Partopreno malsukcesis: ni elmontru AgentTesla al pura akvo. Parto 1
Lastatempe eŭropa fabrikisto de elektraj instalaĵoj kontaktis Group-IB - ĝia dungito ricevis suspektindan leteron kun malica aldonaĵo en la poŝto. Ilja Pomerantsev, specialisto pri analizo pri malware ĉe CERT Group-IB, faris detalan analizon de ĉi tiu dosiero, malkovris la spionprogramon AgentTesla tie kaj diris kion atendi de tia malware kaj kiel ĝi estas danĝera.
Kun ĉi tiu afiŝo ni malfermas serion da artikoloj pri kiel analizi tiajn eble danĝerajn dosierojn, kaj ni atendas la plej scivolemajn la 5-an de decembro por senpaga interaga retseminario pri la temo. "Malware-Analizo: Analizo de Realaj Kazoj". Ĉiuj detaloj estas sub la tranĉo.
Distribua mekanismo
Ni scias, ke la malware atingis la maŝinon de la viktimo per retpoŝtoj pri phishing. La ricevanto de la letero estis verŝajne BCCed.
Analizo de la kaplinioj montras, ke la sendinto de la letero estis trompita. Fakte, la letero foriris kun vps56[.]oneworldhosting[.]com.
La retpoŝta aldonaĵo enhavas WinRar-arkivon qoute_jpeg56a.r15 kun malica rulebla dosiero QUUTE_JPEG56A.exe interne.
Malware-ekosistemo
Nun ni vidu kiel aspektas la ekosistemo de la studata malware. La diagramo malsupre montras ĝian strukturon kaj la direktojn de interagado de la komponentoj.
Nun ni rigardu ĉiun el la malware-komponentoj pli detale.
Ŝargilo
Originala dosiero QUUTE_JPEG56A.exe estas kompilita AutoIt v3 skripto.
Por malklarigi la originalan skribon, malklarigilon kun simila PELock AutoIT-Obfuscator karakterizaĵoj.
Senmalklarigado okazas en tri etapoj:
Forigante malklariĝon Por-Se
La unua paŝo estas restarigi la kontrolfluon de la skripto. Kontrola Flua Platigo estas unu el la plej oftaj manieroj por protekti aplikaĵon binaran kodon de analizo. Konfuzaj transformoj draste pliigas la kompleksecon ĉerpi kaj rekoni algoritmojn kaj datumstrukturojn.
xgacyukcyzxz - simpla bajta-bajta XOR de la unua ĉeno kun la longo de la dua
Forigante malklariĝon BinaryToString и Ekzekuti
La ĉefa ŝarĝo estas konservita en dividita formo en la dosierujo Tiparoj rimedsekcioj de la dosiero.
La ordo de gluado estas jena: TIEQHCXWFG, EMI, SPDGUHIMPV, KQJMWQQAQTKTFXTUOSW, AOCHKRWWSKWO, JSHMSJPS, NHHWXJBMTTSPXVN, BFUTIFWWXVE, HWJHO, AVZOUMVFRDWFLWU.
La WinAPI-funkcio estas uzata por deĉifri la ĉerpitajn datumojn CryptDecrypt, kaj la sesioŝlosilo generita surbaze de la valoro estas uzata kiel la ŝlosilo fZgFiZlJDxvuWatFRgRXZqmNCIyQgMYc.
La deĉifrita rulebla dosiero estas sendita al la funkcio-enigo KuruPE, kiu efektivigas ProcessInject в RegAsm.exe uzante enkonstruitan ShellCode (ankaŭ konata kiel RunPE ShellCode). Aŭtoreco apartenas al la uzanto de la hispana forumo nedetekteblaj[.]net sub la kromnomo Wardow.
Indas ankaŭ rimarki, ke en unu el la fadenoj de ĉi tiu forumo, malklarigaĵo por Ĉe la tegmento kun similaj trajtoj identigitaj dum prova analizo.
Li mem ShellCode sufiĉe simpla kaj altiras atenton nur pruntita de la hacker grupo AnunakCarbanak. API-voka haŝa funkcio.
