Duela gutxi, instalazio elektrikoko ekipoen fabrikatzaile europarrarekin harremanetan jarri zen Group-IB - bere langileak gutun susmagarri bat jaso zuen postaz eranskin gaizto batekin. Ilya Pomerantsev, CERT Group-IB-ko malwarearen analisiko espezialistak, fitxategi honen azterketa zehatza egin zuen, AgentTesla spywarea aurkitu zuen bertan eta malware horretatik zer espero zen eta nola arriskutsua den esan zuen.
Argitalpen honekin arriskutsuak izan daitezkeen fitxategiak aztertzeko moduari buruzko artikulu sorta bat irekitzen ari gara, eta bitxienen zain gaude abenduaren 5ean gaiari buruzko doako webinar interaktibo baterako. "Malwarearen analisia: kasu errealen azterketa". Xehetasun guztiak ebaki azpian daude.
Banaketa mekanismoa
Badakigu malwarea biktimaren makinara phishing mezuen bidez iritsi zela. Gutunaren hartzailea BCCed izan zen ziurrenik.
Goiburuen azterketak erakusten du gutunaren bidaltzailea faltsutu egin zela. Izan ere, eskutitzak utzi zuen vps56[.]oneworldhosting[.]com.
Posta elektronikoaren eranskinak WinRar artxibo bat dauka qoute_jpeg56a.r15 fitxategi exekutagarri gaizto batekin QOUTE_JPEG56A.exe barruan.
Malware ekosistema
Ikus dezagun orain aztergai dugun malwarearen ekosistema nolakoa den. Beheko diagraman bere egitura eta osagaien elkarrekintza norabideak erakusten dira.
Orain ikus ditzagun malware osagai bakoitza xehetasun gehiagorekin.
Kargagailua
Jatorrizko fitxategia QOUTE_JPEG56A.exe konpilatu bat da AutoIt v3 gidoia.
Jatorrizko gidoia lausotzeko, antzekoa duen lausotzailea PELock AutoIT-Obfuscator ezaugarriak.
Desobfuskatzea hiru fasetan egiten da:
- Lausoa kentzea For-Bada
Lehenengo urratsa script-aren kontrol-fluxua leheneratzea da. Kontrol-fluxua berdintzea aplikazioen kode bitarra analisitik babesteko modurik ohikoenetako bat da. Eraldaketa nahasiak nabarmen handitzen ditu algoritmoak eta datu-egiturak ateratzeko eta ezagutzeko konplexutasuna.
- Errenkadak berreskuratzea
Bi funtzio erabiltzen dira kateak enkriptatzeko:
- gdorizabegkvfca - Base64 moduko deskodeketa egiten du
- xgacyukcyzxz - lehenengo katearen byte-byte XOR sinplea bigarrenaren luzerarekin
- gdorizabegkvfca - Base64 moduko deskodeketa egiten du
- Lausoa kentzea BinaryToString ΠΈ Exekuzio
Karga nagusia karpetan zatituta gordetzen da Fonts fitxategiaren baliabide-atalak.
Itsatsi-ordena honakoa da: TIEQHCXWFG, EMI, SPDGUHIMPV, KQJMWQQAQTKTFXTUOSW, AOCHKRWWSKWO, JSHMSJPS, NHHWXJBMTTSPXVN, BFUTIFWWXVE, HWJHO, AVZOUMVFRDWFLWU.
WinAPI funtzioa ateratako datuak deszifratzeko erabiltzen da CryptDecrypt, eta balioaren arabera sortutako saio-gakoa erabiltzen da gako gisa fZgFiZlJDxvuWatFRgRXZqmNCIyQgMYc.
Deszifratutako fitxategi exekutagarria funtzioaren sarrerara bidaltzen da RunPE, burutzen duena ProzesuaInjektatu Π² RegAsm.exe integratua erabiliz ShellCode (izenez ere ezaguna Exekutatu PE ShellCode). Egilea gaztelaniazko foroaren erabiltzaileari dagokio detektagarriak[.]net Wardow ezizenez.
Aipatzekoa da, halaber, foro honetako harietako batean, foro ofuskatzailea AutoIt laginaren azterketan zehar identifikatutako antzeko propietateekin.
bere burua ShellCode nahiko sinplea eta arreta erakartzen du AnunakCarbanak hacker taldetik bakarrik mailegatuta. API deien hashing funtzioa.
