Tha sinn a’ leantainn leis an t-sreath de artaigilean againn a tha coisrigte do mhion-sgrùdadh malware. ANNS Ann am pàirt, dh’ innis sinn mar a rinn Ilya Pomerantsev, eòlaiche mion-sgrùdadh malware aig CERT Group-IB, mion-sgrùdadh mionaideach air faidhle a fhuaireadh tron phost bho aon de na companaidhean Eòrpach agus a lorg spyware an sin AgentTesla. San artaigil seo, tha Ilya a 'toirt seachad toraidhean mion-sgrùdadh ceum air cheum air a' phrìomh mhodal AgentTesla.
Is e bathar-bog brathaidh modular a th’ ann an Agent Tesla air a sgaoileadh a ’cleachdadh modal malware-mar-a-seirbheis fo chruth toradh keylogger dligheach. Tha an neach-ionaid Tesla comasach air teisteanasan luchd-cleachdaidh a thoirt a-mach agus a ghluasad bho bhrobhsairean, teachdaichean post-d agus teachdaichean FTP chun t-seirbheisiche gu luchd-ionnsaigh, a’ clàradh dàta clipboard, agus a’ glacadh scrion an inneil. Aig àm an sgrùdaidh, cha robh làrach-lìn oifigeil an luchd-leasachaidh ri fhaighinn.
Faidhle rèiteachaidh
Tha an clàr gu h-ìosal a’ liostadh dè an gnìomh a tha a’ buntainn ris an t-sampall a tha thu a’ cleachdadh:
| Tuairisgeul | luach |
| Bratach cleachdadh KeyLogger | fìor |
| Bratach cleachdaidh ScreenLogger | ceàrr |
| Log KeyLogger a 'cur eadar-ama ann am mionaidean | 20 |
| Log ScreenLogger a’ cur eadar-ama ann am mionaidean | 20 |
| Bratach làimhseachadh iuchair backspace. Ceàrr - logadh a-mhàin. Fìor - cuir às don iuchair roimhe | ceàrr |
| Seòrsa CNC. Roghainnean: smtp, webpanel, ftp | SMTP |
| Bratach gnìomhachaidh snàthainn airson pròiseasan crìochnachaidh on liosta “%filter_list%” | ceàrr |
| Cuir à comas UAC bratach | ceàrr |
| Cuir à comas am manaidsear gnìomh a’ bhratach | ceàrr |
| CMD à comas bratach | ceàrr |
| Ruith bratach cuir à comas na h-uinneige | ceàrr |
| Sealladair a’ Chlàraidh Cuir à comas bratach | ceàrr |
| Cuir à comas bratach puingean ath-nuadhachadh siostam | fìor |
| Cuiridh am pannal smachd bratach à comas | ceàrr |
| MSCONFIG cuir à comas bratach | ceàrr |
| Bratach gus an clàr-taice co-theacsa ann an Explorer a dhì-cheadachadh | ceàrr |
| Bratach pin | ceàrr |
| Slighe airson lethbhreac a dhèanamh den phrìomh mhodal nuair a thèid a phutadh chun t-siostam | % startupfolder% % infolder%% inname% |
| Bratach airson na buadhan “System” agus “Hidden” a shuidheachadh airson a’ phrìomh mhodal a chaidh a shònrachadh don t-siostam | ceàrr |
| Bratach gus ath-thòiseachadh a dhèanamh nuair a thèid a phinnadh chun t-siostam | ceàrr |
| Bratach airson am prìomh mhodal a ghluasad gu pasgan sealach | ceàrr |
| Bratach seach-rathad UAC | ceàrr |
| Cruth ceann-latha agus àm airson logadh a-steach | yyyy-MM-dd HH:mm: ss |
| Bratach airson a bhith a 'cleachdadh criathrag prògram airson KeyLogger | fìor |
| Seòrsa filter prògram a. 1 - tha ainm a’ phrògraim air a sgrùdadh ann an tiotalan na h-uinneige 2 - thathar a’ coimhead airson ainm a’ phrògraim ann an ainm pròiseas na h-uinneige |
1 |
| Prògram filter | "facebook" "twitter" "gmail" "Instagram" "film" "skype" "porn" "hack" "wotsapp" "discord" |
A 'ceangal a' phrìomh mhodal ris an t-siostam
Ma tha am bratach co-fhreagarrach air a shuidheachadh, thèid am prìomh mhodal a chopaigeadh chun t-slighe a tha air a shònrachadh san config mar an t-slighe a thèid a shònrachadh don t-siostam.
