Tha sinn a’ leantainn leis an t-sreath de artaigilean againn a tha coisrigte do mhion-sgrùdadh malware. ANNS
Is e bathar-bog brathaidh modular a th’ ann an Agent Tesla air a sgaoileadh a ’cleachdadh modal malware-mar-a-seirbheis fo chruth toradh keylogger dligheach. Tha an neach-ionaid Tesla comasach air teisteanasan luchd-cleachdaidh a thoirt a-mach agus a ghluasad bho bhrobhsairean, teachdaichean post-d agus teachdaichean FTP chun t-seirbheisiche gu luchd-ionnsaigh, a’ clàradh dàta clipboard, agus a’ glacadh scrion an inneil. Aig àm an sgrùdaidh, cha robh làrach-lìn oifigeil an luchd-leasachaidh ri fhaighinn.
Faidhle rèiteachaidh
Tha an clàr gu h-ìosal a’ liostadh dè an gnìomh a tha a’ buntainn ris an t-sampall a tha thu a’ cleachdadh:
Tuairisgeul | luach |
Bratach cleachdadh KeyLogger | fìor |
Bratach cleachdaidh ScreenLogger | ceàrr |
Log KeyLogger a 'cur eadar-ama ann am mionaidean | 20 |
Log ScreenLogger a’ cur eadar-ama ann am mionaidean | 20 |
Bratach làimhseachadh iuchair backspace. Ceàrr - logadh a-mhàin. Fìor - cuir às don iuchair roimhe | ceàrr |
Seòrsa CNC. Roghainnean: smtp, webpanel, ftp | SMTP |
Bratach gnìomhachaidh snàthainn airson pròiseasan crìochnachaidh on liosta “%filter_list%” | ceàrr |
Cuir à comas UAC bratach | ceàrr |
Cuir à comas am manaidsear gnìomh a’ bhratach | ceàrr |
CMD à comas bratach | ceàrr |
Ruith bratach cuir à comas na h-uinneige | ceàrr |
Sealladair a’ Chlàraidh Cuir à comas bratach | ceàrr |
Cuir à comas bratach puingean ath-nuadhachadh siostam | fìor |
Cuiridh am pannal smachd bratach à comas | ceàrr |
MSCONFIG cuir à comas bratach | ceàrr |
Bratach gus an clàr-taice co-theacsa ann an Explorer a dhì-cheadachadh | ceàrr |
Bratach pin | ceàrr |
Slighe airson lethbhreac a dhèanamh den phrìomh mhodal nuair a thèid a phutadh chun t-siostam | % startupfolder% % infolder%% inname% |
Bratach airson na buadhan “System” agus “Hidden” a shuidheachadh airson a’ phrìomh mhodal a chaidh a shònrachadh don t-siostam | ceàrr |
Bratach gus ath-thòiseachadh a dhèanamh nuair a thèid a phinnadh chun t-siostam | ceàrr |
Bratach airson am prìomh mhodal a ghluasad gu pasgan sealach | ceàrr |
Bratach seach-rathad UAC | ceàrr |
Cruth ceann-latha agus àm airson logadh a-steach | yyyy-MM-dd HH:mm: ss |
Bratach airson a bhith a 'cleachdadh criathrag prògram airson KeyLogger | fìor |
Seòrsa filter prògram a. 1 - tha ainm a’ phrògraim air a sgrùdadh ann an tiotalan na h-uinneige 2 - thathar a’ coimhead airson ainm a’ phrògraim ann an ainm pròiseas na h-uinneige |
1 |
Prògram filter | "facebook" "twitter" "gmail" "Instagram" "film" "skype" "porn" "hack" "wotsapp" "discord" |
A 'ceangal a' phrìomh mhodal ris an t-siostam
Ma tha am bratach co-fhreagarrach air a shuidheachadh, thèid am prìomh mhodal a chopaigeadh chun t-slighe a tha air a shònrachadh san config mar an t-slighe a thèid a shònrachadh don t-siostam.
