Jatkamme haittaohjelmien analysointiin omistettua artikkelisarjaa. SISÄÄN Kerroimme osittain, kuinka CERT Group-IB:n haittaohjelmaanalyysiasiantuntija Ilja Pomerantsev suoritti yksityiskohtaisen analyysin yhdeltä eurooppalaiselta yritykseltä postitse saapuneesta tiedostosta ja löysi sieltä vakoiluohjelmia. AgentTesla. Tässä artikkelissa Ilja tarjoaa päämoduulin vaiheittaisen analyysin tulokset AgentTesla.
Agent Tesla on modulaarinen vakoiluohjelmisto, jota jaetaan käyttämällä haittaohjelma-as-a-service -mallia laillisen keylogger-tuotteen varjolla. Agent Tesla pystyy poimimaan ja lähettämään käyttäjätunnuksia selaimista, sähköpostiohjelmista ja FTP-asiakkaista palvelimelle hyökkääjille, tallentamaan leikepöydän tietoja ja kaappaamaan laitteen näytön. Analyysin aikaan kehittäjien virallinen verkkosivusto ei ollut käytettävissä.
Asetustiedosto
Alla olevassa taulukossa on lueteltu, mitkä toiminnot koskevat käyttämääsi näytettä:
| Kuvaus | Arvo |
| KeyLoggerin käyttölippu | totta |
| ScreenLoggerin käyttölippu | väärä |
| KeyLogger-lokin lähetysväli minuuteissa | 20 |
| ScreenLoggerin lokin lähetysväli minuuteissa | 20 |
| Askelpalautin-näppäimen käsittelylippu. False – vain kirjaaminen. True – poistaa edellisen avaimen | väärä |
| CNC tyyppi. Vaihtoehdot: smtp, verkkopaneeli, ftp | smtp |
| Säikeen aktivointilippu prosessien lopettamiseksi luettelosta "%filter_list%" | väärä |
| UAC käytöstä -merkki | väärä |
| Tehtävienhallinnan käytöstäpoistomerkki | väärä |
| CMD:n käytöstäpoistomerkki | väärä |
| Suorita ikkunan poistomerkki | väärä |
| Rekisterin katseluohjelman poistaminen käytöstä | väärä |
| Poista käytöstä järjestelmän palautuspisteiden lippu | totta |
| Ohjauspaneelin poistomerkki | väärä |
| MSCONFIG käytöstä -merkki | väärä |
| Merkitse poistaaksesi kontekstivalikon käytöstä Explorerissa | väärä |
| Pin lippu | väärä |
| Polku päämoduulin kopioimiseen, kun se kiinnitetään järjestelmään | %startupfolder% %insfolder%%insname% |
| Lippu järjestelmälle määritetyn päämoduulin "Järjestelmä"- ja "Piilotettu"-attribuuttien asettamiseen | väärä |
| Merkitse suorittaaksesi uudelleenkäynnistyksen, kun se on kiinnitetty järjestelmään | väärä |
| Lippu päämoduulin siirtämiseksi väliaikaiseen kansioon | väärä |
| UAC ohituslippu | väärä |
| Päivämäärän ja kellonajan muoto kirjausta varten | vvvv-KK-pp HH:mm:ss |
| Merkitse KeyLoggerin ohjelmasuodattimen käyttämisestä | totta |
| Ohjelman suodatustyyppi. 1 – ohjelman nimeä haetaan ikkunoiden otsikoista 2 – ohjelman nimeä etsitään ikkunaprosessin nimestä |
1 |
| Ohjelman suodatin | "Facebook" "viserrys" "gmail" "instagram" "elokuva" "skype" "porno" "hakata" "whatsapp" "epäsopu" |
Päämoduulin kiinnittäminen järjestelmään
Jos vastaava lippu on asetettu, päämoduuli kopioidaan polulle, joka on määritetty konfiguraatiossa järjestelmän polkuksi.
Konfiguraation arvosta riippuen tiedostolle annetaan attribuutit "Hidden" ja "System".
