ProHoster > Blog > ynternet nijs > Opkomst mislearre: lit ús AgentTesla bleatstelle oan skjin wetter. Diel 1
Opkomst mislearre: lit ús AgentTesla bleatstelle oan skjin wetter. Diel 1
Koartlyn, in Jeropeeske fabrikant fan elektryske ynstallaasje apparatuer kontakt Group-IB - syn meiwurker krige in fertochte brief mei in kwea-aardich taheaksel yn 'e post. Ilya Pomerantsev, in malware-analyze-spesjalist by CERT Group-IB, die in detaillearre analyze fan dit bestân, ûntduts dêr de AgentTesla-spyware en fertelde wat te ferwachtsjen fan sokke malware en hoe't it gefaarlik is.
Mei dizze post iepenje wy in searje artikels oer hoe't jo sokke potinsjeel gefaarlike bestannen kinne analysearje, en wy wachtsje op de meast nijsgjirrige op 5 desimber foar in fergese ynteraktyf webinar oer it ûnderwerp "Malware-analyze: Analyse fan echte gefallen". Alle details binne ûnder de besuniging.
Ferdieling meganisme
Wy witte dat de malware de masine fan it slachtoffer berikte fia phishing-e-mails. De ûntfanger fan it brief wie wierskynlik BCCed.
Analyse fan de kopteksten docht bliken dat de ôfstjoerder fan de brief spoofed is. Yn feite, de brief liet mei vps56[.]oneworldhosting[.]com.
De e-postbylage befettet in WinRar-argyf qoute_jpeg56a.r15 mei in kwea-aardich útfierber bestân QOUTE_JPEG56A.exe binnenkant.
Malware ekosysteem
Litte wy no sjen hoe't it ekosysteem fan 'e malware ûnder stúdzje der útsjocht. It diagram hjirûnder toant de struktuer en de rjochtingen fan ynteraksje fan 'e komponinten.
Litte wy no elk fan 'e malware-komponinten yn mear detail sjen.
Loader
Orizjinele triem QOUTE_JPEG56A.exe is in gearstald AutoIt v3 skrift.
Om it orizjinele skript te ferbergjen, in obfuscator mei ferlykbere PELock AutoIT-Obfuscator skaaimerken.
Deobfuscation wurdt útfierd yn trije stadia:
It fuortsmiten fan obfuscation Foar-As
De earste stap is om de kontrôlestream fan it skript te herstellen. Control Flow Flattening is ien fan 'e meast foarkommende manieren om binêre koade fan applikaasje te beskermjen tsjin analyse. Betiizjende transformaasjes fergrutsje dramatysk de kompleksiteit fan it ekstrahearjen en werkennen fan algoritmen en gegevensstruktueren.
Rige herstel
Twa funksjes wurde brûkt om strings te fersiferjen:
gdorizabegkvfca - Fiert Base64-like dekodearring út
xgacyukcyzxz - ienfâldige byte-byte XOR fan 'e earste tekenrige mei de lingte fan' e twadde
It fuortsmiten fan obfuscation BinaryToString и Utfiere
De wichtichste lading wurdt opslein yn in ferdield foarm yn 'e map lettertypen boarne seksjes fan it bestân.
De folchoarder fan lijm is as folget: TIEQHCXWFG, EMI, SPDGUHIMPV, KQJMWQQAQTKTFXTUOSW, AOCHKRWWSKWO, JSHMSJPS, NHHWXJBMTTSPXVN, BFUTIFWWXVE, HWJHO, AVZOUMVFRDWFLWU.
De WinAPI-funksje wurdt brûkt om de ekstrahearre gegevens te ûntsiferjen CryptDecrypt, en de sesjekaai oanmakke op basis fan de wearde wurdt brûkt as de kaai fZgFiZlJDxvuWatFRgRXZqmNCIyQgMYc.
It dekodearre útfierbere bestân wurdt stjoerd nei de funksje-ynfier RunPE, dy't útfiert ProcessInject в RegAsm.exe mei help fan ynboude ShellCode (ek bekind as RunPE ShellCode). It auteurskip heart by de brûker fan it Spaanske foarum yndetectables[.]net ûnder de bynamme Wardow.