Erabilera kasuak ere ezagutzen ditugu Frenchy Shellcode bertsio desberdinak.
Deskribatutako funtzionalitateaz gain, funtzio inaktiboak ere identifikatu ditugu:
- Eskuzko prozesuaren amaiera blokeatzea ataza-kudeatzailean
- Prozesu ume bat amaitzen denean berrabiaraztea
- Saihestu UAC
- Karga erabilgarria fitxategi batean gordetzea
- Leiho modalen erakustaldia
- Saguaren kurtsorearen posizioa aldatzeko zain
- AntiVM eta AntiSandbox
- Autosuntsiketa
- Saretik karga erabilgarria ponpatzea
Badakigu funtzionaltasun hori babeslearentzat ohikoa dela CypherIT, hau da, itxuraz, kasuan kasuko abio-kargatzailea.
Softwarearen modulu nagusia
Jarraian, malwarearen modulu nagusia labur deskribatuko dugu eta bigarren artikuluan zehatzago aztertuko dugu. Kasu honetan, aplikazio bat da . NET.
Azterketan zehar, ofuskatzaile bat erabiltzen zela ikusi genuen NahasleaEX.
IELibrary.dll
Liburutegia modulu-baliabide nagusi gisa gordetzen da eta plugin ezaguna da AgentTesla, Internet Explorer eta Edge arakatzaileetatik hainbat informazio ateratzeko funtzionaltasuna eskaintzen duena.
Agent Tesla espioitza software modular bat da, malware-zerbitzu gisa zerbitzu eredu bat erabiliz, tekla-erregistratzeko produktu legitimo baten itxurapean. Tesla agentea gai da arakatzaileetatik, posta elektronikoko bezeroetatik eta FTP bezeroetatik zerbitzaritik erabiltzailearen kredentzialak ateratzeko eta transmititzeko erasotzaileei, arbeleko datuak grabatzeko eta gailuaren pantaila harrapatzeko. Analisiaren unean, garatzaileen webgune ofiziala ez zegoen erabilgarri.
Sarrera-puntua funtzioa da LortuGordePasahitza InternetExplorer klasea.
Oro har, kodearen exekuzioa lineala da eta ez du analisiaren aurkako babesik. Gauzatu gabeko funtzioak bakarrik merezi du arreta GetSavedCookies. Dirudienez, pluginaren funtzionaltasuna zabaldu behar zen, baina hori ez zen inoiz egin.
Abio-kargatzailea sistemari eranstea
Azter dezagun nola lotzen den abio-kargatzailea sistemari. Aztergai den aleak ez du ainguraketa egiten, baina antzeko gertaeretan eskema honen arabera gertatzen da:
- Karpetan C: ErabiltzaileakPublikoa gidoia sortzen da Visual Basic
Gidoiaren adibidea:
- Kargatzaile-fitxategiaren edukiak karaktere nulu batekin betetzen dira eta karpetan gordetzen dira %Temp%<Karpeta-izena pertsonalizatua><Fitxategiaren izena>
- Erregistroan automatikoki exekutatzeko gako bat sortzen da script fitxategirako HKCUSoftwareMicrosoftWindowsCurrentVersionRun<Script izena>
Beraz, analisiaren lehen zatiko emaitzetan oinarrituta, aztergai dugun malwarearen osagai guztien familien izenak finkatu, infekzio-eredua aztertu eta sinadurak idazteko objektuak ere lortu ahal izan ditugu. Objektu honen azterketa hurrengo artikuluan jarraituko dugu, non modulu nagusia zehatzago aztertuko dugun AgentTesla. Ez galdu!
Bide batez, abenduaren 5ean irakurle guztiak βMalwarearen analisia: kasu errealen analisiaβ gaiari buruzko doako webinar interaktibo batera gonbidatzen ditugu, non artikulu honen egileak, CERT-GIB espezialistak, sarean erakutsiko duen lehen fasea. malwarearen analisia - laginak erdi-automatikoa desegitea praktikako hiru mini-kasu errealen adibidea erabiliz, eta azterketan parte hartu dezakezu. Webinarra egokia da fitxategi maltzurren analisian esperientzia duten espezialistentzat. Erregistroa posta elektroniko korporatibotik egiten da: . Zure zain!