A rèir an luach bhon config, gheibh am faidhle na buadhan “Hidden” agus “System”.
Tha Autorun air a thoirt seachad le dà mheur clàraidh:
- Bathar-bog HKCUMicrosoftWindowsCurrentVersionRun%insregname%
- HKCUSOFTWAREMicrosoftWindowsCurrentVersionExplorerStartupApprovedRun % insregname%
Leis gu bheil an bootloader a ’toirt a-steach don phròiseas RegAsm, le bhith a’ suidheachadh a’ bhratach leantainneach airson a’ phrìomh mhodal a’ leantainn gu builean gu math inntinneach. An àite a bhith ga chopaigeadh fhèin, cheangail an malware am faidhle tùsail ris an t-siostam RegAsm.exe, nuair a chaidh an stealladh a dhèanamh.
Eadar-obrachadh le C&C
Ge bith dè an dòigh a thathar a 'cleachdadh, bidh conaltradh lìonra a' tòiseachadh le bhith a 'faighinn IP taobh a-muigh an neach-fulang a' cleachdadh a 'ghoireis [.]amazonaws[.]com/.
Tha na leanas a’ toirt cunntas air na dòighean eadar-obrachaidh lìonra a tha air an taisbeanadh sa bhathar-bog.
clàr-lìn
Bidh an eadar-obrachadh a’ tachairt tro phròtacal HTTP. Bidh an malware a’ cur an gnìomh iarrtas POST leis na cinn a leanas:
- Neach-cleachdaidh: Mozilla/5.0 (Windows U Windows NT 6.1 ru rv: 1.9.2.3) Gecko/20100401 Firefox/4.0 (.NET CLR 3.5.30729)
- Ceangal: Cùm beò
- Seòrsa-susbaint: iarrtas/x-www-form-urlencoded
Tha seòladh an fhrithealaiche air a shònrachadh leis an luach %PostURL%. Thèid an teachdaireachd chrioptaichte a chuir sa pharameter «P». Tha an uidheamachd crioptachaidh air a mhìneachadh san earrann "Algorithms crioptachaidh" (dòigh 2).
Tha an teachdaireachd a chaidh a chraoladh a’ coimhead mar seo:
type={0}nhwid={1}ntime={2}npcname={3}nlogdata={4}nscreen={5}nipadd={6}nwebcam_link={7}nclient={8}nlink={9}nusername={10}npassword={11}nscreen_link={12}
Parameter seòrsa a’ comharrachadh an seòrsa teachdaireachd:
huid - tha hash MD5 air a chlàradh bho luachan àireamh sreathach motherboard agus ID pròiseasar. As dualtaiche a chleachdadh mar ID Cleachdaiche.
ùine - a’ frithealadh gus an ùine agus an ceann-latha gnàthach a chraoladh.
ainm pc - air a mhìneachadh mar /.
dàta loga - dàta log.
Nuair a bhios tu a’ tar-chuir faclan-faire, tha coltas air an teachdaireachd:
type={0}nhwid={1}ntime={2}npcname={3}nlogdata={4}nscreen={5}nipadd={6}nwebcam_link={7}nscreen_link={8}n[passwords]
Tha na leanas mar thuairisgeul air an dàta a chaidh a ghoid anns a’ chruth nclient[]={0}nlink[]={1}username[]={2}npassword[]={3}.
SMTP
Bidh an eadar-obrachadh a’ tachairt tro phròtacal SMTP. Tha an litir tar-chuir ann an cruth HTML. Paramadair A 'BHUIDHINN tha am foirm aige:
Tha am foirm coitcheann aig ceann na litreach: / . Chan eil susbaint na litreach, cho math ris na ceanglachan aice, air a chrioptachadh.
