più prubabilmente utilizatu cum'è ID d'utilizatore.
tempu - serve per trasmette l'ora è a data attuale.
pcname - definitu cum'è /.
logdata - dati di log.
Quandu trasmette password, u messagiu s'assumiglia:
type={0}nhwid={1}ntime={2}npcname={3}nlogdata={4}nscreen={5}nipadd={6}nwebcam_link={7}nscreen_link={8}n[passwords]
I seguenti sò descrizzioni di i dati arrubati in u furmatu nclient[]={0}nlink[]={1}nusername[]={2}npassword[]={3}.
Linux
L'interazzione si faci via u protocolu SMTP. A lettera trasmessa hè in formatu HTML. Parametru POPULU pari cum'è:
L'intestazione di a lettera hà a forma generale: / . U cuntenutu di a lettera, è ancu i so annessi, ùn sò micca criptati.
L'interazzione si faci via u protocolu FTP. Un schedariu cù u nome hè trasferitu à u servitore specificatu _-_.html. U cuntenutu di u schedariu ùn hè micca criptatu.
Algoritmi di criptografia
Stu casu usa i seguenti metudi di criptografia:
U metudu 1
Stu metudu hè utilizatu per criptà strings in u modulu principale. L'algoritmu utilizatu per a criptografia hè Eram.
L'input hè un numeru decimale di sei cifre. A seguente trasfurmazioni hè realizatu nantu à questu:
f(x) = (((x >> 2 - 31059) ^ 6380) - 1363) >> 3
U valore risultante hè l'indici per l'array di dati incrustati.
Ogni elementu array hè una sequenza DWORD. Quandu si fusiona DWORD un array di bytes hè ottenutu: i primi 32 bytes sò a chjave di criptografia, seguita da 16 bytes di u vettore d'inizializazione, è i byte restante sò i dati criptati.
U metudu 2
Algoritmu usatu 3DES in u modu U BCE cù padding in byte interi (PKCS7).
A chjave hè specificata da u paràmetru %urlkey%Tuttavia, a criptografia usa u so hash MD5.
Funzionalità maliciosa
L'esempiu studiatu usa i seguenti prugrammi per implementà a so funzione maliciosa:
key logger
Se ci hè una bandiera di malware currispondente cù a funzione WinAPI SetWindowsHookEx assigna u so propiu gestore per l'avvenimenti di chjappà nantu à u teclatu. A funzione di handler principia per ottene u titulu di a finestra attiva.
Se a bandiera di filtrazione di l'applicazione hè impostata, u filtru hè realizatu secondu u tipu specificatu:
- u nome di u prugramma hè cercatu in i tituli di a finestra
- u nome di u prugramma hè cercatu in u nome di u prucessu di a finestra
Dopu, un registru hè aghjuntu à u logu cù infurmazioni nantu à a finestra attiva in u formatu:
Allora l'infurmazione nantu à a chjave pressata hè registrata:
Chjave | Arregistramentu |
Backspace | Sicondu a bandiera di trasfurmazioni di chjave Backspace: False - {BACK} True - sguassate a chjave precedente |
CAPSLOCK | {CAPSLOCK} |
ESC | {ESC} |
Pagina su | {Page Up} |
Corsu | ↓ |
DELETE | {DEL} |
" | " |
F5 | {F5} |
& | & |
F10 | {F10} |
TAB | {TAB} |
< | < |
> | > |
Spaziu | |
F8 | {F8} |
F12 | {F12} |
F9 | {F9} |
ALT + TAB | {ALT+TAB} |
END | {END} |
F4 | {F4} |
F2 | {F2} |
CTRL | {CTRL} |
F6 | {F6} |
Diritta | → |
Up | ↑ |
F1 | {F1} |
manca | ← |
Pagina in giù | {PageDown} |
inside | {Inserisci} |
Win | {Vince} |
Num Lock | {NumLock} |
F11 | {F11} |
F3 | {F3} |
Home | {HOME} |
ENTER | {ENTER} |
ALT + F4 | {ALT+F4} |
F7 | {F7} |
Altra chjave | U caratteru hè in maiuscule o minuscule secondu e pusizioni di i tasti CapsLock è Shift |
À una frequenza specifica, u logu cullatu hè mandatu à u servitore. Se u trasferimentu ùn hè micca successu, u logu hè salvatu in un schedariu %TEMP%log.tmp in furmatu:
Quandu u timer spara, u schedariu serà trasferitu à u servitore.
