Theip ar an vótáil: nochtfaimid AgentTesla d'uisce glan. Cuid 1
Le déanaí, rinne monaróir Eorpach trealaimh suiteála leictreach teagmháil le Group-IB - fuair a fhostaí litir amhrasach le ceangaltán mailíseach sa phost. Ilya Pomerantsev, speisialtóir in anailís malware ag CERT Group-IB, rinne sé anailís mhionsonraithe ar an gcomhad seo, d'aimsigh sé earraí spiaireachta AgentTesla ann agus d'inis sé cad ba cheart a bheith ag súil leis ó malware den sórt sin agus conas atá sé contúirteach.
Leis an bpost seo táimid ag oscailt sraith alt ar conas anailís a dhéanamh ar chomhaid a d'fhéadfadh a bheith contúirteach, agus táimid ag fanacht leis an duine is aisteach ar 5 Nollaig le haghaidh webinar idirghníomhach saor in aisce ar an ábhar “Anailís Mal-earraí: Anailís ar Chásanna Réadúla”. Tá na sonraí go léir faoin gearrtha.
Meicníocht dáileacháin
Tá a fhios againn gur shroich an malware meaisín an íospartaigh trí ríomhphoist fioscaireachta. Is dócha go raibh faighteoir na litreach BCCed.
Léiríonn anailís ar na ceanntásca go raibh seoltóir na litreach meallta. Go deimhin, d'fhág an litir le vps56[.]oneworldhosting[.]com.
Tá cartlann WinRar san cheangaltán ríomhphoist qoute_jpeg56a.r15 le comhad inrite mailíseach QOUTE_JPEG56A.exe istigh.
Éiceachóras malware
Anois, déanaimis a fheiceáil cén chuma atá ar éiceachóras na malware atá á staidéar. Taispeánann an léaráid thíos a struchtúr agus treo idirghníomhaíochta na gcomhpháirteanna.
Anois, déanaimis breathnú ar gach ceann de na comhpháirteanna malware níos mionsonraithe.
Luchtaire
Comhad bunaidh QOUTE_JPEG56A.exe is le chéile AutoIt v3 script.
Chun obfuscate an script bunaidh, ar obfuscator a bhfuil a leithéid PELock AutoIT- Obfuscator tréithe.
Déantar díobfuscation i dtrí chéim:
Obfuscation a bhaint Chun-Más rud é
Is é an chéad chéim ná sreabhadh rialaithe an script a athbhunú. Sreabhadh Rialaithe Tá Leacú ar cheann de na bealaí is coitianta chun cód dénártha feidhmchláir a chosaint ó anailís. Méadaíonn claochluithe mearbhall go mór an chastacht a bhaineann le halgartaim agus struchtúir sonraí a bhaint agus a aithint.
Aisghabháil sraithe
Úsáidtear dhá fheidhm chun teaghráin a chriptiú:
gdorizabegkvfca - Feidhmíonn sé díchódaithe cosúil le Base64
xgacyukcyzxz - beart simplí XOR den chéad teaghrán agus fad an dara ceann
Obfuscation a bhaint DénárthaToString и Rith
Stóráiltear an príomh-ualach i bhfoirm roinnte san eolaire Clónna ranna acmhainne den chomhad.
Is é seo a leanas an t-ordú gluing: TIEQHCXWFG, GS, SPDGUHIMPV, KQJMWQQAQTKTFXTUOSW, AOCHKRWWSKWO, JSHMSJPS, NHHWXJBMTTSPXVN, BFUTIFWWXVE, HWJHO, AVZOUMVFRDWFLWU.
Úsáidtear feidhm WinAPI chun na sonraí a bhaintear a dhíchriptiú CryptDecrypt, agus úsáidtear an eochair seisiúin a ghintear bunaithe ar an luach mar an eochair fZgFiZlJDxvuWatFRgRXZqmNCIyQgMYc.
Seoltar an comhad inrite díchriptithe chuig an ionchur feidhme Rith PE, a dhéanann ProcessInject в RegAsm.exe ag baint úsáide as ionsuite Cód Shell (ar a dtugtar Cód Shell RunPE). Is le húsáideoir fóram na Spáinne an t-údar do-bhraite[.]glan faoin leasainm Wardow.
Is fiú a thabhairt faoi deara freisin go bhfuil i gceann de na snáitheanna den fhóram seo, obfuscator do Ag an díon le hairíonna comhchosúla a aithníodh le linn anailíse samplach.
Féin Cód Shell simplí go leor agus tarraingíonn sé aird a fuarthas ar iasacht ón ngrúpa hacker AnunakCarbanak amháin. Feidhm hashing glao API.
Is eol dúinn freisin cásanna úsáide Frenchy Shellcode leaganacha éagsúla.
