ProHoster > Blog > Internetnachrichten > Wahlbeteiligung fehlgeschlagen: Lassen Sie uns AgentTesla sauberem Wasser aussetzen. Teil 1
Wahlbeteiligung fehlgeschlagen: Lassen Sie uns AgentTesla sauberem Wasser aussetzen. Teil 1
Kürzlich kontaktierte ein europäischer Hersteller von Elektroinstallationsgeräten Group-IB – sein Mitarbeiter erhielt per Post einen verdächtigen Brief mit einem schädlichen Anhang. Ilja Pomeranzew, ein Malware-Analysespezialist bei CERT Group-IB, führte eine detaillierte Analyse dieser Datei durch, entdeckte dort die AgentTesla-Spyware und erklärte, was von solcher Malware zu erwarten ist und wie gefährlich sie ist.
Mit diesem Beitrag eröffnen wir eine Reihe von Artikeln über die Analyse solcher potenziell gefährlichen Dateien und warten auf die Neugierigsten am 5. Dezember zu einem kostenlosen interaktiven Webinar zu diesem Thema „Malware-Analyse: Analyse realer Fälle“. Alle Details sind unter dem Schnitt.
Verteilungsmechanismus
Wir wissen, dass die Malware über Phishing-E-Mails auf den Rechner des Opfers gelangt ist. Der Empfänger des Briefes war wahrscheinlich BCCed.
Die Analyse der Kopfzeilen zeigt, dass der Absender des Briefes gefälscht wurde. Tatsächlich ging der Brief mit vps56[.]oneworldhosting[.]com.
Der E-Mail-Anhang enthält ein WinRar-Archiv qoute_jpeg56a.r15 mit einer bösartigen ausführbaren Datei QUUTE_JPEG56A.exe Innerhalb.
Malware-Ökosystem
Schauen wir uns nun an, wie das Ökosystem der untersuchten Malware aussieht. Das folgende Diagramm zeigt seinen Aufbau und die Wechselwirkungsrichtungen der Komponenten.
Schauen wir uns nun die einzelnen Malware-Komponenten genauer an.
Lader
Originaldatei QUUTE_JPEG56A.exe ist eine kompilierte AutoIt v3 Skript.
Um das ursprüngliche Skript zu verschleiern, wird ein Obfuscator mit ähnlichem verwendet PELock AutoIT-Obfuscator Eigenschaften.
Die Entschleierung erfolgt in drei Schritten:
Verschleierung beseitigen Für-Wenn
Der erste Schritt besteht darin, den Kontrollfluss des Skripts wiederherzustellen. Die Reduzierung des Kontrollflusses ist eine der gebräuchlichsten Methoden, um den Binärcode einer Anwendung vor der Analyse zu schützen. Verwirrende Transformationen erhöhen die Komplexität des Extrahierens und Erkennens von Algorithmen und Datenstrukturen dramatisch.
Zeilenwiederherstellung
Zum Verschlüsseln von Zeichenfolgen werden zwei Funktionen verwendet:
gdorizabegkvfca – Führt eine Base64-ähnliche Dekodierung durch
xgacyukcyzxz – einfaches Byte-Byte-XOR der ersten Zeichenfolge mit der Länge der zweiten
Verschleierung beseitigen BinaryToString и Ausführen
Die Hauptlast wird in aufgeteilter Form im Verzeichnis abgelegt Schriftarten Ressourcenabschnitte der Datei.
Die Klebereihenfolge ist wie folgt: TIEQHCXWFG, IME, SPDGUHIMPV, KQJMWQQAQTKTFXTUOSW, AOCHKRWWSKWO, JSHMSJPS, NHHWXJBMTTSPXVN, BFUTIFWWXVE, HWJHO, AVZOUMVFRDWFLWU.
Zur Entschlüsselung der extrahierten Daten wird die WinAPI-Funktion verwendet CryptDecrypt, und der basierend auf dem Wert generierte Sitzungsschlüssel wird als Schlüssel verwendet fZgFiZlJDxvuWatFRgRXZqmNCIyQgMYc.
Die entschlüsselte ausführbare Datei wird an den Funktionseingang gesendet RunPE, was ausführt ProcessInject в RegAsm.exe mit integriertem ShellCode (auch bekannt als Führen Sie PE ShellCode aus). Die Urheberschaft liegt beim Benutzer des spanischen Forums indetectables[.]net unter dem Spitznamen Wardow.
Es ist auch erwähnenswert, dass in einem der Threads dieses Forums ein Obfuscator für AutoIt mit ähnlichen Eigenschaften, die während der Probenanalyse identifiziert wurden.
