Valgdeltagelse mislykkedes: Lad os udsætte AgentTesla for rent vand. Del 1
For nylig kontaktede en europæisk producent af elektrisk installationsudstyr Group-IB - dens medarbejder modtog et mistænkeligt brev med en ondsindet vedhæftet fil med posten. Ilya Pomerantsev, en malware-analysespecialist hos CERT Group-IB, udførte en detaljeret analyse af denne fil, opdagede AgentTesla-spywaren der og fortalte, hvad man kan forvente af sådan malware, og hvordan den er farlig.
Med dette indlæg åbner vi en række artikler om, hvordan man analyserer sådanne potentielt farlige filer, og vi venter på de mest nysgerrige den 5. december på et gratis interaktivt webinar om emnet "Malware-analyse: Analyse af reelle tilfælde". Alle detaljer er under snittet.
Fordelingsmekanisme
Vi ved, at malwaren nåede offerets maskine via phishing-e-mails. Modtageren af brevet var sandsynligvis BCCed.
Analyse af overskrifterne viser, at afsenderen af brevet blev forfalsket. Faktisk efterlod brevet med vps56[.]oneworldhosting[.]com.
E-mail-vedhæftningen indeholder et WinRar-arkiv qoute_jpeg56a.r15 med en ondsindet eksekverbar fil QOUTE_JPEG56A.exe inde.
HPE økosystem
Lad os nu se, hvordan økosystemet for den undersøgte malware ser ud. Diagrammet nedenfor viser dets struktur og komponenternes interaktionsretninger.
Lad os nu se på hver af malware-komponenterne mere detaljeret.
Læsser
Original fil QOUTE_JPEG56A.exe er en kompileret AutoIt v3 manuskript.
For at sløre det originale script, en obfuscator med lignende PELock AutoIT-Obfuscator egenskaber.
Deobfuscation udføres i tre trin:
Fjernelse af obfuskation For-Hvis
Det første trin er at gendanne scriptets kontrolflow. Control Flow Flattening er en af de mest almindelige måder at beskytte applikationens binære kode mod analyse. Forvirrende transformationer øger dramatisk kompleksiteten i at udtrække og genkende algoritmer og datastrukturer.
xgacyukcyzxz - simpel byte-byte XOR af den første streng med længden af den anden
Fjernelse af obfuskation BinaryToString и Udfør
Hovedbelastningen gemmes i en opdelt form i biblioteket Fonts ressourcesektioner af filen.
Limningsrækkefølgen er som følger: TIEQHCXWFG, IME, SPDGUHIMPV, KQJMWQQAQTKTFXTUOSW, AOCHKRWWSKWO, JSHMSJPS, NHHWXJBMTTSPXVN, BFUTIFWWXVE, HWJHO, AVZOUMVFRDWFLWU.
WinAPI-funktionen bruges til at dekryptere de udtrukne data CryptDecrypt, og sessionsnøglen, der er genereret baseret på værdien, bruges som nøglen fZgFiZlJDxvuWatFRgRXZqmNCIyQgMYc.
Den dekrypterede eksekverbare fil sendes til funktionsinputtet RunPE, som udfører ProcessInject в RegAsm.exe ved hjælp af indbygget ShellCode (også kendt som RunPE ShellCode). Forfatterskabet tilhører brugeren af det spanske forum uopdagelige[.]net under tilnavnet Wardow.
Det er også værd at bemærke, at i en af trådene i dette forum, en obfuscator for AutoIt med lignende egenskaber identificeret under prøveanalyse.
Sig selv ShellCode ganske simpelt og vækker opmærksomhed kun lånt fra hackergruppen AnunakCarbanak. API opkald hashing funktion.
Vi er også opmærksomme på use cases Frenchy Shell-kode forskellige versioner.
Ud over den beskrevne funktionalitet identificerede vi også inaktive funktioner:
Blokering af manuel procesafslutning i task manager
Genstart af en underordnet proces, når den afsluttes
Omgå UAC
Gemmer nyttelasten til en fil
Demonstration af modale vinduer
Venter på, at musemarkørens position ændres
AntiVM og AntiSandbox
Selv destruktion
Pumper nyttelast fra netværket
Vi ved, at en sådan funktionalitet er typisk for beskytteren CypherIT, som tilsyneladende er den pågældende bootloader.
Hovedmodul af software
Dernæst vil vi kort beskrive malwarens hovedmodul og overveje det mere detaljeret i den anden artikel. I dette tilfælde er det en ansøgning på . NET.
Under analysen opdagede vi, at der blev brugt en obfuscator ConfuserEX.
IELibrary.dll
Biblioteket er gemt som en hovedmodulressource og er et velkendt plugin til AgentTesla, som giver funktionalitet til at udtrække forskellige oplysninger fra Internet Explorer og Edge browsere.
Agent Tesla er en modulær spionsoftware distribueret ved hjælp af en malware-as-a-service-model under dække af et legitimt keylogger-produkt. Agent Tesla er i stand til at udtrække og overføre brugeroplysninger fra browsere, e-mail-klienter og FTP-klienter til serveren til angribere, optage klippebordsdata og fange enhedens skærm. På analysetidspunktet var udviklernes officielle hjemmeside ikke tilgængelig.
Indgangspunktet er funktionen Get SavedPasswords klasse InternetExplorer.
Generelt er kodeudførelse lineær og indeholder ingen beskyttelse mod analyse. Kun den urealiserede funktion fortjener opmærksomhed GetSavedCookies. Tilsyneladende skulle funktionaliteten af plugin'et udvides, men det blev aldrig gjort.
Tilslutning af bootloaderen til systemet
Lad os studere, hvordan bootloaderen er knyttet til systemet. Prøven, der undersøges, forankrer ikke, men i lignende tilfælde forekommer den i henhold til følgende skema:
I mappe C:UsersPublic script oprettes Visual Basic
Eksempel på script:
Indholdet af loader-filen er polstret med et nul-tegn og gemt i mappen %Temp%
En autorun-nøgle oprettes i registreringsdatabasen for scriptfilen HKCUSoftwareMicrosoftWindowsCurrentVersionRun
Så baseret på resultaterne af den første del af analysen var vi i stand til at etablere navnene på familierne af alle komponenter af den undersøgte malware, analysere infektionsmønsteret og også opnå objekter til at skrive signaturer. Vi fortsætter vores analyse af dette objekt i den næste artikel, hvor vi vil se nærmere på hovedmodulet AgentTesla. Gå ikke glip af!
Forresten, den 5. december inviterer vi alle læsere til et gratis interaktivt webinar om emnet "Analyse af malware: analyse af virkelige tilfælde", hvor forfatteren af denne artikel, en CERT-GIB-specialist, vil vise online den første fase af malware analyse - semi-automatisk udpakning af prøver ved hjælp af eksemplet med tre rigtige mini-cases fra praksis, og du kan deltage i analysen. Webinaret er velegnet til specialister, der allerede har erfaring med at analysere ondsindede filer. Registrering sker udelukkende fra virksomhedens e-mail: tilmeld dig nu. Venter på dig!