Le déanaí, rinne monaróir Eorpach trealaimh suiteála leictreach teagmháil le Group-IB - fuair a fhostaí litir amhrasach le ceangaltán mailíseach sa phost. Ilya Pomerantsev, speisialtóir in anailís malware ag CERT Group-IB, rinne sé anailís mhionsonraithe ar an gcomhad seo, d'aimsigh sé earraí spiaireachta AgentTesla ann agus d'inis sé cad ba cheart a bheith ag súil leis ó malware den sórt sin agus conas atá sé contúirteach.
Leis an bpost seo táimid ag oscailt sraith alt ar conas anailís a dhéanamh ar chomhaid a d'fhéadfadh a bheith contúirteach, agus táimid ag fanacht leis an duine is aisteach ar 5 Nollaig le haghaidh webinar idirghníomhach saor in aisce ar an ábhar “Anailís Mal-earraí: Anailís ar Chásanna Réadúla”. Tá na sonraí go léir faoin gearrtha.
Meicníocht dáileacháin
Tá a fhios againn gur shroich an malware meaisín an íospartaigh trí ríomhphoist fioscaireachta. Is dócha go raibh faighteoir na litreach BCCed.
Léiríonn anailís ar na ceanntásca go raibh seoltóir na litreach meallta. Go deimhin, d'fhág an litir le vps56[.]oneworldhosting[.]com.
Tá cartlann WinRar san cheangaltán ríomhphoist qoute_jpeg56a.r15 le comhad inrite mailíseach QOUTE_JPEG56A.exe istigh.
Éiceachóras malware
Anois, déanaimis a fheiceáil cén chuma atá ar éiceachóras na malware atá á staidéar. Taispeánann an léaráid thíos a struchtúr agus treo idirghníomhaíochta na gcomhpháirteanna.
Anois, déanaimis breathnú ar gach ceann de na comhpháirteanna malware níos mionsonraithe.
Luchtaire
Comhad bunaidh QOUTE_JPEG56A.exe is le chéile AutoIt v3 script.
Chun obfuscate an script bunaidh, ar obfuscator a bhfuil a leithéid PELock AutoIT- Obfuscator tréithe.
Déantar díobfuscation i dtrí chéim:
- Obfuscation a bhaint Chun-Más rud é
Is é an chéad chéim ná sreabhadh rialaithe an script a athbhunú. Sreabhadh Rialaithe Tá Leacú ar cheann de na bealaí is coitianta chun cód dénártha feidhmchláir a chosaint ó anailís. Méadaíonn claochluithe mearbhall go mór an chastacht a bhaineann le halgartaim agus struchtúir sonraí a bhaint agus a aithint.
- Aisghabháil sraithe
Úsáidtear dhá fheidhm chun teaghráin a chriptiú:
- gdorizabegkvfca - Feidhmíonn sé díchódaithe cosúil le Base64
- xgacyukcyzxz - beart simplí XOR den chéad teaghrán agus fad an dara ceann
- gdorizabegkvfca - Feidhmíonn sé díchódaithe cosúil le Base64
- Obfuscation a bhaint DénárthaToString и Rith
Stóráiltear an príomh-ualach i bhfoirm roinnte san eolaire Clónna ranna acmhainne den chomhad.
Is é seo a leanas an t-ordú gluing: TIEQHCXWFG, GS, SPDGUHIMPV, KQJMWQQAQTKTFXTUOSW, AOCHKRWWSKWO, JSHMSJPS, NHHWXJBMTTSPXVN, BFUTIFWWXVE, HWJHO, AVZOUMVFRDWFLWU.
Úsáidtear feidhm WinAPI chun na sonraí a bhaintear a dhíchriptiú CryptDecrypt, agus úsáidtear an eochair seisiúin a ghintear bunaithe ar an luach mar an eochair fZgFiZlJDxvuWatFRgRXZqmNCIyQgMYc.
Seoltar an comhad inrite díchriptithe chuig an ionchur feidhme Rith PE, a dhéanann ProcessInject в RegAsm.exe ag baint úsáide as ionsuite Cód Shell (ar a dtugtar Cód Shell RunPE). Is le húsáideoir fóram na Spáinne an t-údar do-bhraite[.]glan faoin leasainm Wardow.
Is fiú a thabhairt faoi deara freisin go bhfuil i gceann de na snáitheanna den fhóram seo, obfuscator do Ag an díon le hairíonna comhchosúla a aithníodh le linn anailíse samplach.
