Wy geane troch mei ús searje artikels wijd oan malware-analyze. YN Foar in part fertelden wy hoe't Ilya Pomerantsev, in malware-analyze-spesjalist by CERT Group-IB, in detaillearre analyze hat útfierd fan in bestân ûntfongen troch e-post fan ien fan 'e Jeropeeske bedriuwen en dêr spyware ûntduts Agent Tesla. Yn dit artikel, Ilya jout de resultaten fan in stap-foar-stap analyze fan de wichtichste module Agent Tesla.
Agent Tesla is in modulêre spyingsoftware ferspraat mei in malware-as-a-service-model ûnder it mom fan in legitime keylogger-produkt. Agent Tesla is yn steat om brûkersbewizen fan browsers, e-postkliïnten en FTP-kliïnten te ekstrahearjen en te ferstjoeren nei de tsjinner nei oanfallers, klamboerdgegevens opnimme en it apparaatskerm opnimme. Op it momint fan analyse wie de offisjele webside fan 'e ûntwikkelders net beskikber.
Konfiguraasjetriem
De tabel hjirûnder lit sjen hokker funksjonaliteit jildt foar it foarbyld dat jo brûke:
| beskriuwing | wearde |
| KeyLogger gebrûk flagge | wier |
| ScreenLogger gebrûk flagge | falsk |
| KeyLogger log ferstjoer ynterval yn minuten | 20 |
| ScreenLogger log ferstjoer ynterval yn minuten | 20 |
| Backspace kaai handling flagge. False - allinich logging. Wier - wisket de foarige kaai | falsk |
| CNC type. Opsjes: smtp, webpanel, ftp | SMTP |
| Diskusje aktivearring flagge foar it beëinigjen fan prosessen út de list "% filter_list%" | falsk |
| UAC útskeakelje flagge | falsk |
| Taakbehearder flagge útskeakelje | falsk |
| CMD útskeakelje flagge | falsk |
| Run finster útskeakelje flagge | falsk |
| Registry Viewer Flagge útskeakelje | falsk |
| Skeakelje systeem weromsette punten flagge | wier |
| Kontrolepaniel útskeakelje flagge | falsk |
| MSCONFIG útskeakelje flagge | falsk |
| Flagge om it kontekstmenu yn Explorer út te skeakeljen | falsk |
| Pin flag | falsk |
| Paad foar it kopiearjen fan de haadmodule by it pinjen fan it oan it systeem | %startupfolder% %insfolder%%insname% |
| Flagge foar it ynstellen fan de attributen "Systeem" en "ferburgen" foar de haadmodule dy't oan it systeem is tawiisd | falsk |
| Flagge om in trochstart út te fieren as se fêstmakke op it systeem | falsk |
| Flagge foar it ferpleatsen fan de haadmodule nei in tydlike map | falsk |
| UAC bypass flagge | falsk |
| Datum en tiid opmaak foar logging | jjjj-MM-dd UU:mm:ss |
| Flagge foar it brûken fan in programmafilter foar KeyLogger | wier |
| Soart programma filterjen. 1 - de programmanamme wurdt socht yn 'e finstertitels 2 - de programmanamme wurdt socht yn it finsterprosesnamme |
1 |
| Programma filter | "facebook" "twitter" "gmail" "instagram" "film" "skype" "porno" "hack" "whatsapp" "discord" |
Taheakjen fan de wichtichste module oan it systeem
As de korrespondearjende flagge ynsteld is, wurdt de haadmodule kopiearre nei it paad dat yn 'e konfiguraasje oanjûn is as it paad dat oan it systeem tawiisd wurdt.
Ofhinklik fan 'e wearde fan' e konfiguraasje, wurdt it bestân de attributen "Hidden" en "System" jûn.
Autorun wurdt fersoarge troch twa registertûken:
- HKCU SoftwareMicrosoftWindowsCurrentVersionRun%insregname%
- HKCUSOFTWAREMicrosoftWindowsCurrentVersionExplorerStartupApprovedRun %insregname%
Sûnt de bootloader ynjeksje yn it proses RegAsm, it ynstellen fan de oanhâldende flagge foar de haadmodule liedt ta heul ynteressante gefolgen. Ynstee fan himsels te kopiearjen, hechte de malware it orizjinele bestân oan it systeem RegAsm.exe, wêrby't de ynjeksje waard útfierd.