A rèir an luach bhon config, gheibh am faidhle na buadhan “Hidden” agus “System”.
Tha Autorun air a thoirt seachad le dà mheur clàraidh:
- Bathar-bog HKCUMicrosoftWindowsCurrentVersionRun%insregname%
- HKCUSOFTWAREMicrosoftWindowsCurrentVersionExplorerStartupApprovedRun % insregname%
Leis gu bheil an bootloader a ’toirt a-steach don phròiseas RegAsm, le bhith a’ suidheachadh a’ bhratach leantainneach airson a’ phrìomh mhodal a’ leantainn gu builean gu math inntinneach. An àite a bhith ga chopaigeadh fhèin, cheangail an malware am faidhle tùsail ris an t-siostam RegAsm.exe, nuair a chaidh an stealladh a dhèanamh.
Eadar-obrachadh le C&C
Ge bith dè an dòigh a thathar a 'cleachdadh, bidh conaltradh lìonra a' tòiseachadh le bhith a 'faighinn IP taobh a-muigh an neach-fulang a' cleachdadh a 'ghoireis
Tha na leanas a’ toirt cunntas air na dòighean eadar-obrachaidh lìonra a tha air an taisbeanadh sa bhathar-bog.
clàr-lìn
Bidh an eadar-obrachadh a’ tachairt tro phròtacal HTTP. Bidh an malware a’ cur an gnìomh iarrtas POST leis na cinn a leanas:
- Neach-cleachdaidh: Mozilla/5.0 (Windows U Windows NT 6.1 ru rv: 1.9.2.3) Gecko/20100401 Firefox/4.0 (.NET CLR 3.5.30729)
- Ceangal: Cùm beò
- Seòrsa-susbaint: iarrtas/x-www-form-urlencoded
Tha seòladh an fhrithealaiche air a shònrachadh leis an luach %PostURL%. Thèid an teachdaireachd chrioptaichte a chuir sa pharameter «P». Tha an uidheamachd crioptachaidh air a mhìneachadh san earrann "Algorithms crioptachaidh" (dòigh 2).
Tha an teachdaireachd a chaidh a chraoladh a’ coimhead mar seo:
type={0}nhwid={1}ntime={2}npcname={3}nlogdata={4}nscreen={5}nipadd={6}nwebcam_link={7}nclient={8}nlink={9}nusername={10}npassword={11}nscreen_link={12}
Parameter seòrsa a’ comharrachadh an seòrsa teachdaireachd:
huid - tha hash MD5 air a chlàradh bho luachan àireamh sreathach motherboard agus ID pròiseasar. As dualtaiche a chleachdadh mar ID Cleachdaiche.
ùine - a’ frithealadh gus an ùine agus an ceann-latha gnàthach a chraoladh.
ainm pc - air a mhìneachadh mar /.
dàta loga - dàta log.
Nuair a bhios tu a’ tar-chuir faclan-faire, tha coltas air an teachdaireachd:
type={0}nhwid={1}ntime={2}npcname={3}nlogdata={4}nscreen={5}nipadd={6}nwebcam_link={7}nscreen_link={8}n[passwords]
Tha na leanas mar thuairisgeul air an dàta a chaidh a ghoid anns a’ chruth nclient[]={0}nlink[]={1}username[]={2}npassword[]={3}.
SMTP
Bidh an eadar-obrachadh a’ tachairt tro phròtacal SMTP. Tha an litir tar-chuir ann an cruth HTML. Paramadair A 'BHUIDHINN tha am foirm aige:
Tha am foirm coitcheann aig ceann na litreach: / . Chan eil susbaint na litreach, cho math ris na ceanglachan aice, air a chrioptachadh.