Féin Cód Shell simplí go leor agus tarraingíonn sé aird a fuarthas ar iasacht ón ngrúpa hacker AnunakCarbanak amháin. Feidhm hashing glao API.
Is eol dúinn freisin cásanna úsáide Frenchy Shellcode leaganacha éagsúla.
Chomh maith leis an bhfeidhmiúlacht a thuairiscítear, shainaithnímid feidhmeanna neamhghníomhacha freisin:
- Deireadh a chur le próiseas láimhe a bhlocáil sa bhainisteoir tasc
- Próiseas leanbh a atosú nuair a chríochnaíonn sé
- Seachbhóthar UAC
- An pálasta a shábháil i gcomhad
- Taispeáint fuinneoga módúla
- Ag fanacht le suíomh cúrsóir na luiche a athrú
- AntiVM agus AntiSandbox
- Féin-scrios
- Ualach pá a phumpáil ón líonra
Tá a fhios againn go bhfuil feidhmiúlacht den sórt sin tipiciúil don chosantóir Cipire, atá, de réir dealraimh, an bootloader atá i gceist.
Príomh-mhodúl bogearraí
Ansin, cuirfimid síos go hachomair ar phríomh-mhodúl an malware, agus déanfaimid é a mheas go mion sa dara airteagal. Sa chás seo, is iarratas ar . GLAN.
Le linn na hanailíse, fuaireamar amach gur úsáideadh obfuscator ConfuserEX.
IELibrary.dll
Stóráiltear an leabharlann mar phríomh-acmhainn mhodúil agus is breiseán aitheanta í le haghaidh GníomhaireTesla, a sholáthraíonn feidhmiúlacht chun faisnéis éagsúla a bhaint as brabhsálaithe Internet Explorer agus Edge.
Is bogearraí modúlach spiaireachta é Gníomhaire Tesla a dháiltear ag baint úsáide as múnla malware-mar-a-seirbhíse faoi chruth táirge eochair-logálaí dlisteanach. Tá Gníomhaire Tesla in ann dintiúir úsáideoirí a bhaint agus a tharchur ó bhrabhsálaithe, ó chliaint ríomhphoist agus ó chliaint FTP chuig an bhfreastalaí chuig ionsaitheoirí, ag taifeadadh sonraí gearrthaisce, agus ag gabháil le scáileán an fheiste. Ag am na hanailíse, ní raibh láithreán gréasáin oifigiúil na bhforbróirí ar fáil.
Is é an pointe iontrála an fheidhm GetSavedPasswords Internet Explorer ranga.
Go ginearálta, tá forghníomhú cód líneach agus níl aon chosaint in aghaidh anailíse ann. Ní fiú aird a thabhairt ach ar an bhfeidhm neamhréadaithe GetSavedCookies. De réir dealraimh, bhí feidhmiúlacht an bhreiseáin ceaptha a leathnú, ach níor rinneadh é seo riamh.
An tosaitheoir a cheangal leis an gcóras
Déanaimis staidéar ar an gcaoi a bhfuil an bootloader ceangailte leis an gcóras. Níl an t-eiseamal atá á staidéar ar ancaire, ach in imeachtaí comhchosúla tarlaíonn sé de réir na scéime seo a leanas:
- San fhillteán C:UsersPublic cruthaítear script Visual Basic
Sampla scripte:
- Déantar ábhar an chomhaid lódóra a stuáil le carachtar nialasach agus a shábháil san fhillteán % Temp%<Ainm an fhillteáin saincheaptha>Ainm comhaid>
- Cruthaítear eochair autorun sa chlár don chomhad scripte HKCUSoftwareMicrosoftWindowsCurrentVersionRun <Ainm scripte>
Mar sin, bunaithe ar thorthaí an chéad chuid den anailís, bhíomar in ann ainmneacha na dteaghlach de na comhpháirteanna uile den malware faoi staidéar a bhunú, anailís a dhéanamh ar an patrún ionfhabhtaithe, agus freisin rudaí a fháil le haghaidh sínithe a scríobh. Leanfaimid lenár n-anailís ar an réad seo san alt seo chugainn, áit a ndéanfaimid breathnú níos mionsonraithe ar an bpríomh-mhodúl GníomhaireTesla. Ná caill!