Yara
rule AgentTesla_clean{
meta:
author = "Group-IB"
file = "78566E3FC49C291CB117C3D955FA34B9A9F3EEFEFAE3DE3D0212432EB18D2EAD"
scoring = 5
family = "AgentTesla"
strings:
$string_format_AT = {74 00 79 00 70 00 65 00 3D 00 7B 00 30 00 7D 00 0D 00 0A 00 68 00 77 00 69 00 64 00 3D 00 7B 00 31 00 7D 00 0D 00 0A 00 74 00 69 00 6D 00 65 00 3D 00 7B 00 32 00 7D 00 0D 00 0A 00 70 00 63 00 6E 00 61 00 6D 00 65 00 3D 00 7B 00 33 00 7D 00 0D 00 0A 00 6C 00 6F 00 67 00 64 00 61 00 74 00 61 00 3D 00 7B 00 34 00 7D 00 0D 00 0A 00 73 00 63 00 72 00 65 00 65 00 6E 00 3D 00 7B 00 35 00 7D 00 0D 00 0A 00 69 00 70 00 61 00 64 00 64 00 3D 00 7B 00 36 00 7D 00 0D 00 0A 00 77 00 65 00 62 00 63 00 61 00 6D 00 5F 00 6C 00 69 00 6E 00 6B 00 3D 00 7B 00 37 00 7D 00 0D 00 0A 00 73 00 63 00 72 00 65 00 65 00 6E 00 5F 00 6C 00 69 00 6E 00 6B 00 3D 00 7B 00 38 00 7D 00 0D 00 0A 00 5B 00 70 00 61 00 73 00 73 00 77 00 6F 00 72 00 64 00 73 00 5D 00}
$web_panel_format_string = {63 00 6C 00 69 00 65 00 6E 00 74 00 5B 00 5D 00 3D 00 7B 00 30 00 7D 00 0D 00 0A 00 6C 00 69 00 6E 00 6B 00 5B 00 5D 00 3D 00 7B 00 31 00 7D 00 0D 00 0A 00 75 00 73 00 65 00 72 00 6E 00 61 00 6D 00 65 00 5B 00 5D 00 3D 00 7B 00 32 00 7D 00 0D 00 0A 00 70 00 61 00 73 00 73 00 77 00 6F 00 72 00 64 00 5B 00 5D 00 3D 00 7B 00 33 00 7D 00 00 15 55 00 52 00 4C 00 3A 00 20 00 20 00 20 00 20 00 20 00 20 00 00 15 55 00 73 00 65 00 72 00 6E 00 61 00 6D 00 65 00 3A 00 20 00 00 15 50 00 61 00 73 00 73 00 77 00 6F 00 72 00 64 00 3A 00}
condition:
all of them
}
rule AgentTesla_obfuscated {
meta:
author = "Group-IB"
file = "41DC0D5459F25E2FDCF8797948A7B315D3CB075398D808D1772CACCC726AF6E9"
scoring = 5
family = "AgentTesla"
strings:
$first_names = {61 66 6B 00 61 66 6D 00 61 66 6F 00 61 66 76 00 61 66 79 00 61 66 78 00 61 66 77 00 61 67 6A 00 61 67 6B 00 61 67 6C 00 61 67 70 00 61 67 72 00 61 67 73 00 61 67 75 00}
$second_names = "IELibrary.resources"
condition:
all of them
}
rule AgentTesla_module_for_IE{
meta:
author = "Group-IB"
file = "D55800A825792F55999ABDAD199DFA54F3184417215A298910F2C12CD9CC31EE"
scoring = 5
family = "AgentTesla_module_for_IE"
strings:
$s0 = "ByteArrayToStructure"
$s1 = "CryptAcquireContext"
$s2 = "CryptCreateHash"
$s3 = "CryptDestroyHash"
$s4 = "CryptGetHashParam"
$s5 = "CryptHashData"
$s6 = "CryptReleaseContext"
$s7 = "DecryptIePassword"
$s8 = "DoesURLMatchWithHash"
$s9 = "GetSavedCookies"
$s10 = "GetSavedPasswords"
