Fallou a participación: expoñamos a AgentTesla a auga limpa. Parte 1

Recentemente, un fabricante europeo de equipos de instalación eléctrica contactou con Group-IB: o seu empregado recibiu por correo unha carta sospeitosa cun anexo malicioso. Ilya Pomerantsev, un especialista en análise de malware do Grupo CERT-IB, realizou unha análise detallada deste ficheiro, descubriu alí o software espía de AgentTesla e dixo que esperar deste tipo de malware e como é perigoso.

Con este post abrimos unha serie de artigos sobre como analizar estes ficheiros potencialmente perigosos, e agardamos aos máis curiosos o 5 de decembro para un webinar interactivo gratuíto sobre o tema "Análise de malware: análise de casos reais". Todos os detalles están baixo o corte.

Mecanismo de distribución

Sabemos que o malware chegou á máquina da vítima a través de correos electrónicos de phishing. O destinatario da carta probablemente fose BCCed.

A análise dos encabezados mostra que o remitente da carta foi falsificado. De feito, a carta deixou con vps56[.]oneworldhosting[.]com.

O anexo do correo electrónico contén un arquivo WinRar qoute_jpeg56a.r15 cun ficheiro executable malicioso QOUTE_JPEG56A.exe dentro.

Ecosistema de malware

Agora vexamos como é o ecosistema do malware en estudo. O seguinte diagrama mostra a súa estrutura e as direccións de interacción dos compoñentes.

Agora vexamos cada un dos compoñentes do malware con máis detalle.

Cargador

Ficheiro orixinal QOUTE_JPEG56A.exe é un compilado AutoIt v3 guión.

Para ofuscar o guión orixinal, un ofuscador con similar PeLock AutoIT-Ofuscator características.
A desofuscación realízase en tres etapas:

1. Eliminación da ofuscación Para-Se

   O primeiro paso é restaurar o fluxo de control do script. Control Flow Flattening é unha das formas máis comúns de protexer o código binario da aplicación da análise. As transformacións confusas aumentan drasticamente a complexidade de extraer e recoñecer algoritmos e estruturas de datos.

   

2. Recuperación de filas

   Utilízanse dúas funcións para cifrar cadeas:

   • gdorizabegkvfca - Realiza decodificación tipo Base64

     

   • xgacyukcyzxz - XOR simple byte-byte da primeira cadea coa lonxitude da segunda

     

   

3. Eliminación da ofuscación BinaryToString и Executar

   

A carga principal almacénase nunha forma dividida no directorio Fontes seccións de recursos do ficheiro.

A orde de pegado é a seguinte: TIEQHCXWFG, EMI, SPDGUHIMPV, KQJMWQQAQTKTFXTUOSW, AOCHKRWWSKWO, JSHMSJPS, NHHWXJBMTTSPXVN, BFUTIFWWXVE, HWJHO, AVZOUMVFRDWFLWU.

A función WinAPI úsase para descifrar os datos extraídos CryptDecrypt, e a clave de sesión xerada en función do valor utilízase como clave fZgFiZlJDxvuWatFRgRXZqmNCIyQgMYc.

O ficheiro executable descifrado envíase á entrada da función Executar PE, que leva a cabo Proceso de inxección в RegAsm.exe usando incorporado ShellCode (tamén coñecido como RunPE ShellCode). A autoría correspóndelle ao usuario do foro español indetectables[.]net baixo o alcume de Wardow.

Tamén cabe destacar que nun dos fíos deste foro, un ofuscador para No tellado con propiedades similares identificadas durante a análise da mostra.

se ShellCode bastante sinxelo e chama a atención só tomado prestado do grupo de hackers AnunakCarbanak. Función de hash de chamadas da API.

