Yn ddiweddar, cysylltodd gwneuthurwr Ewropeaidd o offer gosod trydanol â Group-IB - derbyniodd ei weithiwr lythyr amheus trwy'r post gydag atodiad maleisus. Ilya Pomerantsev, arbenigwr dadansoddi malware yn CERT Group-IB, wedi cynnal dadansoddiad manwl o'r ffeil hon, wedi darganfod ysbïwedd AgentTesla yno a dywedodd beth i'w ddisgwyl gan malware o'r fath a sut mae'n beryglus.
Gyda'r post hwn rydym yn agor cyfres o erthyglau ar sut i ddadansoddi ffeiliau o'r fath a allai fod yn beryglus, ac rydym yn aros am y rhai mwyaf chwilfrydig ar Ragfyr 5ed am weminar ryngweithiol am ddim ar y pwnc “Dadansoddiad Malware: Dadansoddiad o Achosion Gwirioneddol”. Mae'r holl fanylion o dan y toriad.
Mecanwaith dosbarthu
Gwyddom fod y drwgwedd wedi cyrraedd peiriant y dioddefwr trwy e-byst gwe-rwydo. Mae'n debyg bod derbynnydd y llythyr yn BCCed.
Mae dadansoddiad o'r penawdau'n dangos bod anfonwr y llythyr yn ffug. Yn wir, gadawodd y llythyr gyda vps56[.]oneworldhosting[.]com.
Mae'r atodiad e-bost yn cynnwys archif WinRar qoute_jpeg56a.r15 gyda ffeil gweithredadwy maleisus QOUTE_JPEG56A.exe y tu mewn.
ecosystem HPE
Nawr, gadewch i ni weld sut olwg sydd ar ecosystem y malware sy'n cael ei astudio. Mae'r diagram isod yn dangos ei strwythur a chyfeiriad rhyngweithio'r cydrannau.
Nawr, gadewch i ni edrych ar bob un o'r cydrannau malware yn fwy manwl.
Llwythwr
Ffeil wreiddiol QOUTE_JPEG56A.exe yn grynhoad AutoIt v3 sgript.
I obfuscate y sgript wreiddiol, mae obfuscator gyda tebyg PELock AutoIT-Obfuscator nodweddion.
Cyflawnir dad-ymwysiad mewn tri cham:
- Cael gwared ar obfuscation Am-Os
Y cam cyntaf yw adfer llif rheolaeth y sgript. Fflatio Llif Rheoli yw un o'r ffyrdd mwyaf cyffredin o ddiogelu cymhwysiad cod deuaidd rhag dadansoddi. Mae trawsnewidiadau dryslyd yn cynyddu cymhlethdod echdynnu ac adnabod algorithmau a strwythurau data yn ddramatig.
- Adferiad rhes
Defnyddir dwy swyddogaeth i amgryptio llinynnau:
- gdorizabegkvfca - Yn perfformio datgodio tebyg i Base64
- xgacyukcyzxz - beit-beit syml XOR y llinyn cyntaf gyda hyd yr ail
- gdorizabegkvfca - Yn perfformio datgodio tebyg i Base64
- Cael gwared ar obfuscation DeuaiddToString и Gweithredu
Mae'r prif lwyth yn cael ei storio mewn ffurf wedi'i rannu yn y cyfeiriadur Bedyddfeini adrannau adnoddau o'r ffeil.
Mae'r gorchymyn gludo fel a ganlyn: TIEQHCXWFG, EMI, SPDGUHIMPV, KQJMWQQAQTKTFXTUOSW, AOCHKRWWSKWO, JSHMSJPS, NHHWXJBMTTSPXVN, BFUTIFWWXVE, HWJHO, AVZOUMVFRDWFLWU.
Defnyddir swyddogaeth WinAPI i ddadgryptio'r data a echdynnwyd CryptDecrypt, a defnyddir yr allwedd sesiwn a gynhyrchir yn seiliedig ar y gwerth fel yr allwedd fZgFiZlJDxvuWatFRgRXZqmNCIyQgMYc.
Mae'r ffeil gweithredadwy dadgryptio yn cael ei anfon at y mewnbwn swyddogaeth RunPE, sy'n cyflawni ProsesInject в RegAsm.exe gan ddefnyddio adeiledig Cod Cragen (a elwir hefyd yn RunPE ShellCode). Defnyddiwr fforwm Sbaen sy'n berchen ar yr awduraeth anghanfyddadwy[.]net dan y llysenw Wardow.
