Η προσέλευση απέτυχε: ας εκθέσουμε την AgentTesla σε καθαρό νερό. Μέρος 1
Πρόσφατα, ένας Ευρωπαίος κατασκευαστής εξοπλισμού ηλεκτρικής εγκατάστασης επικοινώνησε με την Group-IB - ο υπάλληλος του έλαβε μια ύποπτη επιστολή με κακόβουλο συνημμένο στο ταχυδρομείο. Ίλια Πομεράντσεφ, ένας ειδικός στην ανάλυση κακόβουλου λογισμικού στο CERT Group-IB, διεξήγαγε μια λεπτομερή ανάλυση αυτού του αρχείου, ανακάλυψε εκεί το λογισμικό κατασκοπείας AgentTesla και είπε τι να περιμένετε από τέτοιο κακόβουλο λογισμικό και πώς είναι επικίνδυνο.
Με αυτήν την ανάρτηση ανοίγουμε μια σειρά άρθρων σχετικά με τον τρόπο ανάλυσης τέτοιων δυνητικά επικίνδυνων αρχείων και περιμένουμε τους πιο περίεργους στις 5 Δεκεμβρίου για ένα δωρεάν διαδραστικό διαδικτυακό σεμινάριο σχετικά με το θέμα "Ανάλυση κακόβουλου λογισμικού: Ανάλυση πραγματικών περιπτώσεων". Όλες οι λεπτομέρειες είναι κάτω από το κόψιμο.
Μηχανισμός διανομής
Γνωρίζουμε ότι το κακόβουλο λογισμικό έφτασε στο μηχάνημα του θύματος μέσω μηνυμάτων ηλεκτρονικού ψαρέματος. Ο παραλήπτης της επιστολής ήταν πιθανότατα BCC.
Η ανάλυση των κεφαλίδων δείχνει ότι ο αποστολέας της επιστολής ήταν πλαστογραφημένος. Στην πραγματικότητα, η επιστολή έφυγε με vps56[.]oneworldhosting[.]com.
Το συνημμένο email περιέχει ένα αρχείο WinRar qoute_jpeg56a.r15 με ένα κακόβουλο εκτελέσιμο αρχείο QOUTE_JPEG56A.exe μέσα.
Οικοσύστημα HPE
Τώρα ας δούμε πώς μοιάζει το οικοσύστημα του υπό μελέτη κακόβουλου λογισμικού. Το παρακάτω διάγραμμα δείχνει τη δομή του και τις κατευθύνσεις αλληλεπίδρασης των εξαρτημάτων.
Τώρα ας δούμε κάθε ένα από τα στοιχεία κακόβουλου λογισμικού με περισσότερες λεπτομέρειες.
Φορτωτής
Αρχικό αρχείο QOUTE_JPEG56A.exe είναι ένα μεταγλωττισμένο AutoIt v3 γραφή.
Για να συσκοτίσει το αρχικό σενάριο, ένα συσκότιμο με παρόμοια PELock AutoIT-Obfuscator Χαρακτηριστικά.
Η αποσυμφόρηση πραγματοποιείται σε τρία στάδια:
Αφαίρεση της συσκότισης Για-Αν
Το πρώτο βήμα είναι να επαναφέρετε τη ροή ελέγχου του σεναρίου. Το Control Flow Flattening είναι ένας από τους πιο συνηθισμένους τρόπους προστασίας του δυαδικού κώδικα εφαρμογής από την ανάλυση. Οι μπερδεμένοι μετασχηματισμοί αυξάνουν δραματικά την πολυπλοκότητα της εξαγωγής και της αναγνώρισης αλγορίθμων και δομών δεδομένων.