Autorun tarjoaa kaksi rekisterihaaraa:
- HKCU-ohjelmistoMicrosoftWindowsCurrentVersionRun%insregname%
- HKCUSOFTWAREMicrosoftWindowsCurrentVersionExplorerStartupApprovedRun %insregname%
Koska käynnistyslatain ruiskuttaa prosessiin RegAsm, pysyvän lipun asettaminen päämoduulille johtaa varsin mielenkiintoisiin seurauksiin. Sen sijaan, että haittaohjelma olisi kopioinut itsensä, se liitti alkuperäisen tiedoston järjestelmään RegAsm.exe, jonka aikana injektio suoritettiin.
Vuorovaikutus C&C:n kanssa
Käytetystä menetelmästä riippumatta verkkoviestintä alkaa uhrin ulkoisen IP-osoitteen hankkimisesta resurssin avulla [.]amazonaws[.]com/.
Seuraavassa kuvataan ohjelmistossa esitetyt verkkovuorovaikutusmenetelmät.
verkkopaneeli
Vuorovaikutus tapahtuu HTTP-protokollan kautta. Haittaohjelma suorittaa POST-pyynnön seuraavilla otsikoilla:
- User-Agent: Mozilla/5.0 (Windows U Windows NT 6.1 ru rv:1.9.2.3) Gecko/20100401 Firefox/4.0 (.NET CLR 3.5.30729)
- Yhteys: Keep-Alive
- Sisältötyyppi: application/x-www-form-urlencoded
Palvelimen osoite määritetään arvolla %PostURL%. Salattu viesti lähetetään parametrissa «P». Salausmekanismi on kuvattu kohdassa "Salausalgoritmit" (menetelmä 2).
Lähetetty viesti näyttää tältä:
type={0}nhwid={1}ntime={2}npcname={3}nlogdata={4}nscreen={5}nipadd={6}nwebcam_link={7}nclient={8}nlink={9}nusername={10}npassword={11}nscreen_link={12}
Parametri tyyppi ilmaisee viestin tyypin:
hwid — MD5-hajautus tallennetaan emolevyn sarjanumeron ja prosessoritunnuksen arvoista. Todennäköisesti käytetään käyttäjätunnuksena.
aika — lähettää nykyisen kellonajan ja päivämäärän.
PC-nimi - määritelty /.
lokitiedot — lokitiedot.
Kun lähetät salasanoja, viesti näyttää tältä:
type={0}nhwid={1}ntime={2}npcname={3}nlogdata={4}nscreen={5}nipadd={6}nwebcam_link={7}nscreen_link={8}n[passwords]
Seuraavat ovat kuvaukset varastetuista tiedoista muodossa nclient[]={0}nlink[]={1}käyttäjänimi[]={2}npassword[]={3}.
smtp
Vuorovaikutus tapahtuu SMTP-protokollan kautta. Lähetetty kirje on HTML-muodossa. Parametri RUNKO on muoto:
Kirjeen otsikossa on yleinen muoto: / . Kirjeen sisältöä ja sen liitteitä ei ole salattu.
Vuorovaikutus tapahtuu FTP-protokollan kautta. Nimetty tiedosto siirretään määritettyyn palvelimeen _-_.html. Tiedoston sisältöä ei ole salattu.
Salausalgoritmit
Tämä tapaus käyttää seuraavia salausmenetelmiä:
1-menetelmä
Tätä menetelmää käytetään päämoduulin merkkijonojen salaamiseen. Salaukseen käytetty algoritmi on AES.
Syöte on kuusinumeroinen desimaaliluku. Sille suoritetaan seuraava muunnos:
f(x) = (((x >> 2 - 31059) ^ 6380) - 1363) >> 3
Tuloksena oleva arvo on upotetun tietotaulukon indeksi.
Jokainen taulukon elementti on sekvenssi DWORD. Kun yhdistetään DWORD saadaan tavujoukko: ensimmäiset 32 tavua ovat salausavain, sen jälkeen 16 tavua alustusvektoria, ja loput tavut ovat salattua dataa.
2-menetelmä
Käytetty algoritmi 3DES tilassa EKP: n täyttö kokonaisina tavuina (PKCS7).
Avain määritetään parametrilla %urlkey%salaus käyttää kuitenkin sen MD5-tiivistettä.
