Parte hartzea huts egin du: jar dezagun AgentTesla ur garbira. 1. zatia
Duela gutxi, instalazio elektrikoko ekipoen fabrikatzaile europarrarekin harremanetan jarri zen Group-IB - bere langileak gutun susmagarri bat jaso zuen postaz eranskin gaizto batekin. Ilya Pomerantsev, CERT Group-IB-ko malwarearen analisiko espezialistak, fitxategi honen azterketa zehatza egin zuen, AgentTesla spywarea aurkitu zuen bertan eta malware horretatik zer espero zen eta nola arriskutsua den esan zuen.
Argitalpen honekin arriskutsuak izan daitezkeen fitxategiak aztertzeko moduari buruzko artikulu sorta bat irekitzen ari gara, eta bitxienen zain gaude abenduaren 5ean gaiari buruzko doako webinar interaktibo baterako. "Malwarearen analisia: kasu errealen azterketa". Xehetasun guztiak ebaki azpian daude.
Banaketa mekanismoa
Badakigu malwarea biktimaren makinara phishing mezuen bidez iritsi zela. Gutunaren hartzailea BCCed izan zen ziurrenik.
Goiburuen azterketak erakusten du gutunaren bidaltzailea faltsutu egin zela. Izan ere, eskutitzak utzi zuen vps56[.]oneworldhosting[.]com.
Posta elektronikoaren eranskinak WinRar artxibo bat dauka qoute_jpeg56a.r15 fitxategi exekutagarri gaizto batekin QOUTE_JPEG56A.exe barruan.
Malware ekosistema
Ikus dezagun orain aztergai dugun malwarearen ekosistema nolakoa den. Beheko diagraman bere egitura eta osagaien elkarrekintza norabideak erakusten dira.
Orain ikus ditzagun malware osagai bakoitza xehetasun gehiagorekin.
Kargagailua
Jatorrizko fitxategia QOUTE_JPEG56A.exe konpilatu bat da AutoIt v3 gidoia.
Jatorrizko gidoia lausotzeko, antzekoa duen lausotzailea PELock AutoIT-Obfuscator ezaugarriak.
Desobfuskatzea hiru fasetan egiten da:
Lausoa kentzea For-Bada
Lehenengo urratsa script-aren kontrol-fluxua leheneratzea da. Kontrol-fluxua berdintzea aplikazioen kode bitarra analisitik babesteko modurik ohikoenetako bat da. Eraldaketa nahasiak nabarmen handitzen ditu algoritmoak eta datu-egiturak ateratzeko eta ezagutzeko konplexutasuna.
Errenkadak berreskuratzea
Bi funtzio erabiltzen dira kateak enkriptatzeko:
gdorizabegkvfca - Base64 moduko deskodeketa egiten du
xgacyukcyzxz - lehenengo katearen byte-byte XOR sinplea bigarrenaren luzerarekin
Lausoa kentzea BinaryToString ΠΈ Exekuzio
Karga nagusia karpetan zatituta gordetzen da Fonts fitxategiaren baliabide-atalak.
WinAPI funtzioa ateratako datuak deszifratzeko erabiltzen da CryptDecrypt, eta balioaren arabera sortutako saio-gakoa erabiltzen da gako gisa fZgFiZlJDxvuWatFRgRXZqmNCIyQgMYc.
Deszifratutako fitxategi exekutagarria funtzioaren sarrerara bidaltzen da RunPE, burutzen duena ProzesuaInjektatu Π² RegAsm.exe integratua erabiliz ShellCode (izenez ere ezaguna Exekutatu PE ShellCode). Egilea gaztelaniazko foroaren erabiltzaileari dagokio detektagarriak[.]net Wardow ezizenez.
Aipatzekoa da, halaber, foro honetako harietako batean, foro ofuskatzailea AutoIt laginaren azterketan zehar identifikatutako antzeko propietateekin.
bere burua ShellCode nahiko sinplea eta arreta erakartzen du AnunakCarbanak hacker taldetik bakarrik mailegatuta. API deien hashing funtzioa.
Erabilera kasuak ere ezagutzen ditugu Frenchy Shellcode bertsio desberdinak.