Bidh an eadar-obrachadh a’ tachairt tro phròtacal FTP. Thèid faidhle leis an ainm a ghluasad chun an fhrithealaiche ainmichte _ - _.html. Chan eil susbaint an fhaidhle air a chrioptachadh.
Algorithms crioptachaidh
Bidh a’ chùis seo a’ cleachdadh na dòighean crioptachaidh a leanas:
Modh 1
Tha an dòigh seo air a chleachdadh gus sreangan a chrioptachadh sa phrìomh mhodal. Tha an algairim a thathar a 'cleachdadh airson crioptachadh AES.
Is e àireamh deicheach sia-dhigitach a th’ anns an cuir a-steach. Tha an cruth-atharrachadh a leanas air a dhèanamh air:
f(x) = ((((x >> 2 - 31059) ^ 6380) - 1363) >> 3
Is e an luach a thig às an clàr-amais airson an raon dàta freumhaichte.
Is e sreath a th’ anns gach eileamaid array DWORD. Nuair a thèid an aonachadh DWORD gheibhear sreath de bytes: is e a’ chiad 32 bytes an iuchair crioptachaidh, air a leantainn le 16 bytes den vectar tòiseachaidh, agus is e na bytes a tha air fhàgail an dàta crioptaichte.
Modh 2
Algorithm air a chleachdadh 3DES anns a 'mhodh ECB le pleadhag ann am bytes slàn (PKCS7).
Tha am paramadair air a shònrachadh leis an iuchair %urlkey%, ge-tà, bidh crioptachadh a’ cleachdadh a hash MD5.
Gnìomh droch-rùnach
Bidh an sampall fo sgrùdadh a’ cleachdadh nam prògraman a leanas gus a ghnìomh droch-rùnach a chuir an gnìomh:
prìomh neach-clàraidh
Ma tha bratach malware co-fhreagarrach a’ cleachdadh gnìomh WinAPI Suidhich WindowsHookEx a’ sònrachadh an inneal-làimhseachaidh aige fhèin airson tachartasan prìomh phreas air a’ mheur-chlàr. Tòisichidh gnìomh an làimhseachaidh le bhith a’ faighinn tiotal na h-uinneige gnìomhach.
Ma thèid bratach sìoltachaidh an tagraidh a shuidheachadh, thèid sìoladh a dhèanamh a rèir an t-seòrsa ainmichte:
- thathar a’ coimhead airson ainm a’ phrògraim ann an tiotalan na h-uinneige
- tha ainm a’ phrògraim air a choimhead ann an ainm pròiseas na h-uinneige
An ath rud, thèid clàr a chur ris a’ log le fiosrachadh mun uinneag ghnìomhach anns a’ chruth:
An uairsin tha fiosrachadh mun phrìomh bhrùthadh air a chlàradh:
Prìomh | Clàradh |
Backspace | A rèir bratach giollachd iuchrach Backspace: Meallta - {BACK} Fìor - cuir às don iuchair roimhe |
CAPSLOCK | {CAPSLOCK} |
ESC | {ESC} |
DuilleagUp | {Duilleag Suas} |
Down | ↓ |
Aithrisean- | {DEL} |
" | " |
F5 | {F5} |
& | & |
F10 | {F10} |
tab | {TAB} |
< | < |
> | > |
Bar spàs | |
F8 | {F8} |
F12 | {F12} |
F9 | {F9} |
ALT + TAB | {ALT+TAB} |
CRÌOCH | {END} |
F4 | {F4} |
F2 | {F2} |
Ctrl | {CTRL} |
F6 | {F6} |
Deas | → |
Up | ↑ |
F1 | {F1} |
dh'fhàg | ← |
DuilleagDown | {Duilleag a-nuas} |
Cuir a-steach | {cuir a-steach} |
Win | {win} |
Numlock | {NumLock} |
F11 | {F11} |
F3 | {F3} |
DACHAIGH | {HOME} |
ENTER | {ENTER} |
ALT + F4 | {ALT+F4} |
F7 | {F7} |
Iuchrach eile | Tha an caractar ann an cùis àrd no ìosal a rèir suidheachadh nan iuchraichean CapsLock agus Shift |
Aig tricead sònraichte, thèid an loga cruinnichte a chuir chun t-seirbheisiche. Mura h-eil an gluasad soirbheachail, thèid an loga a shàbhaladh gu faidhle %TEMP%log.tmp ann an cruth:
Nuair a loisgeas an timer, thèid am faidhle a ghluasad chun t-seirbheisiche.
