Äänestysprosentti epäonnistui: altistetaan AgentTesla puhtaalle vedelle. Osa 1
Äskettäin eurooppalainen sähköasennuslaitteiden valmistaja otti yhteyttä Group IB:hen – sen työntekijä sai postissa epäilyttävän kirjeen, jossa oli haitallinen liite. Ilja Pomerantsev, CERT Group-IB:n haittaohjelmien analysointiasiantuntija, suoritti tämän tiedoston yksityiskohtaisen analyysin, löysi sieltä AgentTesla-vakoiluohjelman ja kertoi, mitä tällaisilta haittaohjelmilta on odotettavissa ja kuinka vaarallisia se on.
Tällä postauksella avaamme artikkelisarjan tällaisten mahdollisesti vaarallisten tiedostojen analysoinnista ja odotamme uteliaimpia 5. joulukuuta ilmaiseen interaktiiviseen webinaariin aiheesta "Haittaohjelmaanalyysi: todellisten tapausten analyysi". Kaikki yksityiskohdat ovat leikkauksen alla.
Jakomekanismi
Tiedämme, että haittaohjelma saapui uhrin koneelle tietojenkalasteluviestien kautta. Kirjeen vastaanottaja oli todennäköisesti BCC-koodi.
Otsikkojen analyysi osoittaa, että kirjeen lähettäjää on huijattu. Itse asiassa kirje lähti vps56[.]oneworldhosting[.]com.
Sähköpostin liite sisältää WinRar-arkiston qoute_jpeg56a.r15 haitallisen suoritettavan tiedoston kanssa QOUTE_JPEG56A.exe sisällä.
Haittaohjelmaekosysteemi
Katsotaan nyt, miltä tutkittavan haittaohjelman ekosysteemi näyttää. Alla olevasta kaaviosta näkyy sen rakenne ja komponenttien vuorovaikutussuunnat.
Tarkastellaan nyt kutakin haittaohjelmakomponenttia yksityiskohtaisemmin.
Kuormaaja
Alkuperäinen tiedosto QOUTE_JPEG56A.exe on koottu AutoIt v3 käsikirjoitus.
Alkuperäisen käsikirjoituksen hämärtämiseksi käytetään samankaltaista obfuskaattoria PELock AutoIT-obfuscator ominaisuudet.
Deobfuskaatio suoritetaan kolmessa vaiheessa:
Hämärän poistaminen For-If
Ensimmäinen askel on palauttaa komentosarjan ohjausvirta. Control Flow Flattening on yksi yleisimmistä tavoista suojata sovellusbinaarikoodia analyysiltä. Hämmentävät muunnokset lisäävät dramaattisesti algoritmien ja tietorakenteiden poimimisen ja tunnistamisen monimutkaisuutta.
Rivien palautus
Merkkijonojen salaamiseen käytetään kahta toimintoa:
gdorizabegkvfca - Suorittaa Base64-kaltaisen dekoodauksen
xgacyukcyzxz - ensimmäisen merkkijonon yksinkertainen tavutavu XOR toisen merkkijonon pituudella
Hämärän poistaminen BinaryToString и Suorittaa
Pääkuorma tallennetaan hakemistoon jaetussa muodossa Fontit tiedoston resurssiosat.
WinAPI-toimintoa käytetään purettujen tietojen salauksen purkamiseen SalausPuraa, ja avaimena käytetään arvon perusteella luotua istuntoavainta fZgFiZlJDxvuWatFRgRXZqmNCIyQgMYc.
Purettu suoritettava tiedosto lähetetään funktion tuloon RunPE, joka suorittaa ProcessInject в RegAsm.exe käyttämällä sisäänrakennettua ShellCode (tunnetaan myös RunPE ShellCode). Tekijäoikeus kuuluu espanjalaisen foorumin käyttäjälle havaitsevat [.]net lempinimen Wardow alla.
On myös syytä huomata, että yhdessä tämän foorumin säikeistä, obfuscator for AutoIt joilla on samanlaiset ominaisuudet, jotka tunnistettiin näyteanalyysin aikana.
Itse ShellCode melko yksinkertainen ja herättää huomiota vain lainattu hakkeriryhmä AnunakCarbanak. API-puhelun hajautustoiminto.