Ynteraksje mei C&C
Nettsjinsteande de brûkte metoade begjint netwurkkommunikaasje mei it krijen fan it eksterne IP fan it slachtoffer mei de boarne [.]amazonaws[.]com/.
It folgjende beskriuwt de metoaden foar netwurkynteraksje presintearre yn 'e software.
webpanel
De ynteraksje fynt plak fia it HTTP-protokol. De malware fiert in POST-fersyk út mei de folgjende kopteksten:
- User-Agent: Mozilla/5.0 (Windows U Windows NT 6.1 ru rv:1.9.2.3) Gecko/20100401 Firefox/4.0 (.NET CLR 3.5.30729)
- Ferbining: Keep-Alive
- Ynhâld-Type: applikaasje/x-www-form-urlencoded
It tsjinneradres wurdt oantsjutte troch de wearde %PostURL%. It fersifere berjocht wurdt ferstjoerd yn de parameter «P». De fersifering meganisme wurdt beskreaun yn seksje "Koderingsalgoritmen" (metoade 2).
It ferstjoerde berjocht sjocht der sa út:
type={0}nhwid={1}ntime={2}npcname={3}nlogdata={4}nscreen={5}nipadd={6}nwebcam_link={7}nclient={8}nlink={9}nusername={10}npassword={11}nscreen_link={12}
Parameter type jout it berjochttype oan:
hwid - in MD5-hash wurdt opnommen fan 'e wearden fan it serialnûmer fan it moederbord en de prosessor-ID. Meast wierskynlik brûkt as brûkers-ID.
tiid - tsjinnet om de aktuele tiid en datum te ferstjoeren.
pcnamme - definiearre as /.
logdata - loggegevens.
By it ferstjoeren fan wachtwurden sjocht it berjocht der sa út:
type={0}nhwid={1}ntime={2}npcname={3}nlogdata={4}nscreen={5}nipadd={6}nwebcam_link={7}nscreen_link={8}n[passwords]
De folgjende binne beskriuwingen fan 'e stellen gegevens yn it formaat nclient[]={0}nlink[]={1}brûkersnamme[]={2}nwachtwurd[]={3}.
SMTP
De ynteraksje fynt plak fia it SMTP-protokol. De útstjoerde brief is yn HTML-formaat. Parameter LICHEM liket op:
De koptekst fan 'e brief hat de algemiene foarm: / . De ynhâld fan 'e brief, lykas de taheaksels, binne net fersifere.
De ynteraksje fynt plak fia it FTP-protokol. In triem mei de namme wurdt oerbrocht nei de oantsjutte tsjinner _ -_.html. De ynhâld fan it bestân is net fersifere.
Fersiferingsalgoritmen
Dit gefal brûkt de folgjende fersiferingsmetoaden:
De metoade 1
Dizze metoade wurdt brûkt om stringen te fersiferjen yn 'e haadmodule. It algoritme brûkt foar fersifering is AES.
De ynfier is in seis-sifers desimaal getal. De folgjende transformaasje wurdt útfierd op it:
f(x) = (((x >> 2 - 31059) ^ 6380) - 1363) >> 3
De resultearjende wearde is de yndeks foar de ynbêde gegevensarray.
Elk array-elemint is in sekwinsje DWORD. By it gearfoegjen DWORD in array fan bytes wurdt krigen: de earste 32 bytes binne de fersiferingskaai, folge troch 16 bytes fan 'e initialisaasjevektor, en de oerbleaune bytes binne de fersifere gegevens.
De metoade 2
Algoritme brûkt 3DES yn modus EKB mei padding yn hiele bytes (PKCS7).
De kaai wurdt oantsjutte troch de parameter %urlkey%, lykwols, fersifering brûkt syn MD5 hash.
