Volební účast selhala: vystavme AgentTeslu čisté vodě. Část 1
Nedávno se na Group-IB obrátil evropský výrobce elektroinstalačního zařízení - jeho zaměstnanci obdržel poštou podezřelý dopis se škodlivou přílohou. Ilja Pomerantsev, specialista na analýzu malwaru ze společnosti CERT Group-IB, provedl podrobnou analýzu tohoto souboru, objevil tam spyware AgentTesla a řekl, co lze od takového malwaru očekávat a jak je nebezpečný.
Tímto příspěvkem otevíráme sérii článků o tom, jak analyzovat takové potenciálně nebezpečné soubory, a na ty nejzvučnější čekáme 5. prosince bezplatný interaktivní webinář na toto téma „Analýza malwaru: Analýza skutečných případů“. Všechny detaily jsou pod řezem.
Distribuční mechanismus
Víme, že malware se dostal do počítače oběti prostřednictvím phishingových e-mailů. Příjemce dopisu byl pravděpodobně BCCed.
Analýza hlaviček ukazuje, že odesílatel dopisu byl podvržen. Ve skutečnosti dopis odešel s vps56[.]oneworldhosting[.]com.
Příloha e-mailu obsahuje archiv WinRar qoute_jpeg56a.r15 se škodlivým spustitelným souborem QOUTE_JPEG56A.exe uvnitř.
Ekosystém HPE
Nyní se podívejme, jak vypadá ekosystém zkoumaného malwaru. Níže uvedený diagram ukazuje jeho strukturu a směry interakce komponent.
Nyní se podíváme na jednotlivé součásti malwaru podrobněji.
Nakladač
Původní soubor QOUTE_JPEG56A.exe je zkompilovaný AutoIt v3 skript.
Chcete-li zatemnit původní scénář, obfuskátor s podobným PELock AutoIT-Obfuscator vlastnosti.
Deobfuskace se provádí ve třech fázích:
Odstranění zmatku Pro-Pokud
Prvním krokem je obnovení řídicího toku skriptu. Control Flow Flattening je jedním z nejběžnějších způsobů ochrany binárního kódu aplikace před analýzou. Matoucí transformace dramaticky zvyšují složitost extrahování a rozpoznávání algoritmů a datových struktur.
Obnova řádku
K šifrování řetězců se používají dvě funkce:
gdorizabegkvfca - Provádí dekódování podobné Base64
xgacyukcyzxz - jednoduchý byte-bajtový XOR prvního řetězce s délkou druhého
Odstranění zmatku BinaryToString и Provést
Hlavní zátěž je uložena v rozdělené podobě v adresáři Fonty zdrojové části souboru.
Pořadí lepení je následující: TIEQHCXWFG, IME, SPDGUHIMPV, KQJMWQQAQTKTFXTUOSW, AOCHKRWWSKWO, JSHMSJPS, NHHWXJBMTTSPXVN, BFUTIFWWXVE, HWJHO, AVZOUMVFRDWFLWU.
K dešifrování extrahovaných dat se používá funkce WinAPI CryptDecrypta jako klíč se použije klíč relace vygenerovaný na základě hodnoty fZgFiZlJDxvuWatFRgRXZqmNCIyQgMYc.
Dešifrovaný spustitelný soubor je odeslán na vstup funkce RunPE, která provádí ProcessInject в RegAsm.exe pomocí vestavěného ShellCode (také známý jako RunPE ShellCode). Autorství náleží uživateli španělského fóra nezjistitelné[.]síť pod přezdívkou Wardow.
Za zmínku také stojí, že v jednom z vláken tohoto fóra je obfuskátor pro AutoIt s podobnými vlastnostmi zjištěnými během analýzy vzorku.
Sám ShellCode docela jednoduché a přitahuje pozornost pouze vypůjčené od hackerské skupiny AnunakCarbanak. Funkce hash volání API.
Jsme si také vědomi případů použití Francouzský Shellcode různé verze.
Kromě popsané funkce jsme také identifikovali neaktivní funkce:
Blokování ručního ukončení procesu ve správci úloh
Restartování podřízeného procesu po jeho ukončení
Obejít UAC
Uložení užitečného zatížení do souboru
Ukázka modálních oken
Čekání na změnu pozice kurzoru myši
AntiVM a AntiSandbox
sebedestrukce
Čerpání užitečného zatížení ze sítě
Víme, že taková funkce je pro chránič typická CypherIT, což je zjevně dotyčný bootloader.
Hlavní modul softwaru
Dále stručně popíšeme hlavní modul malwaru a podrobněji jej zvážíme ve druhém článku. V tomto případě se jedná o aplikaci na . NET.
Během analýzy jsme zjistili, že byl použit obfuskátor ConfuserEX.
IELibrary.dll
Knihovna je uložena jako zdroj hlavního modulu a je to dobře známý plugin pro Agent Tesla, která poskytuje funkce pro extrahování různých informací z prohlížečů Internet Explorer a Edge.
Agent Tesla je modulární špionážní software distribuovaný pomocí modelu malware-as-a-service pod rouškou legitimního keyloggeru. Agent Tesla je schopen extrahovat a přenášet uživatelská pověření z prohlížečů, e-mailových klientů a FTP klientů na server útočníkům, zaznamenávat data ze schránky a zachycovat obrazovku zařízení. V době analýzy byly oficiální stránky vývojářů nedostupné.
Vstupním bodem je funkce GetSavedPasswords třídy InternetExplorer.
Obecně je provádění kódu lineární a neobsahuje žádnou ochranu proti analýze. Pozornost si zaslouží pouze nerealizovaná funkce GetSavedCookies. Funkčnost pluginu měla být podle všeho rozšířena, ale nikdy k tomu nedošlo.
Připojení bootloaderu k systému
Pojďme si prostudovat, jak je bootloader připojen k systému. Zkoumaný exemplář se neukotví, ale při podobných událostech se vyskytuje podle následujícího schématu:
Ve složce C:UsersPublic skript je vytvořen Visual Basic
Příklad skriptu:
Obsah zaváděcího souboru je doplněn znakem null a uložen do složky %Temp%
Pro soubor skriptu je v registru vytvořen klíč automatického spouštění HKCUSoftwareMicrosoftWindowsCurrentVersionRun
Na základě výsledků první části analýzy jsme tedy byli schopni stanovit názvy rodin všech komponent zkoumaného malwaru, analyzovat vzor infekce a také získat objekty pro zápis podpisů. V rozboru tohoto objektu budeme pokračovat v dalším článku, kde se na hlavní modul podíváme podrobněji Agent Tesla. Nenechte si ujít!
Mimochodem, 5. prosince zveme všechny čtenáře na bezplatný interaktivní webinář na téma „Analýza malwaru: analýza skutečných případů“, kde autor tohoto článku, specialista CERT-GIB, online ukáže první fázi analýza malwaru - poloautomatické rozbalení vzorků na příkladu tří reálných minipřípadů z praxe a vy se můžete zúčastnit analýzy. Webinář je vhodný pro specialisty, kteří již mají zkušenosti s analýzou škodlivých souborů. Registrace probíhá výhradně z firemního e-mailu: registr. Čekám na tebe!