Ανάκτηση σειράς
Δύο συναρτήσεις χρησιμοποιούνται για την κρυπτογράφηση συμβολοσειρών:
gdorizabegkvfca - Εκτελεί αποκωδικοποίηση τύπου Base64
xgacyukcyzxz - απλό byte-byte XOR της πρώτης συμβολοσειράς με το μήκος της δεύτερης
Αφαίρεση της συσκότισης BinaryToString и Εκτέλεση
Το κύριο φορτίο αποθηκεύεται σε χωρισμένη μορφή στον κατάλογο γραμματοσειρές ενότητες πόρων του αρχείου.
Η σειρά κόλλησης έχει ως εξής: TIEQHCXWFG, IME, SPDGUHIMPV, KQJMWQQAQTKTFXTUOSW, AOCHKRWWSKWO, JSHMSJPS, NHHWXJBMTTSPXVN, BFUTIFWWXVE, HWJHO, AVZOUMVFRDWFLWU.
Η συνάρτηση WinAPI χρησιμοποιείται για την αποκρυπτογράφηση των εξαγόμενων δεδομένων CryptDecrypt, και το κλειδί περιόδου λειτουργίας που δημιουργείται με βάση την τιμή χρησιμοποιείται ως κλειδί fZgFiZlJDxvuWatFRgRXZqmNCIyQgMYc.
Το αποκρυπτογραφημένο εκτελέσιμο αρχείο αποστέλλεται στην είσοδο συνάρτησης RunPE, που πραγματοποιεί ProcessInject в RegAsm.exe χρησιμοποιώντας ενσωματωμένο ShellCode (γνωστός και ως RunPE ShellCode). Η συγγραφή ανήκει στον χρήστη του ισπανικού φόρουμ ανιχνεύσιμα[.]δικτυ με το ψευδώνυμο Wardow.
Αξίζει επίσης να σημειωθεί ότι σε ένα από τα threads αυτού του φόρουμ, ένας επισκιαστής για AutoIt με παρόμοιες ιδιότητες που εντοπίστηκαν κατά την ανάλυση του δείγματος.
Ίδιος ShellCode αρκετά απλό και τραβάει την προσοχή μόνο δανεισμένο από την ομάδα χάκερ AnunakCarbanak. Λειτουργία κατακερματισμού κλήσεων API.
Γνωρίζουμε επίσης περιπτώσεις χρήσης Frenchy Shellcode διαφορετικές εκδόσεις.
Εκτός από την περιγραφόμενη λειτουργικότητα, εντοπίσαμε επίσης ανενεργές συναρτήσεις:
Αποκλεισμός χειροκίνητου τερματισμού διαδικασίας στη διαχείριση εργασιών
Επανεκκίνηση μιας θυγατρικής διαδικασίας όταν τερματιστεί
Παράκαμψη UAC
Αποθήκευση του ωφέλιμου φορτίου σε ένα αρχείο
Επίδειξη modal windows
Αναμονή για αλλαγή της θέσης του δρομέα του ποντικιού
AntiVM και AntiSandbox
αυτοκαταστροφή
Άντληση ωφέλιμου φορτίου από το δίκτυο
Γνωρίζουμε ότι μια τέτοια λειτουργικότητα είναι χαρακτηριστική για το προστατευτικό CypherIT, που, προφανώς, είναι ο εν λόγω bootloader.
Κύρια ενότητα λογισμικού
Στη συνέχεια, θα περιγράψουμε εν συντομία την κύρια ενότητα του κακόβουλου λογισμικού και θα την εξετάσουμε λεπτομερέστερα στο δεύτερο άρθρο. Σε αυτή την περίπτωση, πρόκειται για μια εφαρμογή στις . NET.
Κατά τη διάρκεια της ανάλυσης, ανακαλύψαμε ότι χρησιμοποιήθηκε συσκότιση ConfuserEX.
IELibrary.dll
Η βιβλιοθήκη αποθηκεύεται ως κύριος πόρος λειτουργικής μονάδας και είναι μια πολύ γνωστή προσθήκη για AgentTesla, το οποίο παρέχει λειτουργικότητα για την εξαγωγή διαφόρων πληροφοριών από προγράμματα περιήγησης Internet Explorer και Edge.