Selbst ShellCode Ganz einfach und fällt nur auf, wenn man es von der Hackergruppe AnunakCarbanak entlehnt hat. API-Aufruf-Hashing-Funktion.
Auch Anwendungsfälle sind uns bekannt Frenchy Shellcode verschiedene Versionen.
Zusätzlich zur beschriebenen Funktionalität haben wir auch inaktive Funktionen identifiziert:
Blockieren der manuellen Prozessbeendigung im Task-Manager
Neustart eines untergeordneten Prozesses, wenn dieser beendet wird
UAC umgehen
Speichern der Nutzdaten in einer Datei
Demonstration modaler Fenster
Warten darauf, dass sich die Position des Mauszeigers ändert
AntiVM und AntiSandbox
Selbstzerstörung
Nutzlast aus dem Netzwerk pumpen
Wir wissen, dass diese Funktionalität typisch für den Protektor ist CypherIT, bei dem es sich offenbar um den fraglichen Bootloader handelt.
Hauptmodul der Software
Als nächstes beschreiben wir kurz das Hauptmodul der Malware und gehen im zweiten Artikel genauer darauf ein. In diesem Fall handelt es sich um eine Bewerbung .NET.
Bei der Analyse stellten wir fest, dass ein Obfuskator verwendet wurde ConfuserEX.
IELibrary.dll
Die Bibliothek wird als Hauptmodulressource gespeichert und ist ein bekanntes Plugin für Agent Tesla, das Funktionen zum Extrahieren verschiedener Informationen aus Internet Explorer- und Edge-Browsern bietet.
Agent Tesla ist eine modulare Spionagesoftware, die unter dem Deckmantel eines legitimen Keylogger-Produkts über ein Malware-as-a-Service-Modell verbreitet wird. Agent Tesla ist in der Lage, Benutzeranmeldeinformationen von Browsern, E-Mail-Clients und FTP-Clients zu extrahieren und an den Server an Angreifer zu übermitteln, Zwischenablagedaten aufzuzeichnen und den Gerätebildschirm zu erfassen. Zum Zeitpunkt der Analyse war die offizielle Website der Entwickler nicht verfügbar.
Der Einstiegspunkt ist die Funktion GetSavedPasswords Klasse InternetExplorer.
Im Allgemeinen erfolgt die Codeausführung linear und enthält keinen Schutz vor Analyse. Nur die nicht realisierte Funktion verdient Aufmerksamkeit GetSavedCookies. Offenbar sollte der Funktionsumfang des Plugins erweitert werden, was jedoch nie geschehen ist.
Anschließen des Bootloaders an das System
Lassen Sie uns untersuchen, wie der Bootloader an das System angeschlossen ist. Das untersuchte Exemplar verankert sich nicht, aber bei ähnlichen Ereignissen erfolgt es nach folgendem Schema:
Im Ordner C:UsersPublic Skript wird erstellt Visual Basic
Skriptbeispiel:
Der Inhalt der Loader-Datei wird mit einem Nullzeichen aufgefüllt und im Ordner gespeichert %Temp%<Benutzerdefinierter Ordnername><Dateiname>
Für die Skriptdatei wird in der Registrierung ein Autorun-Schlüssel erstellt HKCUSoftwareMicrosoftWindowsCurrentVersionRun<Skriptname>
Basierend auf den Ergebnissen des ersten Teils der Analyse konnten wir die Namen der Familien aller Komponenten der untersuchten Malware ermitteln, das Infektionsmuster analysieren und auch Objekte zum Schreiben von Signaturen erhalten. Wir werden unsere Analyse dieses Objekts im nächsten Artikel fortsetzen, in dem wir uns das Hauptmodul genauer ansehen Agent Tesla. Nicht verpassen!
Übrigens laden wir am 5. Dezember alle Leser zu einem kostenlosen interaktiven Webinar zum Thema „Analyse von Malware: Analyse realer Fälle“ ein, bei dem der Autor dieses Artikels, ein CERT-GIB-Spezialist, online die erste Phase von zeigt Malware-Analyse – halbautomatisches Auspacken von Proben am Beispiel von drei realen Mini-Fällen aus der Praxis, und Sie können an der Analyse teilnehmen. Das Webinar eignet sich für Spezialisten, die bereits Erfahrung in der Analyse schädlicher Dateien haben. Die Registrierung erfolgt ausschließlich über die Firmen-E-Mail: Registrieren. Warten auf euch!