Haitallinen toiminto
Tutkittava näyte käyttää seuraavia ohjelmia haitallisen toimintonsa toteuttamiseen:
avaimen kirjaaja
Jos WinAPI-toiminnolla on vastaava haittaohjelmalippu Aseta WindowsHookEx määrittää oman käsittelijän näppäimistön näppäinpainalluksiin. Käsittelijätoiminto alkaa hankkimalla aktiivisen ikkunan otsikko.
Jos sovellusten suodatuslippu on asetettu, suodatus suoritetaan määritetyn tyypin mukaan:
- ohjelman nimeä etsitään ikkunoiden otsikoista
- ohjelman nimi etsitään ikkunan prosessin nimestä
Seuraavaksi lokiin lisätään tietue, joka sisältää tiedot aktiivisesta ikkunasta muodossa:
Sitten tiedot painetusta näppäimestä tallennetaan:
| avain | Ennätys |
| Backspace | Riippuen askelpalauttimen käsittelylipusta: False – {BACK} True – poistaa edellisen avaimen |
| CAPSLOCK | {CAPSLOCK} |
| ESC | {POISTU} |
| PageUp | {Sivu ylös} |
| Alas | ↓ |
| POISTA | {DEL} |
| " | " |
| F5 | {F5} |
| & | & |
| F10 | {F10} |
| TAB | {TAB} |
| < | < |
| > | > |
| aukko | |
| F8 | {F8} |
| F12 | {F12} |
| F9 | {F9} |
| ALT + TAB | {ALT+TAB} |
| END | {END} |
| F4 | {F4} |
| F2 | {F2} |
| CTRL | {CTRL} |
| F6 | {F6} |
| Oikea | → |
| Up | ↑ |
| F1 | {F1} |
| Vasen | ← |
| PageDown | {Sivu alas} |
| liite | {Insert} |
| voittaa | {Voittaa} |
| NumLock | {Numerolukko} |
| F11 | {F11} |
| F3 | {F3} |
| KOTI | {KOTI} |
| ENTER | {TULLA SISÄÄN} |
| ALT + F4 | {ALT+F4} |
| F7 | {F7} |
| Toinen avain | Merkki on isoilla tai pienillä kirjaimilla riippuen CapsLock- ja Shift-näppäinten sijainnista |
Kerätty loki lähetetään tietyllä tiheydellä palvelimelle. Jos siirto ei onnistu, loki tallennetaan tiedostoon %TEMP%log.tmp muodossa:
Kun ajastin laukeaa, tiedosto siirretään palvelimelle.
ScreenLogger
Haittaohjelma luo tietyllä taajuudella kuvakaappauksen muodossa Jpeg arvoilla Laatu yhtä suuri kuin 50 ja tallentaa sen tiedostoon %APPDATA %.jpg. Siirron jälkeen tiedosto poistetaan.
ClipboardLogger
Jos sopiva lippu on asetettu, kaapattua tekstiä korvataan alla olevan taulukon mukaisesti.