Deskribatutako funtzionalitateaz gain, funtzio inaktiboak ere identifikatu ditugu:
Eskuzko prozesuaren amaiera blokeatzea ataza-kudeatzailean
Prozesu ume bat amaitzen denean berrabiaraztea
Saihestu UAC
Karga erabilgarria fitxategi batean gordetzea
Leiho modalen erakustaldia
Saguaren kurtsorearen posizioa aldatzeko zain
AntiVM eta AntiSandbox
Autosuntsiketa
Saretik karga erabilgarria ponpatzea
Badakigu funtzionaltasun hori babeslearentzat ohikoa dela CypherIT, hau da, itxuraz, kasuan kasuko abio-kargatzailea.
Softwarearen modulu nagusia
Jarraian, malwarearen modulu nagusia labur deskribatuko dugu eta bigarren artikuluan zehatzago aztertuko dugu. Kasu honetan, aplikazio bat da . NET.
Azterketan zehar, ofuskatzaile bat erabiltzen zela ikusi genuen NahasleaEX.
IELibrary.dll
Liburutegia modulu-baliabide nagusi gisa gordetzen da eta plugin ezaguna da AgentTesla, Internet Explorer eta Edge arakatzaileetatik hainbat informazio ateratzeko funtzionaltasuna eskaintzen duena.
Agent Tesla espioitza software modular bat da, malware-zerbitzu gisa zerbitzu eredu bat erabiliz, tekla-erregistratzeko produktu legitimo baten itxurapean. Tesla agentea gai da arakatzaileetatik, posta elektronikoko bezeroetatik eta FTP bezeroetatik zerbitzaritik erabiltzailearen kredentzialak ateratzeko eta transmititzeko erasotzaileei, arbeleko datuak grabatzeko eta gailuaren pantaila harrapatzeko. Analisiaren unean, garatzaileen webgune ofiziala ez zegoen erabilgarri.
Sarrera-puntua funtzioa da LortuGordePasahitza InternetExplorer klasea.
Oro har, kodearen exekuzioa lineala da eta ez du analisiaren aurkako babesik. Gauzatu gabeko funtzioak bakarrik merezi du arreta GetSavedCookies. Dirudienez, pluginaren funtzionaltasuna zabaldu behar zen, baina hori ez zen inoiz egin.
Abio-kargatzailea sistemari eranstea
Azter dezagun nola lotzen den abio-kargatzailea sistemari. Aztergai den aleak ez du ainguraketa egiten, baina antzeko gertaeretan eskema honen arabera gertatzen da:
Karpetan C: ErabiltzaileakPublikoa gidoia sortzen da Visual Basic
Gidoiaren adibidea:
Kargatzaile-fitxategiaren edukiak karaktere nulu batekin betetzen dira eta karpetan gordetzen dira %Temp%<Karpeta-izena pertsonalizatua><Fitxategiaren izena>
Erregistroan automatikoki exekutatzeko gako bat sortzen da script fitxategirako HKCUSoftwareMicrosoftWindowsCurrentVersionRun<Script izena>
Beraz, analisiaren lehen zatiko emaitzetan oinarrituta, aztergai dugun malwarearen osagai guztien familien izenak finkatu, infekzio-eredua aztertu eta sinadurak idazteko objektuak ere lortu ahal izan ditugu. Objektu honen azterketa hurrengo artikuluan jarraituko dugu, non modulu nagusia zehatzago aztertuko dugun AgentTesla. Ez galdu!
Bide batez, abenduaren 5ean irakurle guztiak βMalwarearen analisia: kasu errealen analisiaβ gaiari buruzko doako webinar interaktibo batera gonbidatzen ditugu, non artikulu honen egileak, CERT-GIB espezialistak, sarean erakutsiko duen lehen fasea. malwarearen analisia - laginak erdi-automatikoa desegitea praktikako hiru mini-kasu errealen adibidea erabiliz, eta azterketan parte hartu dezakezu. Webinarra egokia da fitxategi maltzurren analisian esperientzia duten espezialistentzat. Erregistroa posta elektroniko korporatibotik egiten da: erregistratu. Zure zain!