Dála an scéil, ar an 5 Nollaig tugaimid cuireadh do gach léitheoir chuig webinar idirghníomhach saor in aisce ar an ábhar "Anailís malware: anailís ar chásanna fíor", áit a léireoidh údar an ailt seo, speisialtóir CERT-GIB, an chéad chéim de ar líne. anailís malware - díphacáil leath-uathoibríoch samplaí ag baint úsáide as an sampla de thrí chás fíor mion ó chleachtas, agus is féidir leat páirt a ghlacadh san anailís. Tá an webinar oiriúnach do speisialtóirí a bhfuil taithí acu cheana féin ar anailís a dhéanamh ar chomhaid mhailíseacha. Is ó ríomhphost corparáideach amháin a dhéantar an clárú: . Ag fanacht leat!
Yara
rule AgentTesla_clean{
meta:
author = "Group-IB"
file = "78566E3FC49C291CB117C3D955FA34B9A9F3EEFEFAE3DE3D0212432EB18D2EAD"
scoring = 5
family = "AgentTesla"
strings:
$string_format_AT = {74 00 79 00 70 00 65 00 3D 00 7B 00 30 00 7D 00 0D 00 0A 00 68 00 77 00 69 00 64 00 3D 00 7B 00 31 00 7D 00 0D 00 0A 00 74 00 69 00 6D 00 65 00 3D 00 7B 00 32 00 7D 00 0D 00 0A 00 70 00 63 00 6E 00 61 00 6D 00 65 00 3D 00 7B 00 33 00 7D 00 0D 00 0A 00 6C 00 6F 00 67 00 64 00 61 00 74 00 61 00 3D 00 7B 00 34 00 7D 00 0D 00 0A 00 73 00 63 00 72 00 65 00 65 00 6E 00 3D 00 7B 00 35 00 7D 00 0D 00 0A 00 69 00 70 00 61 00 64 00 64 00 3D 00 7B 00 36 00 7D 00 0D 00 0A 00 77 00 65 00 62 00 63 00 61 00 6D 00 5F 00 6C 00 69 00 6E 00 6B 00 3D 00 7B 00 37 00 7D 00 0D 00 0A 00 73 00 63 00 72 00 65 00 65 00 6E 00 5F 00 6C 00 69 00 6E 00 6B 00 3D 00 7B 00 38 00 7D 00 0D 00 0A 00 5B 00 70 00 61 00 73 00 73 00 77 00 6F 00 72 00 64 00 73 00 5D 00}
$web_panel_format_string = {63 00 6C 00 69 00 65 00 6E 00 74 00 5B 00 5D 00 3D 00 7B 00 30 00 7D 00 0D 00 0A 00 6C 00 69 00 6E 00 6B 00 5B 00 5D 00 3D 00 7B 00 31 00 7D 00 0D 00 0A 00 75 00 73 00 65 00 72 00 6E 00 61 00 6D 00 65 00 5B 00 5D 00 3D 00 7B 00 32 00 7D 00 0D 00 0A 00 70 00 61 00 73 00 73 00 77 00 6F 00 72 00 64 00 5B 00 5D 00 3D 00 7B 00 33 00 7D 00 00 15 55 00 52 00 4C 00 3A 00 20 00 20 00 20 00 20 00 20 00 20 00 00 15 55 00 73 00 65 00 72 00 6E 00 61 00 6D 00 65 00 3A 00 20 00 00 15 50 00 61 00 73 00 73 00 77 00 6F 00 72 00 64 00 3A 00}
condition:
all of them
}
rule AgentTesla_obfuscated {
meta:
author = "Group-IB"
file = "41DC0D5459F25E2FDCF8797948A7B315D3CB075398D808D1772CACCC726AF6E9"
scoring = 5
family = "AgentTesla"
strings:
$first_names = {61 66 6B 00 61 66 6D 00 61 66 6F 00 61 66 76 00 61 66 79 00 61 66 78 00 61 66 77 00 61 67 6A 00 61 67 6B 00 61 67 6C 00 61 67 70 00 61 67 72 00 61 67 73 00 61 67 75 00}
$second_names = "IELibrary.resources"
condition:
all of them
}
rule AgentTesla_module_for_IE{
meta:
author = "Group-IB"
file = "D55800A825792F55999ABDAD199DFA54F3184417215A298910F2C12CD9CC31EE"
scoring = 5
family = "AgentTesla_module_for_IE"