ScreenLogger
Aig tricead sònraichte, bidh an malware a 'cruthachadh dealbh-sgrìn anns a' chruth Jpeg le brìgh càileachd co-ionann ri 50 agus ga shàbhaladh gu faidhle %APPDATA % .jpg. Às deidh an gluasad, thèid am faidhle a dhubhadh às.
Clàr-chlàraidh
Ma thèid a’ bhratach iomchaidh a shuidheachadh, thèid feadhainn eile a chur nan àite anns an teacsa eadar-ghlacte a rèir a’ chlàr gu h-ìosal.
Às deidh seo, thèid an teacsa a chuir a-steach don log:
PasswordStealer
Faodaidh an malware faclan-faire a luchdachadh sìos bho na tagraidhean a leanas:
Браузеры | Luchd-dèiligidh puist | Luchd-cleachdaidh FTP |
Chrome | Outlook | FileZilla |
Firefox | Thunderbird | WS_FTP |
IE/Eilean | Foxmail | WinSCP |
safari | Post Opera | CoreFTP |
Brabhsair Opera | IncrediMail | Luchdaich a-nuas FTP Navigator |
Yandex | Pocomail | FlashFXP |
Comodo | Eudora | SmartFTP |
ChromePlus | TheBat | Ceannard FTP |
Chromium | Bogsa-puist | |
Torch | ClawsMail | |
7Star | ||
Càraid | ||
Bathar-bog Brave | Luchd-dèiligidh Jabber | Luchd-dèiligidh VPN |
CentBrowser | Psi/psi+ | Fosgail VPN |
Chedot | ||
CocCoc | ||
Brabhsair eileamaidean | Luchdaich sìos Manaidsearan | |
Brabhsair prìobhaideachd Epic | Internet Download Manaidsear | |
Comet | JDownloader | |
orbitum | ||
Sputnik | ||
uCozMedia | ||
Vivaldi | ||
Air adhart | ||
Brabhsair treud | ||
Seòladair UC | ||
Dubh-dhubh | ||
CyberFox | ||
K-meleon | ||
Cat Deighe | ||
Dragon Deighe | ||
PaleMoon | ||
Uisge-Sionnach | ||
Brabhsair Falkon |
An aghaidh mion-sgrùdadh fiùghantach
- A 'cleachdadh an gnìomh Sleep. A’ leigeil leat faighinn seachad air cuid de bhogsaichean gainmhich ro àm a-muigh
- A 'sgrios snàithlean Sòn.Identifier. A ’leigeil leat fìrinn luchdachadh sìos faidhle bhon eadar-lìn fhalach
- Ann am paramadair %filter_list% a’ sònrachadh liosta de phròiseasan a thig an malware gu crìch aig amannan diog
- Fuasgladh UAC
- A’ cur dheth am manaidsear gnìomh
- Fuasgladh CMD
- A 'cur casg air uinneag "Ruith"
- A 'cur casg air a' Phannal Smachd
- A 'cur dheth inneal RegEdit
- A 'cur casg air puingean ath-nuadhachadh siostam
- Cuir dheth an clàr-taice co-theacsa ann an Explorer
- Fuasgladh MSCONFIG
- Seach-rathad UAC:
Feartan neo-ghnìomhach den phrìomh mhodal
Rè mion-sgrùdadh air a 'phrìomh mhodal, chaidh gnìomhan a chomharrachadh a bha an urra ri bhith a' sgaoileadh thairis air an lìonra agus a 'cumail sùil air suidheachadh na luchaige.