Tamén coñecemos casos de uso Frenchy Shellcode diferentes versións.
Ademais da funcionalidade descrita, tamén identificamos funcións inactivas:

• Bloqueo da terminación manual do proceso no xestor de tarefas

  

• Reiniciar un proceso fillo cando remate

  

• Omitir UAC

  

• Gardando a carga útil nun ficheiro

  

• Demostración de fiestras modais

  

• Agardando a que cambie a posición do cursor do rato

  

• AntiVM e AntiSandbox

  

• Autodestrución

  

• Bombeo de carga útil desde a rede

  

Sabemos que tal funcionalidade é típica do protector CypherIT, que, ao parecer, é o cargador de arranque en cuestión.

Módulo principal do software

A continuación, describiremos brevemente o módulo principal do malware e analizarémolo con máis detalle no segundo artigo. Neste caso, é unha aplicación activada . Net.

Durante a análise, descubrimos que se utilizou un ofuscador ConfuserEX.

IELibrary.dll

A biblioteca gárdase como un recurso do módulo principal e é un complemento coñecido para Axente Tesla, que ofrece funcionalidades para extraer información diversa dos navegadores Internet Explorer e Edge.

O axente Tesla é un software de espionaxe modular distribuído mediante un modelo de malware como servizo baixo o pretexto dun produto lexítimo de keylogger. O axente Tesla é capaz de extraer e transmitir as credenciais de usuario dos navegadores, clientes de correo electrónico e clientes FTP ao servidor aos atacantes, gravar datos do portapapeis e capturar a pantalla do dispositivo. No momento da análise, o sitio web oficial dos desenvolvedores non estaba dispoñible.

O punto de entrada é a función GetSavedPasswords clase InternetExplorer.

En xeral, a execución do código é lineal e non contén ningunha protección contra a análise. Só a función non realizada merece atención GetSavedCookies. Ao parecer, a funcionalidade do complemento debía ampliarse, pero isto nunca se fixo.

Anexando o cargador de arranque ao sistema

Imos estudar como está conectado o cargador de arranque ao sistema. O exemplar obxecto de estudo non se ancora, pero en eventos similares prodúcese segundo o seguinte esquema:

1. No cartafol C: Usuarios públicos créase o script Visual Basic

   Exemplo de guión:

   

2. O contido do ficheiro cargador enchégase cun carácter nulo e gárdase no cartafol %Temp%
3. No rexistro créase unha clave de execución automática para o ficheiro de script HKCUSoftwareMicrosoftWindowsCurrentVersionRun

Así, a partir dos resultados da primeira parte da análise, puidemos establecer os nomes das familias de todos os compoñentes do malware obxecto de estudo, analizar o patrón de infección e tamén obter obxectos para escribir sinaturas. Continuaremos coa análise deste obxecto no seguinte artigo, onde analizaremos o módulo principal con máis detalle Axente Tesla. Non o perdas!

Por certo, o 5 de decembro convidamos a todos os lectores a un webinar interactivo gratuíto sobre o tema “Análise de malware: análise de casos reais”, onde o autor deste artigo, especialista do CERT-GIB, mostrará en liña a primeira etapa do análise de malware: desempaquetado semiautomático de mostras usando o exemplo de tres mini-casos reais da práctica, e podes participar na análise. O seminario web é axeitado para especialistas que xa teñen experiencia na análise de ficheiros maliciosos. O rexistro realízase estrictamente desde o correo electrónico corporativo: rexistrarse. Agardando por ti!