Tämän jälkeen teksti lisätään lokiin:
PasswordStealer
Haittaohjelma voi ladata salasanoja seuraavista sovelluksista:
| Браузеры | Sähköpostiohjelmat | FTP-asiakkaat |
| kromi | näkymät | FileZilla |
| Firefox | Thunderbird | WS_FTP |
| IE/Edge | Foxmail | WinSCP |
| safari | Opera Mail | CoreFTP |
| Opera Browser | IncrediMail | FTP-navigaattori |
| Yandex | Pocomail | FlashFXP |
| Comodo | Eudora | SmartFTP |
| ChromePlus | Lepakko | FTPCommander |
| Kromi | Postilaatikko | |
| Taskulamppu | ClawsMail | |
| 7Star | ||
| Amigo | ||
| BraveSoftware | Jabber-asiakkaita | VPN-asiakkaat |
| CentBrowser | Psi/Psi+ | Avaa VPN |
| Chedot | ||
| CocCoc | ||
| Elements-selain | Download Managers | |
| Epic Privacy -selain | Internet Download Manager | |
| Komeetta | JDownloader | |
| kiertoradalla | ||
| Sputnik | ||
| uCozMedia | ||
| Vivaldi | ||
| SeaMonkey | ||
| Flock Browser | ||
| UC Browser | ||
| Musta Haukka | ||
| Cyber Fox | ||
| K-Meleon | ||
| ICEcat | ||
| Icedragon | ||
| VaaleaKuu | ||
| vesikettu | ||
| Falkon selain |
Dynaamisen analyysin vastatoimi
- Toiminnon käyttäminen uni. Voit ohittaa jotkin hiekkalaatikot aikakatkaisulla
- Langan tuhoaminen Vyöhykkeen tunniste. Voit piilottaa tiedoston lataamisen Internetistä
- Parametrissa %filter_list% määrittää luettelon prosesseista, jotka haittaohjelma lopettaa yhden sekunnin välein
- katkaisu UAC
- Tehtävienhallinnan poistaminen käytöstä
- katkaisu CMD
- Ikkunan poistaminen käytöstä "Juosta"
- Ohjauspaneelin poistaminen käytöstä
- Työkalun poistaminen käytöstä RegEdit
- Järjestelmän palautuspisteiden poistaminen käytöstä
- Poista kontekstivalikko käytöstä Explorerissa
- katkaisu MSCONFIG
- Ohittaa UAC:
Päämoduulin passiiviset ominaisuudet
Päämoduulin analyysin aikana tunnistettiin toiminnot, jotka olivat vastuussa verkon leviämisestä ja hiiren sijainnin seurannasta.
Mato
Irrotettavan tietovälineen liittämiseen liittyviä tapahtumia seurataan erillisessä säikeessä. Kun yhteys on muodostettu, haittaohjelma kopioidaan tiedostojärjestelmän juureen scr.exe, jonka jälkeen se etsii tiedostoja, joiden tunniste on LNK. Kaikkien joukkue LNK muuttuu cmd.exe /c käynnistä scr.exe&käynnistä & poistu.
Jokaiselle median juuren hakemistolle on annettu attribuutti "Piilotettu" ja tiedosto luodaan tunnisteella LNK piilotetun hakemiston nimellä ja komennolla cmd.exe /c käynnistä scr.exe&explorer /root,"%CD%" ja poistu.
MouseTracker
Sieppausmenetelmä on samanlainen kuin näppäimistössä käytetty menetelmä. Tämä toiminto on edelleen kehitteillä.
Tiedoston toiminta
| Polku | Kuvaus |
| %Temp%temp.tmp | Sisältää UAC-ohitusyritysten laskurin |
| %startupfolder%%insfolder%%insname% | HPE-järjestelmälle osoitettava polku |
| %Temp%tmpG{Nykyinen aika millisekunteina}.tmp | Polku päämoduulin varmuuskopiointiin |
| %Temp%log.tmp | Loki tiedosto |
| %AppData%{10 merkin mielivaltainen sarja}.jpeg | kuvakaappauksia |
| C:UsersPublic{10 merkin mielivaltainen sarja}.vbs | Polku vbs-tiedostoon, jonka käynnistyslatain voi liittää järjestelmään |
| %Temp%{Muokatun kansion nimi}{Tiedoston nimi} | Käynnistyslataimen käyttämä polku liittyäkseen järjestelmään |
Hyökkääjän profiili
Kovakoodattujen todennustietojen ansiosta pääsimme komentokeskukseen.
Tämän ansiosta pystyimme tunnistamaan hyökkääjien lopullisen sähköpostin:
junaid[.]in***@gmail[.]com.
Komentokeskuksen verkkotunnus on rekisteröity postiin sg***@gmail[.]com.
Johtopäätös
Hyökkäyksessä käytetyn haittaohjelman yksityiskohtaisen analyysin aikana pystyimme varmistamaan sen toimivuuden ja saamaan täydellisen luettelon tähän tapaukseen liittyvistä kompromissiindikaattoreista. Haittaohjelmien verkkovuorovaikutuksen mekanismien ymmärtäminen mahdollisti suositusten antamisen tietoturvatyökalujen toiminnan säätämiseksi sekä vakaiden IDS-sääntöjen kirjoittamisen.