Worm
Bithear a’ cumail sùil air tachartasan airson meadhanan a ghabhas toirt air falbh ann an snàithlean air leth. Nuair a tha e ceangailte, thèid an malware leis an ainm a chopaigeadh gu freumh an t-siostam faidhle scr.exe, às deidh sin bidh e a’ lorg faidhlichean leis an leudachadh lnk. Sgioba a h-uile duine lnk atharrachaidhean air cmd.exe /c tòisich scr.exe&tòiseachadh & fàgail.
Tha feart air a thoirt do gach eòlaire aig cridhe nam meadhanan "falaichte" agus thèid faidhle a chruthachadh leis an leudachadh lnk le ainm an eòlaire falaichte agus an àithne cmd.exe /c tòisich scr.exe&explorer /root,"%CD% " & fàg.
Lorgaire lucha
Tha an dòigh airson eadar-ghabhail a dhèanamh coltach ris an fhear a chleachdar airson a’ mheur-chlàr. Tha an gnìomh seo fhathast ga leasachadh.
Gnìomh faidhle
frith-rathad | Tuairisgeul |
% Temp% temp.tmp | Tha cuntair ann airson oidhirpean seach-rathad UAC |
% startupfolder%% infolder%% inname% | Slighe ri bhith air a shònrachadh don t-siostam HPE |
%Temp%tmpG{An ùine làithreach ann am milliseconds}.tmp | Slighe airson cùl-taic den phrìomh mhodal |
%temp%log.tmp | Faidhle loga |
%AppData%{ Sreath neo-riaghailteach de 10 caractaran}.jpeg | Seallaidhean-sgrìn |
C:UsersPublic{Sreath neo-riaghailteach de 10 caractaran}.vbs | Slighe gu faidhle vbs as urrainn don bootloader a chleachdadh gus a cheangal ris an t-siostam |
%Temp%{Ainm pasgan gnàthaichte}{Ainm faidhle} | Slighe a chleachdas am bootloader gus e fhèin a cheangal ris an t-siostam |
Pròifil neach-ionnsaigh
Taing do dhàta dearbhaidh le còd cruaidh, bha e comasach dhuinn faighinn chun ionad-àithne.
Leig seo leinn post-d deireannach an luchd-ionnsaigh a chomharrachadh:
junaid[.] ann an ***@gmail[.]com.
Tha ainm àrainn an ionaid àithne clàraichte don phost sg ***@gmail[.]com.
co-dhùnadh
Rè mion-sgrùdadh mionaideach air an malware a chaidh a chleachdadh san ionnsaigh, bha e comasach dhuinn a ghnìomhachd a stèidheachadh agus an liosta as coileanta fhaighinn de chomharran co-rèiteachaidh buntainneach don chùis seo. Le bhith a’ tuigsinn dòighean eadar-obrachaidh lìonra eadar malware bha e comasach molaidhean a thoirt seachad airson obrachadh innealan tèarainteachd fiosrachaidh atharrachadh, a bharrachd air riaghailtean seasmhach IDS a sgrìobhadh.
Prìomh chunnart AgentTesla mar DataStealer leis nach fheum e gealltainn don t-siostam no feitheamh ri àithne smachd gus a ghnìomhan a choileanadh. Aon uair ‘s gu bheil e air an inneal, bidh e sa bhad a’ tòiseachadh a ’tional fiosrachadh prìobhaideach agus ga ghluasad gu CNC. Tha an giùlan ionnsaigheach seo ann an cuid de dhòighean coltach ri giùlan ransomware, leis an aon eadar-dhealachadh nach eil feum aig an fheadhainn mu dheireadh eadhon air ceangal lìonra. Ma choinnicheas tu ris an teaghlach seo, às deidh dhut an siostam gabhaltach a ghlanadh bhon malware fhèin, bu chòir dhut gu cinnteach na faclan-faire uile atharrachadh a dh’ fhaodadh, gu teòiridheach co-dhiù, a shàbhaladh ann an aon de na tagraidhean gu h-àrd.