ferida

rule AgentTesla_clean{
meta:
    author = "Group-IB"
    file = "78566E3FC49C291CB117C3D955FA34B9A9F3EEFEFAE3DE3D0212432EB18D2EAD"
    scoring = 5
    family = "AgentTesla"
strings:
    $string_format_AT = {74 00 79 00 70 00 65 00 3D 00 7B 00 30 00 7D 00 0D 00 0A 00 68 00 77 00 69 00 64 00 3D 00 7B 00 31 00 7D 00 0D 00 0A 00 74 00 69 00 6D 00 65 00 3D 00 7B 00 32 00 7D 00 0D 00 0A 00 70 00 63 00 6E 00 61 00 6D 00 65 00 3D 00 7B 00 33 00 7D 00 0D 00 0A 00 6C 00 6F 00 67 00 64 00 61 00 74 00 61 00 3D 00 7B 00 34 00 7D 00 0D 00 0A 00 73 00 63 00 72 00 65 00 65 00 6E 00 3D 00 7B 00 35 00 7D 00 0D 00 0A 00 69 00 70 00 61 00 64 00 64 00 3D 00 7B 00 36 00 7D 00 0D 00 0A 00 77 00 65 00 62 00 63 00 61 00 6D 00 5F 00 6C 00 69 00 6E 00 6B 00 3D 00 7B 00 37 00 7D 00 0D 00 0A 00 73 00 63 00 72 00 65 00 65 00 6E 00 5F 00 6C 00 69 00 6E 00 6B 00 3D 00 7B 00 38 00 7D 00 0D 00 0A 00 5B 00 70 00 61 00 73 00 73 00 77 00 6F 00 72 00 64 00 73 00 5D 00}
    $web_panel_format_string = {63 00 6C 00 69 00 65 00 6E 00 74 00 5B 00 5D 00 3D 00 7B 00 30 00 7D 00 0D 00 0A 00 6C 00 69 00 6E 00 6B 00 5B 00 5D 00 3D 00 7B 00 31 00 7D 00 0D 00 0A 00 75 00 73 00 65 00 72 00 6E 00 61 00 6D 00 65 00 5B 00 5D 00 3D 00 7B 00 32 00 7D 00 0D 00 0A 00 70 00 61 00 73 00 73 00 77 00 6F 00 72 00 64 00 5B 00 5D 00 3D 00 7B 00 33 00 7D 00 00 15 55 00 52 00 4C 00 3A 00 20 00 20 00 20 00 20 00 20 00 20 00 00 15 55 00 73 00 65 00 72 00 6E 00 61 00 6D 00 65 00 3A 00 20 00 00 15 50 00 61 00 73 00 73 00 77 00 6F 00 72 00 64 00 3A 00}
condition:
     all of them
}

rule  AgentTesla_obfuscated {
meta:
    author = "Group-IB"
    file = "41DC0D5459F25E2FDCF8797948A7B315D3CB075398D808D1772CACCC726AF6E9"
    scoring = 5
    family = "AgentTesla"
strings:
    $first_names = {61 66 6B 00 61 66 6D 00 61 66 6F 00 61 66 76 00 61 66 79 00 61 66 78 00 61 66 77 00 61 67 6A 00 61 67 6B 00 61 67 6C 00 61 67 70 00 61 67 72 00 61 67 73 00 61 67 75 00}
    $second_names = "IELibrary.resources"
condition:
     all of them
}

rule AgentTesla_module_for_IE{
meta:
    author = "Group-IB"
    file = "D55800A825792F55999ABDAD199DFA54F3184417215A298910F2C12CD9CC31EE"
    scoring = 5
    family = "AgentTesla_module_for_IE"
strings:
    $s0 = "ByteArrayToStructure" 
    $s1 = "CryptAcquireContext" 
    $s2 = "CryptCreateHash" 
    $s3 = "CryptDestroyHash" 
    $s4 = "CryptGetHashParam" 
    $s5 = "CryptHashData"
    $s6 = "CryptReleaseContext" 
    $s7 = "DecryptIePassword" 
    $s8 = "DoesURLMatchWithHash" 
    $s9 = "GetSavedCookies" 
    $s10 = "GetSavedPasswords" 
    $s11 = "GetURLHashString"  
condition:
     all of them
}