Bidh an eadar-obrachadh a’ tachairt tro phròtacal FTP. Thèid faidhle leis an ainm a ghluasad chun an fhrithealaiche ainmichte _ - _.html. Chan eil susbaint an fhaidhle air a chrioptachadh.
Algorithms crioptachaidh
Bidh a’ chùis seo a’ cleachdadh na dòighean crioptachaidh a leanas:
Modh 1
Tha an dòigh seo air a chleachdadh gus sreangan a chrioptachadh sa phrìomh mhodal. Tha an algairim a thathar a 'cleachdadh airson crioptachadh AES.
Is e àireamh deicheach sia-dhigitach a th’ anns an cuir a-steach. Tha an cruth-atharrachadh a leanas air a dhèanamh air:
f(x) = ((((x >> 2 - 31059) ^ 6380) - 1363) >> 3
Is e an luach a thig às an clàr-amais airson an raon dàta freumhaichte.
Is e sreath a th’ anns gach eileamaid array DWORD. Nuair a thèid an aonachadh DWORD gheibhear sreath de bytes: is e a’ chiad 32 bytes an iuchair crioptachaidh, air a leantainn le 16 bytes den vectar tòiseachaidh, agus is e na bytes a tha air fhàgail an dàta crioptaichte.
Modh 2
Algorithm air a chleachdadh 3DES anns a 'mhodh ECB le pleadhag ann am bytes slàn (PKCS7).
Tha am paramadair air a shònrachadh leis an iuchair %urlkey%, ge-tà, bidh crioptachadh a’ cleachdadh a hash MD5.
Gnìomh droch-rùnach
Bidh an sampall fo sgrùdadh a’ cleachdadh nam prògraman a leanas gus a ghnìomh droch-rùnach a chuir an gnìomh:
prìomh neach-clàraidh
Ma tha bratach malware co-fhreagarrach a’ cleachdadh gnìomh WinAPI Suidhich WindowsHookEx a’ sònrachadh an inneal-làimhseachaidh aige fhèin airson tachartasan prìomh phreas air a’ mheur-chlàr. Tòisichidh gnìomh an làimhseachaidh le bhith a’ faighinn tiotal na h-uinneige gnìomhach.
Ma thèid bratach sìoltachaidh an tagraidh a shuidheachadh, thèid sìoladh a dhèanamh a rèir an t-seòrsa ainmichte:
- thathar a’ coimhead airson ainm a’ phrògraim ann an tiotalan na h-uinneige
- tha ainm a’ phrògraim air a choimhead ann an ainm pròiseas na h-uinneige
An ath rud, thèid clàr a chur ris a’ log le fiosrachadh mun uinneag ghnìomhach anns a’ chruth:
An uairsin tha fiosrachadh mun phrìomh bhrùthadh air a chlàradh:
| Prìomh | Clàradh |
| Backspace | A rèir bratach giollachd iuchrach Backspace: Meallta - {BACK} Fìor - cuir às don iuchair roimhe |
| CAPSLOCK | {CAPSLOCK} |
| ESC | {ESC} |
| DuilleagUp | {Duilleag Suas} |
| Down | ↓ |
| Aithrisean- | {DEL} |
| " | " |
| F5 | {F5} |
| & | & |
| F10 | {F10} |
| tab | {TAB} |
| < | < |
| > | > |
| Bar spàs | |
| F8 | {F8} |
| F12 | {F12} |
| F9 | {F9} |
| ALT + TAB | {ALT+TAB} |
| CRÌOCH | {END} |
| F4 | {F4} |
| F2 | {F2} |
| Ctrl | {CTRL} |
| F6 | {F6} |
| Deas | → |
| Up | ↑ |
| F1 | {F1} |
| dh'fhàg | ← |
| DuilleagDown | {Duilleag a-nuas} |
| Cuir a-steach | {cuir a-steach} |
| Win | {win} |
| Numlock | {NumLock} |
| F11 | {F11} |
| F3 | {F3} |
| DACHAIGH | {HOME} |
| ENTER | {ENTER} |
| ALT + F4 | {ALT+F4} |
| F7 | {F7} |
| Iuchrach eile | Tha an caractar ann an cùis àrd no ìosal a rèir suidheachadh nan iuchraichean CapsLock agus Shift |
Aig tricead sònraichte, thèid an loga cruinnichte a chuir chun t-seirbheisiche. Mura h-eil an gluasad soirbheachail, thèid an loga a shàbhaladh gu faidhle %TEMP%log.tmp ann an cruth:
Nuair a loisgeas an timer, thèid am faidhle a ghluasad chun t-seirbheisiche.