A 'coimhead air adhart, canaidh sinn gu bheil luchd-ionnsaigh a' cur AgentTesla, bidh an luchd-tòiseachaidh tùsail air atharrachadh gu math tric. Leigidh seo leat a bhith gun mhothachadh le sganairean statach agus sgrùdairean heuristic aig àm an ionnsaigh. Agus tha claonadh an teaghlaich seo a bhith a’ tòiseachadh air na gnìomhan aca sa bhad a’ fàgail sgrùdairean siostam gun fheum. Is e an dòigh as fheàrr air cuir an-aghaidh AgentTesla mion-sgrùdadh tòiseachaidh ann am bogsa gainmhich.
Anns an treas artaigil den t-sreath seo seallaidh sinn ri luchdan boot eile a thathas a’ cleachdadh AgentTesla, agus cuideachd sgrùdadh a dhèanamh air pròiseas an dì-phapadh leth-fèin-ghluasadach. Na caill!
Hash
SHA1 |
A8C2765B3D655BA23886D663D22BDD8EF6E8E894 |
8010CC2AF398F9F951555F7D481CE13DF60BBECF |
79B445DE923C92BF378B19D12A309C0E9C5851BF |
15839B7AB0417FA35F2858722F0BD47BDF840D62 |
1C981EF3EEA8548A30E8D7BF8D0D61F9224288DD |
C&C
URL |
sina-c0m[.]icu |
smtp[.]sina-c0m[.]icu |
RegKey
Clàradh |
HKCUSoftwareMicrosoftWindowsCurrentVersionRun{Ainm an sgriobt} |
HKCUSoftwareMicrosoftWindowsCurrentVersionRun%insregname% |
HKCUSOFTWAREMicrosoftWindowsCurrentVersionExplorerStartupApprovedRun%insregname% |
Mutex
Chan eil comharran ann.
faidhlichean
Gnìomh faidhle |
% Temp% temp.tmp |
% startupfolder%% infolder%% inname% |
%Temp%tmpG{An ùine làithreach ann am milliseconds}.tmp |
%temp%log.tmp |
%AppData%{ Sreath neo-riaghailteach de 10 caractaran}.jpeg |
C:UsersPublic{Sreath neo-riaghailteach de 10 caractaran}.vbs |
%Temp%{Ainm pasgan gnàthaichte}{Ainm faidhle} |
Fiosrachadh eisimpleirean
Ainm | Unknown |
MD5 | F7722DD8660B261EA13B710062B59C43 |
SHA1 | 15839B7AB0417FA35F2858722F0BD47BDF840D62 |
SHA256 | 41DC0D5459F25E2FDCF8797948A7B315D3CB0753 98D808D1772CACCC726AF6E9 |
Type | PE (.NET) |
meud | 327680 |
Ainm tùsail | AZZRIDKGGSLTYFUUBCCRRCUMRKTOXFVPDKGAGPUZI_20190701133545943.exe |
Ceann-latha Stampa | 01.07.2019 |
Tiomnadh | VB.NET |
Ainm | IELibrary.dll |
MD5 | BFB160A89F4A607A60464631ED3ED9FD |
SHA1 | 1C981EF3EEA8548A30E8D7BF8D0D61F9224288DD |
SHA256 | D55800A825792F55999ABDAD199DFA54F3184417 215A298910F2C12CD9CC31EE |
Type | PE (.NET DLL) |
meud | 16896 |
Ainm tùsail | IELibrary.dll |
Ceann-latha Stampa | 11.10.2016 |
Tiomnadh | Ceangalaiche Microsoft (48.0*) |
Source: www.habr.com