It is ek de muoite wurdich opskriuwen dat yn ien fan de triedden fan dit foarum, in obfuscator foar By it dak mei ferlykbere eigenskippen identifisearre tidens sample analyze.
Himself ShellCode frij simpel en lûkt oandacht allinnich liend fan de hacker groep AnunakCarbanak. API oprop hashing funksje.
Wy binne ek bewust fan gebrûk gefallen Frenchy Shellcode ferskillende ferzjes.
Neist de beskreaune funksjonaliteit identifisearren wy ek ynaktive funksjes:
Hânlieding prosesbeëiniging blokkearje yn taakbehearder
In bernproses opnij starte as it beëiniget
Bypass UAC
It bewarjen fan de lading nei in bestân
Demonstraasje fan modale finsters
Wachtsje oant de posysje fan de mûsoanwizer feroaret
AntiVM en AntiSandbox
Selsdestruksje
Pumping payload út it netwurk
Wy witte dat sa'n funksjonaliteit typysk is foar de beskermer CypherIT, dy't, blykber, de bootloader yn kwestje is.
Main module fan software
Folgjende sille wy koart beskriuwe de haadmodule fan 'e malware, en beskôgje it yn mear detail yn it twadde artikel. Yn dit gefal is it in applikaasje op .NET.
Tidens de analyze ûntdutsen wy dat in obfuscator waard brûkt ConfuserEX.
IELibrary.dll
De bibleteek wurdt opslein as in haadmoduleboarne en is in bekende plugin foar Agent Tesla, dy't funksjonaliteit leveret foar it ekstrahearjen fan ferskate ynformaasje út Internet Explorer en Edge-browsers.
Agent Tesla is in modulêre spyingsoftware ferspraat mei in malware-as-a-service-model ûnder it mom fan in legitime keylogger-produkt. Agent Tesla is yn steat om brûkersbewizen fan browsers, e-postkliïnten en FTP-kliïnten te ekstrahearjen en te ferstjoeren nei de tsjinner nei oanfallers, klamboerdgegevens opnimme en it apparaatskerm opnimme. Op it momint fan analyse wie de offisjele webside fan 'e ûntwikkelders net beskikber.
It yngongspunt is de funksje GetSavedPasswords klasse InternetExplorer.
Yn 't algemien is koade-útfiering lineêr en befettet gjin beskerming tsjin analyse. Allinnich de net realisearre funksje fertsjinnet omtinken GetSavedCookies. Blykber soe de funksjonaliteit fan 'e plugin útwreide wurde, mar dit waard nea dien.
Befestigje de bootloader oan it systeem
Litte wy studearje hoe't de bootloader is hechte oan it systeem. It eksimplaar ûnder stúdzje docht gjin ankering, mar yn ferlykbere eveneminten komt it foar neffens it folgjende skema:
Yn map C: Brûkers Publyk skript wurdt makke Visual Basic
Skript foarbyld:
De ynhâld fan it loader-bestân wurdt opfold mei in nul-karakter en bewarre yn 'e map %Temp%
In autorun-kaai wurdt makke yn it register foar it skriptbestân HKCUSoftwareMicrosoftWindowsCurrentVersionRun
Dat, op basis fan 'e resultaten fan it earste diel fan' e analyse, koene wy de nammen fan 'e famyljes fan alle komponinten fan' e ûndersochte malware fêststelle, it ynfeksjepatroan analysearje, en ek objekten krije foar it skriuwen fan hantekeningen. Wy sille trochgean mei ús analyze fan dit objekt yn it folgjende artikel, wêr't wy de haadmodule yn mear detail sille besjen Agent Tesla. Net misse!
Trouwens, op 5 desimber noegje wy alle lêzers út foar in fergese ynteraktyf webinar oer it ûnderwerp "Analyse fan malware: analyze fan echte gefallen", wêr't de skriuwer fan dit artikel, in CERT-GIB-spesjalist, de earste faze fan online sil sjen litte malware analyze - semy-automatyske útpakke fan samples mei it foarbyld fan trije echte mini-gefallen út 'e praktyk, en jo kinne dielnimme oan' e analyse. It webinar is geskikt foar spesjalisten dy't al ûnderfining hawwe yn it analysearjen fan kweade bestannen. Registraasje is strikt fan bedriuws-e-post: Ynskriuwe. Wachtsje op dy!