Mae hefyd yn werth nodi bod yn un o edafedd y fforwm hwn, yn obfuscator ar gyfer Ar y to gyda phriodweddau tebyg a nodwyd yn ystod dadansoddiad sampl.
Hun Cod Cragen eithaf syml ac yn denu sylw a fenthycwyd yn unig gan y grŵp haciwr AnunakCarbanak. Swyddogaeth hashing galwadau API.
Rydym hefyd yn ymwybodol o achosion defnydd Frenchy Shellcode fersiynau gwahanol.
Yn ogystal â'r swyddogaethau a ddisgrifiwyd, fe wnaethom hefyd nodi swyddogaethau anactif:
- Rhwystro terfynu proses â llaw yn y rheolwr tasgau
- Ailgychwyn proses plentyn pan ddaw i ben
- Ffordd osgoi UAC
- Arbed y llwyth tâl i ffeil
- Arddangosiad o ffenestri moddol
- Aros i leoliad cyrchwr y llygoden newid
- AntiVM ac AntiSandbox
- hunan-ddinistrio
- Pwmpio llwyth tâl o'r rhwydwaith
Gwyddom fod ymarferoldeb o'r fath yn nodweddiadol i'r amddiffynnydd CypherIT, sef, mae'n debyg, y cychwynnydd dan sylw.
Prif fodiwl meddalwedd
Nesaf, byddwn yn disgrifio'n fyr brif fodiwl y malware, ac yn ei ystyried yn fanylach yn yr ail erthygl. Yn yr achos hwn, mae'n gais ar . NET.
Yn ystod y dadansoddiad, fe wnaethom ddarganfod bod obfuscator yn cael ei ddefnyddio ConfuserEX.
IELibrary.dll
Mae'r llyfrgell yn cael ei storio fel prif adnodd modiwl ac mae'n ategyn adnabyddus ar gyfer AsiantTesla, sy'n darparu ymarferoldeb ar gyfer echdynnu gwybodaeth amrywiol o borwyr Internet Explorer ac Edge.
Mae Asiant Tesla yn feddalwedd ysbïo modiwlaidd a ddosberthir gan ddefnyddio model malware-fel-a-gwasanaeth dan gochl cynnyrch keylogger cyfreithlon. Mae Asiant Tesla yn gallu echdynnu a throsglwyddo tystlythyrau defnyddwyr o borwyr, cleientiaid e-bost a chleientiaid FTP i'r gweinydd i ymosodwyr, recordio data clipfwrdd, a chipio sgrin y ddyfais. Ar adeg y dadansoddiad, nid oedd gwefan swyddogol y datblygwyr ar gael.
Y pwynt mynediad yw'r swyddogaeth GetSavedPasswords InternetExplorer dosbarth.
Yn gyffredinol, mae gweithredu cod yn llinol ac nid yw'n cynnwys unrhyw amddiffyniad rhag dadansoddi. Dim ond y swyddogaeth heb ei gwireddu sy'n haeddu sylw GetSavedCookies. Yn ôl pob tebyg, roedd ymarferoldeb yr ategyn i fod i gael ei ehangu, ond ni wnaed hyn erioed.
Atodi'r cychwynnydd i'r system
Gadewch i ni astudio sut mae'r cychwynnydd ynghlwm wrth y system. Nid yw'r sbesimen dan sylw yn angori, ond mewn digwyddiadau tebyg mae'n digwydd yn unol â'r cynllun canlynol:
- Yn y ffolder S: DefnyddwyrCyhoeddus sgript yn cael ei greu Visual Basic
Enghraifft o sgript:
- Mae cynnwys y ffeil cychwynnydd wedi'i badio â nod null a'i gadw yn y ffolder % Temp%<Enw ffolder personol>Enw ffeil>
- Crëir allwedd autorun yn y gofrestrfa ar gyfer y ffeil sgript HKCUSoftwareMicrosoftWindowsCurrentVersionRun <enw sgript>
Felly, yn seiliedig ar ganlyniadau rhan gyntaf y dadansoddiad, roeddem yn gallu sefydlu enwau teuluoedd holl gydrannau'r malware dan sylw, dadansoddi'r patrwm haint, a hefyd cael gwrthrychau ar gyfer ysgrifennu llofnodion. Byddwn yn parhau â'n dadansoddiad o'r gwrthrych hwn yn yr erthygl nesaf, lle byddwn yn edrych ar y prif fodiwl yn fwy manwl AsiantTesla. Peidiwch â cholli!