Chomh maith leis an bhfeidhmiúlacht a thuairiscítear, shainaithnímid feidhmeanna neamhghníomhacha freisin:
Deireadh a chur le próiseas láimhe a bhlocáil sa bhainisteoir tasc
Próiseas leanbh a atosú nuair a chríochnaíonn sé
Seachbhóthar UAC
An pálasta a shábháil i gcomhad
Taispeáint fuinneoga módúla
Ag fanacht le suíomh cúrsóir na luiche a athrú
AntiVM agus AntiSandbox
Féin-scrios
Ualach pá a phumpáil ón líonra
Tá a fhios againn go bhfuil feidhmiúlacht den sórt sin tipiciúil don chosantóir Cipire, atá, de réir dealraimh, an bootloader atá i gceist.
Príomh-mhodúl bogearraí
Ansin, cuirfimid síos go hachomair ar phríomh-mhodúl an malware, agus déanfaimid é a mheas go mion sa dara airteagal. Sa chás seo, is iarratas ar . GLAN.
Le linn na hanailíse, fuaireamar amach gur úsáideadh obfuscator ConfuserEX.
IELibrary.dll
Stóráiltear an leabharlann mar phríomh-acmhainn mhodúil agus is breiseán aitheanta í le haghaidh GníomhaireTesla, a sholáthraíonn feidhmiúlacht chun faisnéis éagsúla a bhaint as brabhsálaithe Internet Explorer agus Edge.
Is bogearraí modúlach spiaireachta é Gníomhaire Tesla a dháiltear ag baint úsáide as múnla malware-mar-a-seirbhíse faoi chruth táirge eochair-logálaí dlisteanach. Tá Gníomhaire Tesla in ann dintiúir úsáideoirí a bhaint agus a tharchur ó bhrabhsálaithe, ó chliaint ríomhphoist agus ó chliaint FTP chuig an bhfreastalaí chuig ionsaitheoirí, ag taifeadadh sonraí gearrthaisce, agus ag gabháil le scáileán an fheiste. Ag am na hanailíse, ní raibh láithreán gréasáin oifigiúil na bhforbróirí ar fáil.
Is é an pointe iontrála an fheidhm GetSavedPasswords Internet Explorer ranga.
Go ginearálta, tá forghníomhú cód líneach agus níl aon chosaint in aghaidh anailíse ann. Ní fiú aird a thabhairt ach ar an bhfeidhm neamhréadaithe GetSavedCookies. De réir dealraimh, bhí feidhmiúlacht an bhreiseáin ceaptha a leathnú, ach níor rinneadh é seo riamh.
An tosaitheoir a cheangal leis an gcóras
Déanaimis staidéar ar an gcaoi a bhfuil an bootloader ceangailte leis an gcóras. Níl an t-eiseamal atá á staidéar ar ancaire, ach in imeachtaí comhchosúla tarlaíonn sé de réir na scéime seo a leanas:
San fhillteán C:UsersPublic cruthaítear script Visual Basic
Sampla scripte:
Déantar ábhar an chomhaid lódóra a stuáil le carachtar nialasach agus a shábháil san fhillteán % Temp%<Ainm an fhillteáin saincheaptha>Ainm comhaid>
Cruthaítear eochair autorun sa chlár don chomhad scripte HKCUSoftwareMicrosoftWindowsCurrentVersionRun <Ainm scripte>
Mar sin, bunaithe ar thorthaí an chéad chuid den anailís, bhíomar in ann ainmneacha na dteaghlach de na comhpháirteanna uile den malware faoi staidéar a bhunú, anailís a dhéanamh ar an patrún ionfhabhtaithe, agus freisin rudaí a fháil le haghaidh sínithe a scríobh. Leanfaimid lenár n-anailís ar an réad seo san alt seo chugainn, áit a ndéanfaimid breathnú níos mionsonraithe ar an bpríomh-mhodúl GníomhaireTesla. Ná caill!
Dála an scéil, ar an 5 Nollaig tugaimid cuireadh do gach léitheoir chuig webinar idirghníomhach saor in aisce ar an ábhar "Anailís malware: anailís ar chásanna fíor", áit a léireoidh údar an ailt seo, speisialtóir CERT-GIB, an chéad chéim de ar líne. anailís malware - díphacáil leath-uathoibríoch samplaí ag baint úsáide as an sampla de thrí chás fíor mion ó chleachtas, agus is féidir leat páirt a ghlacadh san anailís. Tá an webinar oiriúnach do speisialtóirí a bhfuil taithí acu cheana féin ar anailís a dhéanamh ar chomhaid mhailíseacha. Is ó ríomhphost corparáideach amháin a dhéantar an clárú: clárú. Ag fanacht leat!