Suurin vaara AgentTesla kuten DataStealer, koska sen ei tarvitse sitoutua järjestelmään tai odottaa ohjauskomentoa suorittaakseen tehtävänsä. Koneeseen päästyään se alkaa välittömästi kerätä yksityisiä tietoja ja siirtää ne CnC:lle. Tämä aggressiivinen käyttäytyminen on jollain tapaa samanlaista kuin lunnasohjelmien käyttäytyminen, sillä ainoa ero on, että jälkimmäiset eivät edes vaadi verkkoyhteyttä. Jos kohtaat tämän perheen, puhdistettuasi tartunnan saaneen järjestelmän itse haittaohjelmista kannattaa ehdottomasti vaihtaa kaikki salasanat, jotka ainakin teoriassa voitaisiin tallentaa johonkin yllä luetelluista sovelluksista.
Tulevaisuudessa sanotaan, että hyökkääjät lähettävät AgentTesla, alkuperäinen käynnistyslatain vaihdetaan hyvin usein. Näin voit pysyä staattisten skannerien ja heurististen analysaattoreiden huomaamattomana hyökkäyksen aikana. Ja tämän perheen taipumus aloittaa toimintansa välittömästi tekee järjestelmämonitoreista hyödyttömiä. Paras tapa taistella AgentTeslaa vastaan on alustava analyysi hiekkalaatikossa.
Tämän sarjan kolmannessa artikkelissa tarkastelemme muita käytettyjä käynnistyslataimia AgentTeslaja tutkia myös niiden puoliautomaattista purkamista. Älä missaa!
Hasis
| SHA1 |
| A8C2765B3D655BA23886D663D22BDD8EF6E8E894 |
| 8010CC2AF398F9F951555F7D481CE13DF60BBECF |
| 79B445DE923C92BF378B19D12A309C0E9C5851BF |
| 15839B7AB0417FA35F2858722F0BD47BDF840D62 |
| 1C981EF3EEA8548A30E8D7BF8D0D61F9224288DD |
C & C
| URL |
| sina-c0m[.]icu |
| smtp[.]sina-c0m[.]icu |
RegKey
| rekisterin |
| HKCUSoftwareMicrosoftWindowsCurrentVersionRun{Komentosarjan nimi} |
| HKCUSoftwareMicrosoftWindowsCurrentVersionRun%insregname% |
| HKCUSOFTWAREMicrosoftWindowsCurrentVersionExplorerStartupApprovedRun%insregname% |
muteksi
Ei ole indikaattoreita.
Asiakirjat
| Tiedoston toiminta |
| %Temp%temp.tmp |
| %startupfolder%%insfolder%%insname% |
| %Temp%tmpG{Nykyinen aika millisekunteina}.tmp |
| %Temp%log.tmp |
| %AppData%{10 merkin mielivaltainen sarja}.jpeg |
| C:UsersPublic{10 merkin mielivaltainen sarja}.vbs |
| %Temp%{Muokatun kansion nimi}{Tiedoston nimi} |
Näytteiden tiedot
| Nimi | tuntematon |
| MD5 | F7722DD8660B261EA13B710062B59C43 |
| SHA1 | 15839B7AB0417FA35F2858722F0BD47BDF840D62 |
| SHA256 | 41DC0D5459F25E2FDCF8797948A7B315D3CB0753 98D808D1772CACCC726AF6E9 |
| Tyyppi | PE (.NET) |
| Koko | 327680 |
| AlkuperäinenNimi | AZZRIDKGGSLTYFUUBCCRRCUMRKTOXFVPDKGAGPUZI_20190701133545943.exe |
| Päiväys leima | 01.07.2019 |
| kääntäjä | VB.NET |
| Nimi | IELibrary.dll |
| MD5 | BFB160A89F4A607A60464631ED3ED9FD |
| SHA1 | 1C981EF3EEA8548A30E8D7BF8D0D61F9224288DD |
| SHA256 | D55800A825792F55999ABDAD199DFA54F3184417 215A298910F2C12CD9CC31EE |
| Tyyppi | PE (.NET DLL) |
| Koko | 16896 |
| AlkuperäinenNimi | IELibrary.dll |
| Päiväys leima | 11.10.2016 |
| kääntäjä | Microsoft Linker (48.0*) |
Lähde: will.com