ScreenLogger
Aig tricead sònraichte, bidh an malware a 'cruthachadh dealbh-sgrìn anns a' chruth Jpeg le brìgh càileachd co-ionann ri 50 agus ga shàbhaladh gu faidhle %APPDATA % .jpg. Às deidh an gluasad, thèid am faidhle a dhubhadh às.
Clàr-chlàraidh
Ma thèid a’ bhratach iomchaidh a shuidheachadh, thèid feadhainn eile a chur nan àite anns an teacsa eadar-ghlacte a rèir a’ chlàr gu h-ìosal.
Às deidh seo, thèid an teacsa a chuir a-steach don log:
PasswordStealer
Faodaidh an malware faclan-faire a luchdachadh sìos bho na tagraidhean a leanas:
| Браузеры | Luchd-dèiligidh puist | Luchd-cleachdaidh FTP |
| Chrome | Outlook | FileZilla |
| Firefox | Thunderbird | WS_FTP |
| IE/Eilean | Foxmail | WinSCP |
| safari | Post Opera | CoreFTP |
| Brabhsair Opera | IncrediMail | Luchdaich a-nuas FTP Navigator |
| Yandex | Pocomail | FlashFXP |
| Comodo | Eudora | SmartFTP |
| ChromePlus | TheBat | Ceannard FTP |
| Chromium | Bogsa-puist | |
| Torch | ClawsMail | |
| 7Star | ||
| Càraid | ||
| Bathar-bog Brave | Luchd-dèiligidh Jabber | Luchd-dèiligidh VPN |
| CentBrowser | Psi/psi+ | Fosgail VPN |
| Chedot | ||
| CocCoc | ||
| Brabhsair eileamaidean | Luchdaich sìos Manaidsearan | |
| Brabhsair prìobhaideachd Epic | Internet Download Manaidsear | |
| Comet | JDownloader | |
| orbitum | ||
| Sputnik | ||
| uCozMedia | ||
| Vivaldi | ||
| Air adhart | ||
| Brabhsair treud | ||
| Seòladair UC | ||
| Dubh-dhubh | ||
| CyberFox | ||
| K-meleon | ||
| Cat Deighe | ||
| Dragon Deighe | ||
| PaleMoon | ||
| Uisge-Sionnach | ||
| Brabhsair Falkon |
An aghaidh mion-sgrùdadh fiùghantach
- A 'cleachdadh an gnìomh Sleep. A’ leigeil leat faighinn seachad air cuid de bhogsaichean gainmhich ro àm a-muigh
- A 'sgrios snàithlean Sòn.Identifier. A ’leigeil leat fìrinn luchdachadh sìos faidhle bhon eadar-lìn fhalach
- Ann am paramadair %filter_list% a’ sònrachadh liosta de phròiseasan a thig an malware gu crìch aig amannan diog
- Fuasgladh UAC
- A’ cur dheth am manaidsear gnìomh
- Fuasgladh CMD
- A 'cur casg air uinneag "Ruith"
- A 'cur casg air a' Phannal Smachd
- A 'cur dheth inneal RegEdit
- A 'cur casg air puingean ath-nuadhachadh siostam
- Cuir dheth an clàr-taice co-theacsa ann an Explorer
- Fuasgladh MSCONFIG
- Seach-rathad UAC:
Feartan neo-ghnìomhach den phrìomh mhodal
Rè mion-sgrùdadh air a 'phrìomh mhodal, chaidh gnìomhan a chomharrachadh a bha an urra ri bhith a' sgaoileadh thairis air an lìonra agus a 'cumail sùil air suidheachadh na luchaige.