Το Agent Tesla είναι ένα αρθρωτό λογισμικό κατασκοπείας που διανέμεται χρησιμοποιώντας ένα μοντέλο κακόβουλου λογισμικού ως υπηρεσία υπό το πρόσχημα ενός νόμιμου προϊόντος keylogger. Ο πράκτορας Tesla είναι σε θέση να εξάγει και να μεταδίδει διαπιστευτήρια χρήστη από προγράμματα περιήγησης, προγράμματα-πελάτες email και προγράμματα-πελάτες FTP στον διακομιστή σε εισβολείς, να καταγράφει δεδομένα από το πρόχειρο και να καταγράφει την οθόνη της συσκευής. Κατά τη στιγμή της ανάλυσης, ο επίσημος ιστότοπος των προγραμματιστών δεν ήταν διαθέσιμος.
Το σημείο εισόδου είναι η λειτουργία GetSavedPasswords κατηγορία InternetExplorer.
Γενικά, η εκτέλεση του κώδικα είναι γραμμική και δεν περιέχει καμία προστασία έναντι της ανάλυσης. Μόνο η απραγματοποίητη συνάρτηση αξίζει προσοχής GetSavedCookies. Προφανώς, η λειτουργικότητα του plugin έπρεπε να επεκταθεί, αλλά αυτό δεν έγινε ποτέ.
Προσάρτηση του bootloader στο σύστημα
Ας μελετήσουμε πώς συνδέεται ο bootloader στο σύστημα. Το υπό μελέτη δείγμα δεν αγκυρώνεται, αλλά σε παρόμοια γεγονότα εμφανίζεται σύμφωνα με το ακόλουθο σχήμα:
Σε φάκελο C:UsersPublic δημιουργείται σενάριο Visual Basic
Παράδειγμα σεναρίου:
Τα περιεχόμενα του αρχείου φόρτωσης συμπληρώνονται με έναν μηδενικό χαρακτήρα και αποθηκεύονται στο φάκελο %Temp%
Δημιουργείται ένα κλειδί αυτόματης εκτέλεσης στο μητρώο για το αρχείο δέσμης ενεργειών HKCUSoftwareMicrosoftWindowsCurrentVersionRun
Έτσι, με βάση τα αποτελέσματα του πρώτου μέρους της ανάλυσης, μπορέσαμε να καθορίσουμε τα ονόματα των οικογενειών όλων των στοιχείων του υπό μελέτη κακόβουλου λογισμικού, να αναλύσουμε το μοτίβο μόλυνσης και επίσης να αποκτήσουμε αντικείμενα για τη σύνταξη υπογραφών. Θα συνεχίσουμε την ανάλυση αυτού του αντικειμένου στο επόμενο άρθρο, όπου θα εξετάσουμε την κύρια ενότητα με περισσότερες λεπτομέρειες AgentTesla. Μην χάσετε!
Παρεμπιπτόντως, στις 5 Δεκεμβρίου προσκαλούμε όλους τους αναγνώστες σε ένα δωρεάν διαδραστικό διαδικτυακό σεμινάριο με θέμα «Ανάλυση κακόβουλου λογισμικού: ανάλυση πραγματικών περιπτώσεων», όπου ο συγγραφέας αυτού του άρθρου, ειδικός του CERT-GIB, θα δείξει στο διαδίκτυο το πρώτο στάδιο του Ανάλυση κακόβουλου λογισμικού - ημιαυτόματη αποσυσκευασία δειγμάτων χρησιμοποιώντας το παράδειγμα τριών πραγματικών μίνι περιπτώσεων από την πρακτική, και μπορείτε να λάβετε μέρος στην ανάλυση. Το διαδικτυακό σεμινάριο είναι κατάλληλο για ειδικούς που έχουν ήδη εμπειρία στην ανάλυση κακόβουλων αρχείων. Η εγγραφή γίνεται αυστηρά από εταιρικό email: εγγραφείτε. Σε περιμένω!