rule RunPE_shellcode {
meta:
    author = "Group-IB"
    file = "37A1961361073BEA6C6EACE6A8601F646C5B6ECD9D625E049AD02075BA996918"
    scoring = 5
    family = "RunPE_shellcode"
strings:
    $malcode = {
      C7 [2-5] EE 38 83 0C // mov     dword ptr [ebp-0A0h], 0C8338EEh
      C7 [2-5] 57 64 E1 01 // mov     dword ptr [ebp-9Ch], 1E16457h
      C7 [2-5] 18 E4 CA 08 // mov     dword ptr [ebp-98h], 8CAE418h
      C7 [2-5] E3 CA D8 03 // mov     dword ptr [ebp-94h], 3D8CAE3h
      C7 [2-5] 99 B0 48 06 // mov     dword ptr [ebp-90h], 648B099h
      C7 [2-5] 93 BA 94 03 // mov     dword ptr [ebp-8Ch], 394BA93h
      C7 [2-5] E4 C7 B9 04 // mov     dword ptr [ebp-88h], 4B9C7E4h
      C7 [2-5] E4 87 B8 04 // mov     dword ptr [ebp-84h], 4B887E4h
      C7 [2-5] A9 2D D7 01 // mov     dword ptr [ebp-80h], 1D72DA9h
      C7 [2-5] 05 D1 3D 0B // mov     dword ptr [ebp-7Ch], 0B3DD105h
      C7 [2-5] 44 27 23 0F // mov     dword ptr [ebp-78h], 0F232744h
      C7 [2-5] E8 6F 18 0D // mov     dword ptr [ebp-74h], 0D186FE8h
      }
condition:
    $malcode 
}

rule AgentTesla_AutoIT_module{
meta:
    author = "Group-IB"
    file = "49F94293F2EBD8CEFF180EDDD58FA50B30DC0F08C05B5E3BD36FD52668D196AF"
    scoring = 5
    family = "AgentTesla"
strings:                                    
    $packedexeau = {55 ED F5 9F 92 03 04 44 7E 16 6D 1F 8C D7 38 E6 29 E4 C8 CF DA 2C C4 E1 F3 65 48 25 B8 93 9D 66 A4 AD 3C 39 50 00 B9 60 66 19 8D FC 20 0A A0 56 52 8B 9F 15 D7 62 30 0D 5C C3 24 FE F8 FC 39 08 DF 87 2A B2 1C E9 F7 06 A8 53 B2 69 C3 3C D4 5E D4 74 91 6E 9D 9A A0 96 FD DB 1F 5E 09 D7 0F 25 FB 46 4E 74 15 BB AB DB 17 EE E7 64 33 D6 79 02 E4 85 79 14 6B 59 F9 43 3C 81 68 A8 B5 32 BC E6}
condition:
     all of them
}

Hashes

nome	qoute_jpeg56a.r15
MD5	53BE8F9B978062D4411F71010F49209E
SHA1	A8C2765B3D655BA23886D663D22BDD8EF6E8E894
SHA256	2641DAFB452562A0A92631C2849B8B9CE880F0F8F 890E643316E9276156EDC8A
tipo	Arquivo WinRAR
tamaño	823014

nome	QOUTE_JPEG56A.exe
MD5	329F6769CF21B660D5C3F5048CE30F17
SHA1	8010CC2AF398F9F951555F7D481CE13DF60BBECF
SHA256	49F94293F2EBD8CEFF180EDDD58FA50B30DC0F08 C05B5E3BD36FD52668D196AF
tipo	PE (Script Compilado AutoIt)
tamaño	1327616
Nome orixinal	Descoñecido
Selo de data	15.07.2019
Ligador	Microsoft Linker (12.0)[EXE32]

MD5	C2743AEDDADACC012EF4A632598C00C0
SHA1	79B445DE923C92BF378B19D12A309C0E9C5851BF
SHA256	37A1961361073BEA6C6EACE6A8601F646C5B6ECD 9D625E049AD02075BA996918
tipo	ShellCode
tamaño	1474

Fonte: www.habr.com