Worm
Bithear a’ cumail sùil air tachartasan airson meadhanan a ghabhas toirt air falbh ann an snàithlean air leth. Nuair a tha e ceangailte, thèid an malware leis an ainm a chopaigeadh gu freumh an t-siostam faidhle scr.exe, às deidh sin bidh e a’ lorg faidhlichean leis an leudachadh lnk. Sgioba a h-uile duine lnk atharrachaidhean air cmd.exe /c tòisich scr.exe&tòiseachadh & fàgail.
Tha feart air a thoirt do gach eòlaire aig cridhe nam meadhanan "falaichte" agus thèid faidhle a chruthachadh leis an leudachadh lnk le ainm an eòlaire falaichte agus an àithne cmd.exe /c tòisich scr.exe&explorer /root,"%CD% " & fàg.
Lorgaire lucha
Tha an dòigh airson eadar-ghabhail a dhèanamh coltach ris an fhear a chleachdar airson a’ mheur-chlàr. Tha an gnìomh seo fhathast ga leasachadh.
Gnìomh faidhle
| frith-rathad | Tuairisgeul |
| % Temp% temp.tmp | Tha cuntair ann airson oidhirpean seach-rathad UAC |
| % startupfolder%% infolder%% inname% | Slighe ri bhith air a shònrachadh don t-siostam HPE |
| %Temp%tmpG{An ùine làithreach ann am milliseconds}.tmp | Slighe airson cùl-taic den phrìomh mhodal |
| %temp%log.tmp | Faidhle loga |
| %AppData%{ Sreath neo-riaghailteach de 10 caractaran}.jpeg | Seallaidhean-sgrìn |
| C:UsersPublic{Sreath neo-riaghailteach de 10 caractaran}.vbs | Slighe gu faidhle vbs as urrainn don bootloader a chleachdadh gus a cheangal ris an t-siostam |
| %Temp%{Ainm pasgan gnàthaichte}{Ainm faidhle} | Slighe a chleachdas am bootloader gus e fhèin a cheangal ris an t-siostam |
Pròifil neach-ionnsaigh
Taing do dhàta dearbhaidh le còd cruaidh, bha e comasach dhuinn faighinn chun ionad-àithne.
Leig seo leinn post-d deireannach an luchd-ionnsaigh a chomharrachadh:
junaid[.] ann an ***@gmail[.]com.
Tha ainm àrainn an ionaid àithne clàraichte don phost sg ***@gmail[.]com.
co-dhùnadh
Rè mion-sgrùdadh mionaideach air an malware a chaidh a chleachdadh san ionnsaigh, bha e comasach dhuinn a ghnìomhachd a stèidheachadh agus an liosta as coileanta fhaighinn de chomharran co-rèiteachaidh buntainneach don chùis seo. Le bhith a’ tuigsinn dòighean eadar-obrachaidh lìonra eadar malware bha e comasach molaidhean a thoirt seachad airson obrachadh innealan tèarainteachd fiosrachaidh atharrachadh, a bharrachd air riaghailtean seasmhach IDS a sgrìobhadh.
Prìomh chunnart AgentTesla mar DataStealer leis nach fheum e gealltainn don t-siostam no feitheamh ri àithne smachd gus a ghnìomhan a choileanadh. Aon uair ‘s gu bheil e air an inneal, bidh e sa bhad a’ tòiseachadh a ’tional fiosrachadh prìobhaideach agus ga ghluasad gu CNC. Tha an giùlan ionnsaigheach seo ann an cuid de dhòighean coltach ri giùlan ransomware, leis an aon eadar-dhealachadh nach eil feum aig an fheadhainn mu dheireadh eadhon air ceangal lìonra. Ma choinnicheas tu ris an teaghlach seo, às deidh dhut an siostam gabhaltach a ghlanadh bhon malware fhèin, bu chòir dhut gu cinnteach na faclan-faire uile atharrachadh a dh’ fhaodadh, gu teòiridheach co-dhiù, a shàbhaladh ann an aon de na tagraidhean gu h-àrd.