$s11 = "GetURLHashString"
condition:
all of them
}
rule RunPE_shellcode {
meta:
author = "Group-IB"
file = "37A1961361073BEA6C6EACE6A8601F646C5B6ECD9D625E049AD02075BA996918"
scoring = 5
family = "RunPE_shellcode"
strings:
$malcode = {
C7 [2-5] EE 38 83 0C // mov dword ptr [ebp-0A0h], 0C8338EEh
C7 [2-5] 57 64 E1 01 // mov dword ptr [ebp-9Ch], 1E16457h
C7 [2-5] 18 E4 CA 08 // mov dword ptr [ebp-98h], 8CAE418h
C7 [2-5] E3 CA D8 03 // mov dword ptr [ebp-94h], 3D8CAE3h
C7 [2-5] 99 B0 48 06 // mov dword ptr [ebp-90h], 648B099h
C7 [2-5] 93 BA 94 03 // mov dword ptr [ebp-8Ch], 394BA93h
C7 [2-5] E4 C7 B9 04 // mov dword ptr [ebp-88h], 4B9C7E4h
C7 [2-5] E4 87 B8 04 // mov dword ptr [ebp-84h], 4B887E4h
C7 [2-5] A9 2D D7 01 // mov dword ptr [ebp-80h], 1D72DA9h
C7 [2-5] 05 D1 3D 0B // mov dword ptr [ebp-7Ch], 0B3DD105h
C7 [2-5] 44 27 23 0F // mov dword ptr [ebp-78h], 0F232744h
C7 [2-5] E8 6F 18 0D // mov dword ptr [ebp-74h], 0D186FE8h
}
condition:
$malcode
}
rule AgentTesla_AutoIT_module{
meta:
author = "Group-IB"
file = "49F94293F2EBD8CEFF180EDDD58FA50B30DC0F08C05B5E3BD36FD52668D196AF"
scoring = 5
family = "AgentTesla"
strings:
$packedexeau = {55 ED F5 9F 92 03 04 44 7E 16 6D 1F 8C D7 38 E6 29 E4 C8 CF DA 2C C4 E1 F3 65 48 25 B8 93 9D 66 A4 AD 3C 39 50 00 B9 60 66 19 8D FC 20 0A A0 56 52 8B 9F 15 D7 62 30 0D 5C C3 24 FE F8 FC 39 08 DF 87 2A B2 1C E9 F7 06 A8 53 B2 69 C3 3C D4 5E D4 74 91 6E 9D 9A A0 96 FD DB 1F 5E 09 D7 0F 25 FB 46 4E 74 15 BB AB DB 17 EE E7 64 33 D6 79 02 E4 85 79 14 6B 59 F9 43 3C 81 68 A8 B5 32 BC E6}
condition:
all of them
}
Hash
| izena | qoute_jpeg56a.r15 |
| MD5 | 53BE8F9B978062D4411F71010F49209E |
| SHA1 | A8C2765B3D655BA23886D663D22BDD8EF6E8E894 |
| SHA256 | 2641DAFB452562A0A92631C2849B8B9CE880F0F8F
890E643316E9276156EDC8A |
| Mota | WinRAR artxiboa |
| Tamaina | 823014 |
| izena | QOUTE_JPEG56A.exe |
| MD5 | 329F6769CF21B660D5C3F5048CE30F17 |
| SHA1 | 8010CC2AF398F9F951555F7D481CE13DF60BBECF |
| SHA256 | 49F94293F2EBD8CEFF180EDDD58FA50B30DC0F08
C05B5E3BD36FD52668D196AF |
| Mota | PE (AutoIt Script konpilatua) |
| Tamaina | 1327616 |
| Jatorrizko izena | Ezezaguna |
| Data zigilua | 15.07.2019 |
| Loturak | Microsoft Linker (12.0)[EXE32] |
| MD5 | C2743AEDDADACC012EF4A632598C00C0 |
| SHA1 | 79B445DE923C92BF378B19D12A309C0E9C5851BF |
| SHA256 | 37A1961361073BEA6C6EACE6A8601F646C5B6ECD
9D625E049AD02075BA996918 |
| Mota | ShellCode |
| Tamaina | 1474 |
Iturria: www.habr.com