Malicious funksjonaliteit
De ûndersochte stekproef brûkt de folgjende programma's om har kweade funksje út te fieren:
kaai logger
As der in oerienkommende malware flagge mei help fan de WinAPI funksje SetWindowsHookEx jout syn eigen handler foar keypress eveneminten op it toetseboerd. De handlerfunksje begjint mei it krijen fan de titel fan it aktive finster.
As de flagge foar applikaasjefiltering ynsteld is, wurdt filtering útfierd ôfhinklik fan it opjûne type:
- de programmanamme wurdt socht yn de finstertitels
- de programmanamme wurdt opsocht yn it finsterprosesnamme
Folgjende wurdt in rekord tafoege oan it log mei ynformaasje oer it aktive finster yn it formaat:
Dan wurdt ynformaasje oer de yndrukte toets opnommen:
| Kaai | Opname |
| Backspace | Ofhinklik fan de flagge foar ferwurkjen fan Backspace-kaai: False – {BACK} Wier - wisket de foarige kaai |
| CAPSLOCK | {CAPSLOCK} |
| ESC | {ESC} |
| Side omheech | {Side omheech} |
| down | ↓ |
| DELETE | {DEL} |
| " | " |
| F5 | {F5} |
| & | & |
| F10 | {F10} |
| TAB | {TAB} |
| < | < |
| > | > |
| Rûmte | |
| F8 | {F8} |
| F12 | {F12} |
| F9 | {F9} |
| ALT + TAB | {ALT+TAB} |
| EIN | {EIN} |
| F4 | {F4} |
| F2 | {F2} |
| CTRL | {CTRL} |
| F6 | {F6} |
| Rjochts | → |
| Up | ↑ |
| F1 | {F1} |
| left | ← |
| PageDown | {PageDown} |
| Ynfoegje | {Ynfoegje} |
| Win | {Winne} |
| NumberLock | {NumLock} |
| F11 | {F11} |
| F3 | {F3} |
| THÚS | {THÚS} |
| YNGEAN | {YNGEAN} |
| ALT + F4 | {ALT+F4} |
| F7 | {F7} |
| Oare kaai | It karakter is yn haadletters of lytse letters ôfhinklik fan de posysjes fan 'e CapsLock- en Shift-toetsen |
Op in bepaalde frekwinsje wurdt it sammele log nei de tsjinner stjoerd. As de oerdracht net slagget, wurdt it log opslein yn in bestân %TEMP%log.tmp yn formaat:
As de timer ûntspringt, sil it bestân oerbrocht wurde nei de tsjinner.
ScreenLogger
Op in opjûne frekwinsje makket de malware in skermôfbylding yn it formaat Jpeg mei de betsjutting Kwaliteit gelyk oan 50 en bewarret it yn in triem %APPDATA %.jpg. Nei oerdracht, de triem wurdt wiske.
ClipboardLogger
As de passende flagge is ynsteld, wurde ferfangings makke yn 'e ûnderskepte tekst neffens de tabel hjirûnder.
