Methodd y nifer a bleidleisiodd: gadewch i ni amlygu AgentTesla i ddŵr glân. Rhan 1
Yn ddiweddar, cysylltodd gwneuthurwr Ewropeaidd o offer gosod trydanol â Group-IB - derbyniodd ei weithiwr lythyr amheus trwy'r post gydag atodiad maleisus. Ilya Pomerantsev, arbenigwr dadansoddi malware yn CERT Group-IB, wedi cynnal dadansoddiad manwl o'r ffeil hon, wedi darganfod ysbïwedd AgentTesla yno a dywedodd beth i'w ddisgwyl gan malware o'r fath a sut mae'n beryglus.
Gyda'r post hwn rydym yn agor cyfres o erthyglau ar sut i ddadansoddi ffeiliau o'r fath a allai fod yn beryglus, ac rydym yn aros am y rhai mwyaf chwilfrydig ar Ragfyr 5ed am weminar ryngweithiol am ddim ar y pwnc “Dadansoddiad Malware: Dadansoddiad o Achosion Gwirioneddol”. Mae'r holl fanylion o dan y toriad.
Mecanwaith dosbarthu
Gwyddom fod y drwgwedd wedi cyrraedd peiriant y dioddefwr trwy e-byst gwe-rwydo. Mae'n debyg bod derbynnydd y llythyr yn BCCed.
Mae dadansoddiad o'r penawdau'n dangos bod anfonwr y llythyr yn ffug. Yn wir, gadawodd y llythyr gyda vps56[.]oneworldhosting[.]com.
Mae'r atodiad e-bost yn cynnwys archif WinRar qoute_jpeg56a.r15 gyda ffeil gweithredadwy maleisus QOUTE_JPEG56A.exe y tu mewn.
ecosystem HPE
Nawr, gadewch i ni weld sut olwg sydd ar ecosystem y malware sy'n cael ei astudio. Mae'r diagram isod yn dangos ei strwythur a chyfeiriad rhyngweithio'r cydrannau.
Nawr, gadewch i ni edrych ar bob un o'r cydrannau malware yn fwy manwl.
Llwythwr
Ffeil wreiddiol QOUTE_JPEG56A.exe yn grynhoad AutoIt v3 sgript.
I obfuscate y sgript wreiddiol, mae obfuscator gyda tebyg PELock AutoIT-Obfuscator nodweddion.
Cyflawnir dad-ymwysiad mewn tri cham:
Cael gwared ar obfuscation Am-Os
Y cam cyntaf yw adfer llif rheolaeth y sgript. Fflatio Llif Rheoli yw un o'r ffyrdd mwyaf cyffredin o ddiogelu cymhwysiad cod deuaidd rhag dadansoddi. Mae trawsnewidiadau dryslyd yn cynyddu cymhlethdod echdynnu ac adnabod algorithmau a strwythurau data yn ddramatig.
Adferiad rhes
Defnyddir dwy swyddogaeth i amgryptio llinynnau:
gdorizabegkvfca - Yn perfformio datgodio tebyg i Base64
xgacyukcyzxz - beit-beit syml XOR y llinyn cyntaf gyda hyd yr ail
Cael gwared ar obfuscation DeuaiddToString и Gweithredu
Mae'r prif lwyth yn cael ei storio mewn ffurf wedi'i rannu yn y cyfeiriadur Bedyddfeini adrannau adnoddau o'r ffeil.
Mae'r gorchymyn gludo fel a ganlyn: TIEQHCXWFG, EMI, SPDGUHIMPV, KQJMWQQAQTKTFXTUOSW, AOCHKRWWSKWO, JSHMSJPS, NHHWXJBMTTSPXVN, BFUTIFWWXVE, HWJHO, AVZOUMVFRDWFLWU.
Defnyddir swyddogaeth WinAPI i ddadgryptio'r data a echdynnwyd CryptDecrypt, a defnyddir yr allwedd sesiwn a gynhyrchir yn seiliedig ar y gwerth fel yr allwedd fZgFiZlJDxvuWatFRgRXZqmNCIyQgMYc.
Mae'r ffeil gweithredadwy dadgryptio yn cael ei anfon at y mewnbwn swyddogaeth RunPE, sy'n cyflawni ProsesInject в RegAsm.exe gan ddefnyddio adeiledig Cod Cragen (a elwir hefyd yn RunPE ShellCode). Defnyddiwr fforwm Sbaen sy'n berchen ar yr awduraeth anghanfyddadwy[.]net dan y llysenw Wardow.
Mae hefyd yn werth nodi bod yn un o edafedd y fforwm hwn, yn obfuscator ar gyfer Ar y to gyda phriodweddau tebyg a nodwyd yn ystod dadansoddiad sampl.
Hun Cod Cragen eithaf syml ac yn denu sylw a fenthycwyd yn unig gan y grŵp haciwr AnunakCarbanak. Swyddogaeth hashing galwadau API.