strings:
$s0 = "ByteArrayToStructure"
$s1 = "CryptAcquireContext"
$s2 = "CryptCreateHash"
$s3 = "CryptDestroyHash"
$s4 = "CryptGetHashParam"
$s5 = "CryptHashData"
$s6 = "CryptReleaseContext"
$s7 = "DecryptIePassword"
$s8 = "DoesURLMatchWithHash"
$s9 = "GetSavedCookies"
$s10 = "GetSavedPasswords"
$s11 = "GetURLHashString"
condition:
all of them
}
rule RunPE_shellcode {
meta:
author = "Group-IB"
file = "37A1961361073BEA6C6EACE6A8601F646C5B6ECD9D625E049AD02075BA996918"
scoring = 5
family = "RunPE_shellcode"
strings:
$malcode = {
C7 [2-5] EE 38 83 0C // mov dword ptr [ebp-0A0h], 0C8338EEh
C7 [2-5] 57 64 E1 01 // mov dword ptr [ebp-9Ch], 1E16457h
C7 [2-5] 18 E4 CA 08 // mov dword ptr [ebp-98h], 8CAE418h
C7 [2-5] E3 CA D8 03 // mov dword ptr [ebp-94h], 3D8CAE3h
C7 [2-5] 99 B0 48 06 // mov dword ptr [ebp-90h], 648B099h
C7 [2-5] 93 BA 94 03 // mov dword ptr [ebp-8Ch], 394BA93h
C7 [2-5] E4 C7 B9 04 // mov dword ptr [ebp-88h], 4B9C7E4h
C7 [2-5] E4 87 B8 04 // mov dword ptr [ebp-84h], 4B887E4h
C7 [2-5] A9 2D D7 01 // mov dword ptr [ebp-80h], 1D72DA9h
C7 [2-5] 05 D1 3D 0B // mov dword ptr [ebp-7Ch], 0B3DD105h
C7 [2-5] 44 27 23 0F // mov dword ptr [ebp-78h], 0F232744h
C7 [2-5] E8 6F 18 0D // mov dword ptr [ebp-74h], 0D186FE8h
}
condition:
$malcode
}
rule AgentTesla_AutoIT_module{
meta:
author = "Group-IB"
file = "49F94293F2EBD8CEFF180EDDD58FA50B30DC0F08C05B5E3BD36FD52668D196AF"
scoring = 5
family = "AgentTesla"
strings:
$packedexeau = {55 ED F5 9F 92 03 04 44 7E 16 6D 1F 8C D7 38 E6 29 E4 C8 CF DA 2C C4 E1 F3 65 48 25 B8 93 9D 66 A4 AD 3C 39 50 00 B9 60 66 19 8D FC 20 0A A0 56 52 8B 9F 15 D7 62 30 0D 5C C3 24 FE F8 FC 39 08 DF 87 2A B2 1C E9 F7 06 A8 53 B2 69 C3 3C D4 5E D4 74 91 6E 9D 9A A0 96 FD DB 1F 5E 09 D7 0F 25 FB 46 4E 74 15 BB AB DB 17 EE E7 64 33 D6 79 02 E4 85 79 14 6B 59 F9 43 3C 81 68 A8 B5 32 BC E6}
condition:
all of them
}
hashes
| Ainm | qoute_jpeg56a.r15 |
| MD5 | 53BE8F9B978062D4411F71010F49209E |
| SHA1 | A8C2765B3D655BA23886D663D22BDD8EF6E8E894 |
| SHA256 | 2641DAFB452562A0A92631C2849B8B9CE880F0F8F
890E643316E9276156EDC8A |
| cineál | Cartlann WinRAR |
| méid | 823014 |
| Ainm | QOUTE_JPEG56A.exe |
| MD5 | 329F6769CF21B660D5C3F5048CE30F17 |
| SHA1 | 8010CC2AF398F9F951555F7D481CE13DF60BBECF |
| SHA256 | 49F94293F2EBD8CEFF180EDDD58FA50B30DC0F08
C05B5E3BD36FD52668D196AF |
| cineál | PE (Script AutoIt Compiled) |
| méid | 1327616 |
| Ainm Bunaidh | Anaithnid |
| DátaStamp | 15.07.2019 |
| Naisc | Microsoft Linker(12.0)[EXE32] |
| MD5 | C2743AEDDADACC012EF4A632598C00C0 |
| SHA1 | 79B445DE923C92BF378B19D12A309C0E9C5851BF |
| SHA256 | 37A1961361073BEA6C6EACE6A8601F646C5B6ECD
9D625E049AD02075BA996918 |
| cineál | Cód Shell |
| méid | 1474 |
Foinse: will.com