Hjirnei wurdt de tekst yn it log ynfoege:
PasswordStealer
De malware kin wachtwurden downloade fan 'e folgjende applikaasjes:
| Браузеры | Mail kliïnten | FTP kliïnten |
| chrome | Outlook | filezilla |
| Firefox | Thunderbird | WS_FTP |
| IE/Râne | Foxmail | WinSCP |
| safari | Opera Mail | CoreFTP |
| Opera-blêder | IncrediMail | FTP Navigator |
| Yandex | Pocomail | FlashFXP |
| Comodo | Eudora | SmartFTP |
| ChromePlus | De flearmûs | FTPCommander |
| Chromium | Brievebus | |
| Fakkel | ClawsMail | |
| 7Star | ||
| Friend | ||
| BraveSoftware | Jabber kliïnten | VPN kliïnten |
| CentBrowser | Psi/Psi+ | Iepenje VPN |
| Chedot | ||
| CocCoc | ||
| Elements Browser | Download behearders | |
| Epyske privacybrowser | Internet Download Manager | |
| Komeet | JDownloader | |
| orbitum | ||
| Sputnik | ||
| uCozMedia | ||
| Vivaldi | ||
| SeaMonkey | ||
| Flock Browser | ||
| UC Browser | ||
| Blackhawk | ||
| CyberFox | ||
| K-meleon | ||
| iis kat | ||
| icedragon | ||
| PaleMoon | ||
| wetterfoks | ||
| Falcon Browser |
Tsjingean fan dynamyske analyze
- Mei de funksje Sliep. Stelt jo yn steat om guon sânbakken te omgean troch time-out
- It ferneatigjen fan in tried Area.Identify. Hjirmei kinne jo it feit ferbergje fan it downloaden fan in bestân fan it ynternet
- Yn parameter %filter_list% spesifisearret in list mei prosessen dy't de malware sil beëinigje mei yntervallen fan ien sekonde
- Ofslute UAC
- De taakbehearder útskeakelje
- Ofslute CMD
- In finster útskeakelje "Выполнить"
- It Control Panel útskeakelje
- In ark útskeakelje RegEdit
- Systeemherstelpunten útskeakelje
- Skeakelje it kontekstmenu yn Explorer út
- Ofslute MSCONFIG
- Bypass UAC:
Ynaktive skaaimerken fan de wichtichste module
Tidens de analyze fan 'e haadmodule waarden funksjes identifisearre dy't ferantwurdlik wiene foar it fersprieden oer it netwurk en it folgjen fan' e posysje fan 'e mûs.
Wjirm
Eveneminten foar it ferbinen fan útnimbere media wurde kontrolearre yn in aparte thread. As ferbûn, wurdt de malware mei de namme kopiearre nei de root fan it bestânsysteem scr.exe, wêrnei't it siket nei bestannen mei de tafoeging lnk. Elk syn team lnk feroarings oan cmd.exe /c start scr.exe&start & ôfslute.
Elke map oan 'e root fan' e media wurdt in attribút jûn "ferburgen" en in triem wurdt makke mei de tafoeging lnk mei de namme fan 'e ferburgen map en it kommando cmd.exe /c start scr.exe&explorer /root,"%CD%" & ôfslute.
MouseTracker
De metoade foar it útfieren fan ûnderskepping is fergelykber mei dy brûkt foar it toetseboerd. Dizze funksjonaliteit is noch yn ûntwikkeling.
Triemaktiviteit
| paad | beskriuwing |
| %Temp%temp.tmp | Befettet in teller foar UAC bypass besykjen |
| %startupfolder%%insfolder%%insname% | Paad te wurde tawiisd oan it HPE-systeem |
| %Temp%tmpG{Hidige tiid yn millisekonden}.tmp | Paad foar reservekopy fan de wichtichste module |
| %Temp%log.tmp | Log triem |
| %AppData%{In willekeurige folchoarder fan 10 tekens}.jpeg | Screenshots |
| C:UsersPublic{In willekeurige folchoarder fan 10 tekens}.vbs | Paad nei in vbs-bestân dat de bootloader kin brûke om te heakjen oan it systeem |
| %Temp%{Namme fan oanpaste map}{Triemnamme} | Paad brûkt troch de bootloader om himsels oan it systeem te heakjen |
Oanfaller profyl
Mei tank oan hurdkodearre autentikaasjegegevens koene wy tagong krije ta it kommandosintrum.
Dit liet ús de lêste e-post fan 'e oanfallers identifisearje:
junaid[.]in***@gmail[.]com.
De domeinnamme fan it kommandosintrum wurdt registrearre op de post sg***@gmail[.]com.
konklúzje
Tidens in detaillearre analyze fan 'e malware brûkt yn' e oanfal, wiene wy yn steat om de funksjonaliteit te fêstigjen en de meast folsleine list fan yndikatoaren fan kompromis te krijen dy't relevant binne foar dit gefal. It begripen fan 'e meganismen fan netwurk ynteraksje tusken malware makke it mooglik om oanbefellings te jaan foar it oanpassen fan de wurking fan ark foar ynformaasjefeiligens, en ek stabile IDS-regels te skriuwen.