Rydym hefyd yn ymwybodol o achosion defnydd Frenchy Shellcode fersiynau gwahanol.
Yn ogystal â'r swyddogaethau a ddisgrifiwyd, fe wnaethom hefyd nodi swyddogaethau anactif:
Rhwystro terfynu proses â llaw yn y rheolwr tasgau
Ailgychwyn proses plentyn pan ddaw i ben
Ffordd osgoi UAC
Arbed y llwyth tâl i ffeil
Arddangosiad o ffenestri moddol
Aros i leoliad cyrchwr y llygoden newid
AntiVM ac AntiSandbox
hunan-ddinistrio
Pwmpio llwyth tâl o'r rhwydwaith
Gwyddom fod ymarferoldeb o'r fath yn nodweddiadol i'r amddiffynnydd CypherIT, sef, mae'n debyg, y cychwynnydd dan sylw.
Prif fodiwl meddalwedd
Nesaf, byddwn yn disgrifio'n fyr brif fodiwl y malware, ac yn ei ystyried yn fanylach yn yr ail erthygl. Yn yr achos hwn, mae'n gais ar . NET.
Yn ystod y dadansoddiad, fe wnaethom ddarganfod bod obfuscator yn cael ei ddefnyddio ConfuserEX.
IELibrary.dll
Mae'r llyfrgell yn cael ei storio fel prif adnodd modiwl ac mae'n ategyn adnabyddus ar gyfer AsiantTesla, sy'n darparu ymarferoldeb ar gyfer echdynnu gwybodaeth amrywiol o borwyr Internet Explorer ac Edge.
Mae Asiant Tesla yn feddalwedd ysbïo modiwlaidd a ddosberthir gan ddefnyddio model malware-fel-a-gwasanaeth dan gochl cynnyrch keylogger cyfreithlon. Mae Asiant Tesla yn gallu echdynnu a throsglwyddo tystlythyrau defnyddwyr o borwyr, cleientiaid e-bost a chleientiaid FTP i'r gweinydd i ymosodwyr, recordio data clipfwrdd, a chipio sgrin y ddyfais. Ar adeg y dadansoddiad, nid oedd gwefan swyddogol y datblygwyr ar gael.
Y pwynt mynediad yw'r swyddogaeth GetSavedPasswords InternetExplorer dosbarth.
Yn gyffredinol, mae gweithredu cod yn llinol ac nid yw'n cynnwys unrhyw amddiffyniad rhag dadansoddi. Dim ond y swyddogaeth heb ei gwireddu sy'n haeddu sylw GetSavedCookies. Yn ôl pob tebyg, roedd ymarferoldeb yr ategyn i fod i gael ei ehangu, ond ni wnaed hyn erioed.
Atodi'r cychwynnydd i'r system
Gadewch i ni astudio sut mae'r cychwynnydd ynghlwm wrth y system. Nid yw'r sbesimen dan sylw yn angori, ond mewn digwyddiadau tebyg mae'n digwydd yn unol â'r cynllun canlynol:
Yn y ffolder S: DefnyddwyrCyhoeddus sgript yn cael ei greu Visual Basic
Enghraifft o sgript:
Mae cynnwys y ffeil cychwynnydd wedi'i badio â nod null a'i gadw yn y ffolder % Temp%<Enw ffolder personol>Enw ffeil>
Crëir allwedd autorun yn y gofrestrfa ar gyfer y ffeil sgript HKCUSoftwareMicrosoftWindowsCurrentVersionRun <enw sgript>
Felly, yn seiliedig ar ganlyniadau rhan gyntaf y dadansoddiad, roeddem yn gallu sefydlu enwau teuluoedd holl gydrannau'r malware dan sylw, dadansoddi'r patrwm haint, a hefyd cael gwrthrychau ar gyfer ysgrifennu llofnodion. Byddwn yn parhau â'n dadansoddiad o'r gwrthrych hwn yn yr erthygl nesaf, lle byddwn yn edrych ar y prif fodiwl yn fwy manwl AsiantTesla. Peidiwch â cholli!
Gyda llaw, ar Ragfyr 5 rydym yn gwahodd yr holl ddarllenwyr i weminar ryngweithiol rhad ac am ddim ar y pwnc "Dadansoddiad o faleiswedd: dadansoddiad o achosion go iawn", lle bydd awdur yr erthygl hon, arbenigwr CERT-GIB, yn dangos ar-lein y cam cyntaf o dadansoddiad malware - dadbacio samplau yn lled-awtomatig gan ddefnyddio'r enghraifft o dri achos bach go iawn o ymarfer, a gallwch chi gymryd rhan yn y dadansoddiad. Mae'r gweminar yn addas ar gyfer arbenigwyr sydd eisoes â phrofiad o ddadansoddi ffeiliau maleisus. Daw'r cofrestru o e-bost corfforaethol yn unig: cofrestru. Aros i chi!