A 'coimhead air adhart, canaidh sinn gu bheil luchd-ionnsaigh a' cur AgentTesla, bidh an luchd-tòiseachaidh tùsail air atharrachadh gu math tric. Leigidh seo leat a bhith gun mhothachadh le sganairean statach agus sgrùdairean heuristic aig àm an ionnsaigh. Agus tha claonadh an teaghlaich seo a bhith a’ tòiseachadh air na gnìomhan aca sa bhad a’ fàgail sgrùdairean siostam gun fheum. Is e an dòigh as fheàrr air cuir an-aghaidh AgentTesla mion-sgrùdadh tòiseachaidh ann am bogsa gainmhich.
Anns an treas artaigil den t-sreath seo seallaidh sinn ri luchdan boot eile a thathas a’ cleachdadh AgentTesla, agus cuideachd sgrùdadh a dhèanamh air pròiseas an dì-phapadh leth-fèin-ghluasadach. Na caill!
Hash
| SHA1 |
| A8C2765B3D655BA23886D663D22BDD8EF6E8E894 |
| 8010CC2AF398F9F951555F7D481CE13DF60BBECF |
| 79B445DE923C92BF378B19D12A309C0E9C5851BF |
| 15839B7AB0417FA35F2858722F0BD47BDF840D62 |
| 1C981EF3EEA8548A30E8D7BF8D0D61F9224288DD |
C&C
| URL |
| sina-c0m[.]icu |
| smtp[.]sina-c0m[.]icu |
RegKey
| Clàradh |
| HKCUSoftwareMicrosoftWindowsCurrentVersionRun{Ainm an sgriobt} |
| HKCUSoftwareMicrosoftWindowsCurrentVersionRun%insregname% |
| HKCUSOFTWAREMicrosoftWindowsCurrentVersionExplorerStartupApprovedRun%insregname% |
Mutex
Chan eil comharran ann.
faidhlichean
| Gnìomh faidhle |
| % Temp% temp.tmp |
| % startupfolder%% infolder%% inname% |
| %Temp%tmpG{An ùine làithreach ann am milliseconds}.tmp |
| %temp%log.tmp |
| %AppData%{ Sreath neo-riaghailteach de 10 caractaran}.jpeg |
| C:UsersPublic{Sreath neo-riaghailteach de 10 caractaran}.vbs |
| %Temp%{Ainm pasgan gnàthaichte}{Ainm faidhle} |
Fiosrachadh eisimpleirean
| Ainm | Unknown |
| MD5 | F7722DD8660B261EA13B710062B59C43 |
| SHA1 | 15839B7AB0417FA35F2858722F0BD47BDF840D62 |
| SHA256 | 41DC0D5459F25E2FDCF8797948A7B315D3CB0753 98D808D1772CACCC726AF6E9 |
| Type | PE (.NET) |
| meud | 327680 |
| Ainm tùsail | AZZRIDKGGSLTYFUUBCCRRCUMRKTOXFVPDKGAGPUZI_20190701133545943.exe |
| Ceann-latha Stampa | 01.07.2019 |
| Tiomnadh | VB.NET |
| Ainm | IELibrary.dll |
| MD5 | BFB160A89F4A607A60464631ED3ED9FD |
| SHA1 | 1C981EF3EEA8548A30E8D7BF8D0D61F9224288DD |
| SHA256 | D55800A825792F55999ABDAD199DFA54F3184417 215A298910F2C12CD9CC31EE |
| Type | PE (.NET DLL) |
| meud | 16896 |
| Ainm tùsail | IELibrary.dll |
| Ceann-latha Stampa | 11.10.2016 |
| Tiomnadh | Ceangalaiche Microsoft (48.0*) |
Source: www.habr.com