Gyda llaw, ar Ragfyr 5 rydym yn gwahodd yr holl ddarllenwyr i weminar ryngweithiol rhad ac am ddim ar y pwnc "Dadansoddiad o faleiswedd: dadansoddiad o achosion go iawn", lle bydd awdur yr erthygl hon, arbenigwr CERT-GIB, yn dangos ar-lein y cam cyntaf o dadansoddiad malware - dadbacio samplau yn lled-awtomatig gan ddefnyddio'r enghraifft o dri achos bach go iawn o ymarfer, a gallwch chi gymryd rhan yn y dadansoddiad. Mae'r gweminar yn addas ar gyfer arbenigwyr sydd eisoes â phrofiad o ddadansoddi ffeiliau maleisus. Daw'r cofrestru o e-bost corfforaethol yn unig: . Aros i chi!
Yara
rule AgentTesla_clean{
meta:
author = "Group-IB"
file = "78566E3FC49C291CB117C3D955FA34B9A9F3EEFEFAE3DE3D0212432EB18D2EAD"
scoring = 5
family = "AgentTesla"
strings:
$string_format_AT = {74 00 79 00 70 00 65 00 3D 00 7B 00 30 00 7D 00 0D 00 0A 00 68 00 77 00 69 00 64 00 3D 00 7B 00 31 00 7D 00 0D 00 0A 00 74 00 69 00 6D 00 65 00 3D 00 7B 00 32 00 7D 00 0D 00 0A 00 70 00 63 00 6E 00 61 00 6D 00 65 00 3D 00 7B 00 33 00 7D 00 0D 00 0A 00 6C 00 6F 00 67 00 64 00 61 00 74 00 61 00 3D 00 7B 00 34 00 7D 00 0D 00 0A 00 73 00 63 00 72 00 65 00 65 00 6E 00 3D 00 7B 00 35 00 7D 00 0D 00 0A 00 69 00 70 00 61 00 64 00 64 00 3D 00 7B 00 36 00 7D 00 0D 00 0A 00 77 00 65 00 62 00 63 00 61 00 6D 00 5F 00 6C 00 69 00 6E 00 6B 00 3D 00 7B 00 37 00 7D 00 0D 00 0A 00 73 00 63 00 72 00 65 00 65 00 6E 00 5F 00 6C 00 69 00 6E 00 6B 00 3D 00 7B 00 38 00 7D 00 0D 00 0A 00 5B 00 70 00 61 00 73 00 73 00 77 00 6F 00 72 00 64 00 73 00 5D 00}
$web_panel_format_string = {63 00 6C 00 69 00 65 00 6E 00 74 00 5B 00 5D 00 3D 00 7B 00 30 00 7D 00 0D 00 0A 00 6C 00 69 00 6E 00 6B 00 5B 00 5D 00 3D 00 7B 00 31 00 7D 00 0D 00 0A 00 75 00 73 00 65 00 72 00 6E 00 61 00 6D 00 65 00 5B 00 5D 00 3D 00 7B 00 32 00 7D 00 0D 00 0A 00 70 00 61 00 73 00 73 00 77 00 6F 00 72 00 64 00 5B 00 5D 00 3D 00 7B 00 33 00 7D 00 00 15 55 00 52 00 4C 00 3A 00 20 00 20 00 20 00 20 00 20 00 20 00 00 15 55 00 73 00 65 00 72 00 6E 00 61 00 6D 00 65 00 3A 00 20 00 00 15 50 00 61 00 73 00 73 00 77 00 6F 00 72 00 64 00 3A 00}
condition:
all of them
}
rule AgentTesla_obfuscated {
meta:
author = "Group-IB"
file = "41DC0D5459F25E2FDCF8797948A7B315D3CB075398D808D1772CACCC726AF6E9"
scoring = 5
family = "AgentTesla"
strings:
$first_names = {61 66 6B 00 61 66 6D 00 61 66 6F 00 61 66 76 00 61 66 79 00 61 66 78 00 61 66 77 00 61 67 6A 00 61 67 6B 00 61 67 6C 00 61 67 70 00 61 67 72 00 61 67 73 00 61 67 75 00}
$second_names = "IELibrary.resources"
condition:
all of them
}
rule AgentTesla_module_for_IE{
meta:
author = "Group-IB"
file = "D55800A825792F55999ABDAD199DFA54F3184417215A298910F2C12CD9CC31EE"
scoring = 5
family = "AgentTesla_module_for_IE"
strings:
$s0 = "ByteArrayToStructure"
$s1 = "CryptAcquireContext"
$s2 = "CryptCreateHash"
$s3 = "CryptDestroyHash"
$s4 = "CryptGetHashParam"
$s5 = "CryptHashData"
$s6 = "CryptReleaseContext"
$s7 = "DecryptIePassword"
$s8 = "DoesURLMatchWithHash"
$s9 = "GetSavedCookies"
$s10 = "GetSavedPasswords"
$s11 = "GetURLHashString"
condition:
all of them
}
rule RunPE_shellcode {
meta:
author = "Group-IB"
file = "37A1961361073BEA6C6EACE6A8601F646C5B6ECD9D625E049AD02075BA996918"
scoring = 5
family = "RunPE_shellcode"
strings:
$malcode = {
C7 [2-5] EE 38 83 0C // mov dword ptr [ebp-0A0h], 0C8338EEh
C7 [2-5] 57 64 E1 01 // mov dword ptr [ebp-9Ch], 1E16457h
C7 [2-5] 18 E4 CA 08 // mov dword ptr [ebp-98h], 8CAE418h
C7 [2-5] E3 CA D8 03 // mov dword ptr [ebp-94h], 3D8CAE3h
C7 [2-5] 99 B0 48 06 // mov dword ptr [ebp-90h], 648B099h
C7 [2-5] 93 BA 94 03 // mov dword ptr [ebp-8Ch], 394BA93h
C7 [2-5] E4 C7 B9 04 // mov dword ptr [ebp-88h], 4B9C7E4h
C7 [2-5] E4 87 B8 04 // mov dword ptr [ebp-84h], 4B887E4h
C7 [2-5] A9 2D D7 01 // mov dword ptr [ebp-80h], 1D72DA9h
C7 [2-5] 05 D1 3D 0B // mov dword ptr [ebp-7Ch], 0B3DD105h
C7 [2-5] 44 27 23 0F // mov dword ptr [ebp-78h], 0F232744h
C7 [2-5] E8 6F 18 0D // mov dword ptr [ebp-74h], 0D186FE8h
}
condition:
$malcode
}
rule AgentTesla_AutoIT_module{
meta:
author = "Group-IB"
file = "49F94293F2EBD8CEFF180EDDD58FA50B30DC0F08C05B5E3BD36FD52668D196AF"
scoring = 5
family = "AgentTesla"
strings:
$packedexeau = {55 ED F5 9F 92 03 04 44 7E 16 6D 1F 8C D7 38 E6 29 E4 C8 CF DA 2C C4 E1 F3 65 48 25 B8 93 9D 66 A4 AD 3C 39 50 00 B9 60 66 19 8D FC 20 0A A0 56 52 8B 9F 15 D7 62 30 0D 5C C3 24 FE F8 FC 39 08 DF 87 2A B2 1C E9 F7 06 A8 53 B2 69 C3 3C D4 5E D4 74 91 6E 9D 9A A0 96 FD DB 1F 5E 09 D7 0F 25 FB 46 4E 74 15 BB AB DB 17 EE E7 64 33 D6 79 02 E4 85 79 14 6B 59 F9 43 3C 81 68 A8 B5 32 BC E6}
condition:
all of them
}
hashes
| Enw | qoute_jpeg56a.r15 |
| MD5 | 53BE8F9B978062D4411F71010F49209E |
| SHA1 | A8C2765B3D655BA23886D663D22BDD8EF6E8E894 |
| SHA256 | 2641DAFB452562A0A92631C2849B8B9CE880F0F8F
890E643316E9276156EDC8A |
| math | Archif WinRAR |
| Maint | 823014 |
| Enw | QOUTE_JPEG56A.exe |
| MD5 | 329F6769CF21B660D5C3F5048CE30F17 |
| SHA1 | 8010CC2AF398F9F951555F7D481CE13DF60BBECF |
| SHA256 | 49F94293F2EBD8CEFF180EDDD58FA50B30DC0F08
C05B5E3BD36FD52668D196AF |
| math | PE (Sgript AutoIt Crynhoi) |
| Maint | 1327616 |
| Enw Gwreiddiol | Anhysbys |
| DyddiadStamp | 15.07.2019 |
| cysylltiadau | Microsoft Linker(12.0)[EXE32] |
| MD5 | C2743AEDDADACC012EF4A632598C00C0 |
| SHA1 | 79B445DE923C92BF378B19D12A309C0E9C5851BF |
| SHA256 | 37A1961361073BEA6C6EACE6A8601F646C5B6ECD
9D625E049AD02075BA996918 |
| math | Cod Cragen |
| Maint | 1474 |
Ffynhonnell: hab.com