Ni ankaŭ konscias pri uzaj kazoj Frenchy Shellcode malsamaj versioj.
Krom la priskribita funkcieco, ni ankaŭ identigis neaktivajn funkciojn:
Blokante manan procezfinon en taskmanaĝero
Rekomencante infanan procezon kiam ĝi finiĝas
Preterpasu UAC
Konservado de la utila ŝarĝo al dosiero
Demonstro de modalaj fenestroj
Atendante la ŝanĝon de la pozicio de la muskursoro
AntiVM kaj AntiSandbox
memdetruo
Pumpado de utila ŝarĝo de la reto
Ni scias, ke tia funkcieco estas tipa por la protektanto CypherIT, kiu, ŝajne, estas la koncerna ekŝargilo.
Ĉefa modulo de programaro
Poste, ni mallonge priskribos la ĉefan modulon de la malware, kaj konsideros ĝin pli detale en la dua artikolo. En ĉi tiu kazo, ĝi estas aplikaĵo NET.
Dum la analizo, ni malkovris, ke malklarigilo estis uzata ConfuserEX.
IELibrary.dll
La biblioteko estas konservita kiel ĉefa modula rimedo kaj estas konata kromaĵo por Agento Tesla, kiu disponigas funkciecon por ĉerpi diversajn informojn de Internet Explorer kaj Edge-retumiloj.
Agento Tesla estas modula spiona programaro distribuita per malware-kiel-serva modelo sub la alivestiĝo de legitima keylogger produkto. Agento Tesla kapablas ĉerpi kaj transdoni uzantajn akreditaĵojn de retumiloj, retpoŝtaj klientoj kaj FTP-klientoj al la servilo al atakantoj, registri datumojn de tondujo kaj kapti la ekranon de la aparato. En la momento de la analizo, la oficiala retejo de la programistoj ne estis disponebla.
La enirpunkto estas la funkcio GetSavedPasvortoj klaso InternetExplorer.
Ĝenerale, koda ekzekuto estas linia kaj ne enhavas ajnan protekton kontraŭ analizo. Nur la nerealigita funkcio meritas atenton GetSavedCookies. Ŝajne, la funkcieco de la kromaĵo laŭsupoze estis vastigita, sed tio neniam estis farita.
Alkroĉante la ekŝargilon al la sistemo
Ni studu kiel la ekŝargilo estas ligita al la sistemo. La studata specimeno ne ankras, sed en similaj eventoj ĝi okazas laŭ la sekva skemo:
En la dosierujo C: Uzantoj Publikaj skripto estas kreita vidaj Bazaj
Ekzemplo de manuskripto:
La enhavo de la ŝargilo dosiero estas plenigita kun nula signo kaj konservita en la dosierujo %Temp%
Aŭtomata ŝlosilo estas kreita en la registro por la skriptodosiero HKCUSoftwareMicrosoftWindowsCurrentVersionRun
Do, surbaze de la rezultoj de la unua parto de la analizo, ni povis establi la nomojn de la familioj de ĉiuj komponantoj de la studata malware, analizi la infektan ŝablonon kaj ankaŭ akiri objektojn por skribi subskribojn. Ni daŭrigos nian analizon de ĉi tiu objekto en la sekva artikolo, kie ni rigardos la ĉefan modulon pli detale Agento Tesla. Ne maltrafu!
Cetere, la 5-an de decembro ni invitas ĉiujn legantojn al senpaga interaga retseminario pri la temo “Analizo de malware: analizo de realaj kazoj”, kie la aŭtoro de ĉi tiu artikolo, specialisto de CERT-GIB, montros interrete la unuan etapon de malware analizo - duonaŭtomata malpakado de specimenoj uzante la ekzemplon de tri realaj mini-kazoj de praktiko, kaj vi povas partopreni en la analizo. La retseminario taŭgas por specialistoj, kiuj jam havas sperton pri analizado de malicaj dosieroj. Registrado estas strikte de kompania retpoŝto: registri. Atendante vin!