Main gefaar Agent Tesla lykas DataStealer yn dat it net hoecht te begean oan it systeem of wachtsje op in kontrôle kommando foar in útfiere syn taken. Ien kear op 'e masine begjint it fuortendaliks privee ynformaasje te sammeljen en oer te bringen nei CnC. Dit agressive gedrach is op guon manieren gelyk oan it gedrach fan ransomware, mei it ienige ferskil dat de lêste net iens in netwurkferbining nedich is. As jo dizze famylje tsjinkomme, nei it skjinmeitsjen fan it ynfekteare systeem fan 'e malware sels, moatte jo perfoarst alle wachtwurden feroarje dy't, op syn minst teoretysk, kinne wurde bewarre yn ien fan 'e hjirboppe neamde applikaasjes.
Foarútsjen, lit ús sizze dat oanfallers stjoere Agent Tesla, de earste bootloader wurdt hiel faak feroare. Hjirmei kinne jo ûngemurken bliuwe troch statyske scanners en heuristyske analysators op it momint fan oanfal. En de oanstriid fan dizze famylje om har aktiviteiten fuortendaliks te begjinnen makket systeemmonitors nutteloos. De bêste manier om AgentTesla te bestriden is foarriedige analyse yn in sânbak.
Yn it tredde artikel fan dizze searje sille wy sjen nei oare brûkte bootloaders Agent Tesla, en studearje ek it proses fan har semy-automatyske útpakke. Net misse!
Hash
| SHA1 |
| A8C2765B3D655BA23886D663D22BDD8EF6E8E894 |
| 8010CC2AF398F9F951555F7D481CE13DF60BBECF |
| 79B445DE923C92BF378B19D12A309C0E9C5851BF |
| 15839B7AB0417FA35F2858722F0BD47BDF840D62 |
| 1C981EF3EEA8548A30E8D7BF8D0D61F9224288DD |
C&C
| URL |
| sina-c0m[.]icu |
| smtp[.]sina-c0m[.]icu |
RegKey
| Registry |
| HKCUSoftwareMicrosoftWindowsCurrentVersionRun{Skriptnamme} |
| HKCUSoftwareMicrosoftWindowsCurrentVersionRun%insregname% |
| HKCUSOFTWAREMicrosoftWindowsCurrentVersionExplorerStartupApprovedRun%insregname% |
mutexes
D'r binne gjin yndikatoaren.
Files
| Triemaktiviteit |
| %Temp%temp.tmp |
| %startupfolder%%insfolder%%insname% |
| %Temp%tmpG{Hidige tiid yn millisekonden}.tmp |
| %Temp%log.tmp |
| %AppData%{In willekeurige folchoarder fan 10 tekens}.jpeg |
| C:UsersPublic{In willekeurige folchoarder fan 10 tekens}.vbs |
| %Temp%{Namme fan oanpaste map}{Triemnamme} |
Sample Info
| namme | Ûnbekend |
| MD5 | F7722DD8660B261EA13B710062B59C43 |
| SHA1 | 15839B7AB0417FA35F2858722F0BD47BDF840D62 |
| SHA256 | 41DC0D5459F25E2FDCF8797948A7B315D3CB0753 98D808D1772CACCC726AF6E9 |
| Type | PE (.NET) |
| Grutte | 327680 |
| OriginalName | AZZRIDKGGSLTYFUUBCCRRCUMRKTOXFVPDKGAGPUZI_20190701133545943.exe |
| Datum stimpel | 01.07.2019 |
| Compiler | VB.NET |
| namme | IELibrary.dll |
| MD5 | BFB160A89F4A607A60464631ED3ED9FD |
| SHA1 | 1C981EF3EEA8548A30E8D7BF8D0D61F9224288DD |
| SHA256 | D55800A825792F55999ABDAD199DFA54F3184417 215A298910F2C12CD9CC31EE |
| Type | PE (.NET DLL) |
| Grutte | 16896 |
| OriginalName | IELibrary.dll |
| Datum stimpel | 11.10.2016 |
| Compiler | Microsoft Linker (48.0*) |
Boarne: www.habr.com