ScreenLogger
À una frequenza specifica, u malware crea una screenshot in u formatu Jpeg cun significatu Artigiani uguale à 50 è u salva in un schedariu %APPDATA %.jpg. Dopu à u trasferimentu, u schedariu hè sguassatu.
clipboardlogger
Se a bandiera apprupriata hè stabilita, i rimpiazzamenti sò fatti in u testu interceptatu secondu a tabella sottu.
Dopu questu, u testu hè inseritu in u logu:
Password Stealer
U malware pò scaricà password da e seguenti applicazioni:
Браузеры | Clienti di email | Clienti FTP |
Chrome | orticultura | FileZilla |
brumann | Thunderbird | WS_FTP |
IE/Edge | mail di volpe | WinSCP |
Jeep | Opera Mail | CoreFTP |
Navigatore Opera | IncrediMail | Navigatore FTP |
Yandex | Pocomail | FlashFXP |
Comodo | Eudora | SmartFTP |
ChromePlus | TheBat | FTP Commander |
cromu | Postbox | |
Torch | ClawsMail | |
7Star | ||
Amicu | ||
BraveSoftware | I clienti di Jabber | Clienti VPN |
CentBrowser | Psi/Psi+ | Apri VPN |
Chedot | ||
CocCoc | ||
Elementi Browser | Download Managers | |
Navigatore Epic Privacy | Internet Download Manager | |
Cumeta | JDownloader | |
orbitum | ||
Sputnik | ||
uCozMedia | ||
Vivaldi | ||
MareMonkey | ||
Flock Browser | ||
Navigatore UC | ||
BlackHawk | ||
CyberFox | ||
K-meleon | ||
gattu di ghiaccio | ||
drago di ghiaccio | ||
PaleLuna | ||
volpe d'acqua | ||
U navigatore Falkon |
Opposizione à l'analisi dinamica
- Usendu a funzione sonnu. Permette di scaccià alcuni sandbox per timeout
- Distrughjendu un filu Zone.Identificatore. Permette di ammuccià u fattu di scaricà un schedariu da Internet
- In u paràmetru %filter_list% specifica una lista di prucessi chì u malware finiscinu à intervalli di una seconda
- Scumpressione UAC
- Disattivazione di u task manager
- Scumpressione CMD
- Disattivazione di una finestra "Corri"
- Disattivà u Panel di cuntrollu
- Disattivà un strumentu RegEdit
- Disattivà i punti di restaurazione di u sistema
- Disattivate u menù di cuntestu in Explorer
- Scumpressione MSCONFIG
- Bypass UAC:
Funzioni inattive di u modulu principale
Durante l'analisi di u modulu principale, e funzioni sò state identificate chì eranu rispunsevuli di sparghje in a reta è di seguità a pusizione di u mouse.
Worm
L'avvenimenti per cunnette i media removable sò monitorati in un filu separatu. Quandu hè cunnessu, u malware cù u nome hè copiatu à a radica di u sistema di fugliale scr.exe, dopu chì cerca i schedari cù l'estensione lnk. A squadra di tutti lnk cambia à cmd.exe /c start scr.exe&start & esci.
Ogni repertoriu à a radica di i media hè datu un attributu "Ammucciatu" è un schedariu hè creatu cù l'estensione lnk cù u nome di u repertoriu oculatu è u cumandamentu cmd.exe /c start scr.exe&explorer /root,"%CD%" è esce.
MouseTracker
U metudu per fà l'intercepzioni hè simile à quellu utilizatu per u teclatu. Sta funziunalità hè sempre in sviluppu.
File attività
chjassu | discrizzione |
%Temp%temp.tmp | Contene un contatore per i tentativi di bypass UAC |
%startupfolder%%insfolder%%insname% | Percorsu da assignà à u sistema HPE |
%Temp%tmpG{Ora attuale in millisecondi}.tmp | Percorsu per a copia di salvezza di u modulu principale |
%Temp%log.tmp | Log file |
%AppData%{Una sequenza arbitraria di 10 caratteri}.jpeg | Screenshots |
C:UsersPublic{Una sequenza arbitraria di 10 caratteri}.vbs | Percorsu à un schedariu vbs chì u bootloader pò aduprà per aghjunghje à u sistema |
%Temp%{Nome di u cartulare persunalizatu}{Nome di u schedariu} | Percorsu utilizatu da u bootloader per attaccà si à u sistema |
Profil d'attaccante
Grazie à i dati di autentificazione hardcoded, pudemu avè accessu à u centru di cummandu.
Questu ci hà permessu di identificà l'email finali di l'attaccanti:
junaid[.]in***@gmail[.]com.