Olemme tietoisia myös käyttötapauksista ranskalainen Shellcode eri versioita.
Kuvattujen toimintojen lisäksi tunnistimme myös ei-aktiivisia toimintoja:
Aliprosessin käynnistäminen uudelleen, kun se päättyy
Ohita UAC
Hyötykuorman tallentaminen tiedostoon
Modaaliikkunoiden esittely
Odotetaan, että hiiren kohdistimen sijainti muuttuu
AntiVM ja AntiSandbox
itsetuho
Hyötykuorman pumppaus verkosta
Tiedämme, että tällainen toiminto on tyypillinen suojalle CypherIT, joka ilmeisesti on kyseessä oleva käynnistyslatain.
Ohjelmiston päämoduuli
Seuraavaksi kuvaamme lyhyesti haittaohjelman päämoduulia ja tarkastelemme sitä yksityiskohtaisemmin toisessa artikkelissa. Tässä tapauksessa se on sovellus . NET.
Analyysin aikana havaitsimme, että käytettiin hämärälaitetta ConfuserEX.
IELibrary.dll
Kirjasto on tallennettu moduulin pääresurssiksi ja se on tunnettu laajennus AgentTesla, joka tarjoaa toiminnot erilaisten tietojen poimimiseen Internet Explorer- ja Edge-selaimista.
Agent Tesla on modulaarinen vakoiluohjelmisto, jota jaetaan käyttämällä haittaohjelma-as-a-service -mallia laillisen keylogger-tuotteen varjolla. Agent Tesla pystyy poimimaan ja lähettämään käyttäjätunnuksia selaimista, sähköpostiohjelmista ja FTP-asiakkaista palvelimelle hyökkääjille, tallentamaan leikepöydän tietoja ja kaappaamaan laitteen näytön. Analyysin aikaan kehittäjien virallinen verkkosivusto ei ollut käytettävissä.
Aloituskohta on toiminto HankiSavedPasswords luokan InternetExplorer.
Yleensä koodin suoritus on lineaarista eikä sisällä mitään suojaa analyysiä vastaan. Vain toteuttamaton toiminto ansaitsee huomion GetSavedCookies. Ilmeisesti laajennuksen toimintoja piti laajentaa, mutta sitä ei koskaan tehty.
Käynnistyslataimen liittäminen järjestelmään
Tutkitaan kuinka käynnistyslatain on liitetty järjestelmään. Tutkittava näyte ei ankkuroi, mutta vastaavissa tapahtumissa se tapahtuu seuraavan kaavion mukaisesti:
Lataustiedoston sisältö täytetään nolla-merkillä ja tallennetaan kansioon %Temp%<Muokatun kansion nimi><Tiedoston nimi>
Skriptitiedostoa varten luodaan rekisteriin automaattinen käynnistysavain HKCUSoftwareMicrosoftWindowsCurrentVersionRun<komentosarjan nimi>
Joten analyysin ensimmäisen osan tulosten perusteella pystyimme selvittämään kaikkien tutkittavien haittaohjelmien komponenttien perheiden nimet, analysoimaan tartuntakuvion ja hankkimaan myös objekteja allekirjoitusten kirjoittamista varten. Jatkamme tämän objektin analysointia seuraavassa artikkelissa, jossa tarkastellaan päämoduulia yksityiskohtaisemmin AgentTesla. Älä missaa!
Muuten, 5. joulukuuta kutsumme kaikki lukijat ilmaiseen interaktiiviseen webinaariin aiheesta "Haittaohjelmien analyysi: todellisten tapausten analyysi", jossa tämän artikkelin kirjoittaja, CERT-GIB-asiantuntija, näyttää verkossa ensimmäisen vaiheen haittaohjelmaanalyysi - puoliautomaattinen näytteiden purkaminen kolmen todellisen minitapauksen esimerkin avulla käytännössä, ja voit osallistua analyysiin. Webinaari sopii asiantuntijoille, joilla on jo kokemusta haitallisten tiedostojen analysoinnista. Ilmoittautuminen tapahtuu ehdottomasti yrityksen sähköpostista: зарегистрируйтесь. Odotan sinua!