U nome di duminiu di u centru di cummandu hè registratu à u mail sg***@gmail[.]com.
cunchiusioni
Durante un analisi detallatu di u malware utilizatu in l'attaccu, pudemu stabilisce a so funziunalità è ottene a lista più completa di indicatori di cumprumissu pertinenti à questu casu. A capiscitura di i miccanismi di l'interazzione di a rete trà u malware hà permessu di dà cunsiglii per aghjustà u funziunamentu di e strumenti di sicurezza di l'infurmazioni, è ancu di scrive regule IDS stabile.
Periculu principale Agente Tesla cum'è DataStealer in quantu ùn hà micca bisognu à impegnà à u sistema o aspittà un cumandamentu di cuntrollu per eseguisce i so compiti. Una volta nantu à a macchina, principia subitu à cullà infurmazione privata è u trasferisce à CnC. Stu cumpurtamentu aggressivu hè in certi modi simili à u cumpurtamentu di ransomware, cù l'unica diferenza chì l'ultimi ùn anu mancu bisognu di una cunnessione di rete. Sè vo scontru sta famiglia, dopu à pulizziari lu sistemu nfittati da u malware stissu, tu avissi definitu canciari tutti i password chì pudia, almenu teoricamente, esse salvatu in una di l 'applicazzioni lista sopra.
Fighjendu avanti, dicemu chì l'attaccanti mandanu Agente Tesla, u boot loader iniziale hè cambiatu assai spessu. Questu permette di stà inosservatu da i scanners statici è l'analizzatori heuristici à u mumentu di l'attaccu. È a tendenza di sta famiglia à principià immediatamente e so attività rende i monitori di u sistema inutile. U megliu modu per cumbatte AgentTesla hè l'analisi preliminare in un sandbox.
In u terzu articulu di sta serie avemu da guardà altri bootloaders utilizati Agente Tesla, è ancu studià u prucessu di u so unpacking semi-automaticu. Ùn mancate micca!
Hash
SHA1 |
A8C2765B3D655BA23886D663D22BDD8EF6E8E894 |
8010CC2AF398F9F951555F7D481CE13DF60BBECF |
79B445DE923C92BF378B19D12A309C0E9C5851BF |
15839B7AB0417FA35F2858722F0BD47BDF840D62 |
1C981EF3EEA8548A30E8D7BF8D0D61F9224288DD |
C&C
URL |
sina-c0m[.]icu |
smtp[.]sina-c0m[.]icu |
RegKey
Registru |
HKCUSoftwareMicrosoftWindowsCurrentVersionRun{Nome script} |
HKCUSoftwareMicrosoftWindowsCurrentVersionRun%insregname% |
HKCUSOFTWAREMicrosoftWindowsCurrentVersionExplorerStartupApprovedRun%insregname% |
mutexes
Ùn ci sò micca indicatori.
schedari
File attività |
%Temp%temp.tmp |
%startupfolder%%insfolder%%insname% |
%Temp%tmpG{Ora attuale in millisecondi}.tmp |
%Temp%log.tmp |
%AppData%{Una sequenza arbitraria di 10 caratteri}.jpeg |
C:UsersPublic{Una sequenza arbitraria di 10 caratteri}.vbs |
%Temp%{Nome di u cartulare persunalizatu}{Nome di u schedariu} |
Samples Info
nomu | Inconnu |
MD5 | F7722DD8660B261EA13B710062B59C43 |
SHA1 | 15839B7AB0417FA35F2858722F0BD47BDF840D62 |
SHA256 | 41DC0D5459F25E2FDCF8797948A7B315D3CB0753 98D808D1772CACCC726AF6E9 |
Type | PE (.NET) |
Size | 327680 |
Nome originale | AZZRIDKGGSLTYFUUBCCRRCUMRKTOXFVPDKGAGPUZI_20190701133545943.exe |
DataStamp | 01.07.2019 |
Compilatore | VB.NET |
nomu | IELibrary.dll |
MD5 | BFB160A89F4A607A60464631ED3ED9FD |
SHA1 | 1C981EF3EEA8548A30E8D7BF8D0D61F9224288DD |
SHA256 | D55800A825792F55999ABDAD199DFA54F3184417 215A298910F2C12CD9CC31EE |
Type | PE (.NET DLL) |
Size | 16896 |
Nome originale | IELibrary.dll |
DataStamp | 11.10.2016 |
Compilatore | Microsoft Linker (48.0 *) |
Source: www.habr.com