Hoʻomau mākou i kā mākou pūʻulu ʻatikala e pili ana i ka nānā ʻana i ka malware. IN Ma kahi hapa, ua haʻi mākou pehea ʻo Ilya Pomerantsev, kahi loea loiloi malware ma CERT Group-IB, i alakaʻi i kahi kikoʻī kikoʻī o kahi faila i loaʻa ma ka leka uila mai kekahi o nā hui ʻEulopa a ʻike i ka spyware ma laila. ʻAgentTesla. Ma kēia ʻatikala, hāʻawi ʻo Ilya i nā hopena o kahi ʻanuʻu i kēlā me kēia ʻanuʻu o ka module nui ʻAgentTesla.
ʻO Agent Tesla kahi polokalamu kiu modular i puʻunaue ʻia me ka polokalamu malware-as-a-service ma lalo o ke ʻano o kahi huahana keylogger kūpono. Hiki iā Agent Tesla ke unuhi a hoʻouna i nā hōʻoia mea hoʻohana mai nā polokalamu kele pūnaewele, nā mea leka uila a me nā mea kūʻai aku FTP i ke kikowaena i nā mea hoʻouka, hoʻopaʻa i ka ʻikepili clipboard, a me ka hopu ʻana i ka pale hāmeʻa. I ka manawa o ka nānā ʻana, ʻaʻole i loaʻa ka pūnaewele mana o nā mea hoʻomohala.
waihona hoʻonohonoho
Hōʻike ka papa ma lalo nei i ka hana e pili ana i ka laʻana āu e hoʻohana nei:
| hōʻikeʻano | waiwai |
| Hae hoʻohana KeyLogger | oiaio |
| Hae hoʻohana ʻo ScreenLogger | wahahee |
| Hoʻouna ʻo KeyLogger log i nā minuke | 20 |
| ʻO ka manawa hoʻouna ʻo ScreenLogger log i nā minuke | 20 |
| Hae mālama kī backspace. Hoʻopunipuni - ke kākau inoa wale nō. ʻOiaʻiʻo - holoi i ke kī mua | wahahee |
| ʻAno CNC. Nā koho: smtp, webpanel, ftp | smtp |
| ʻO ka hae hoʻoulu ʻana o ka thread no ka hoʻopau ʻana i nā kaʻina hana mai ka papa inoa "% filter_list%" | wahahee |
| UAC disable hae | wahahee |
| Hoʻopau ka luna hana i ka hae | wahahee |
| CMD disable hae | wahahee |
| Holo ka puka makani disable flag | wahahee |
| Hōʻalo i ka Hae Nānā Kakau | wahahee |
| E hoʻopaʻa i ka hae ma ka ʻōnaehana hoʻihoʻi hou | oiaio |
| Hoʻopau hae ka papa mana | wahahee |
| MSCONFIG hoʻopau i ka hae | wahahee |
| E hoʻopaʻa i ka papa kuhikuhi ma Explorer | wahahee |
| Hae pine | wahahee |
| Ke ala no ke kope ʻana i ka module nui ke hoʻopaʻa ʻia i ka ʻōnaehana | %folder hoʻomaka% %infolder%%insname% |
| Hae no ka hoʻonohonoho ʻana i nā ʻano "System" a me "Hidden" no ka module nui i hāʻawi ʻia i ka ʻōnaehana | wahahee |
| E hōʻailona e hoʻomaka hou i ka wā e paʻa ai i ka ʻōnaehana | wahahee |
| Haʻe no ka hoʻoneʻe ʻana i ka module nui i kahi waihona manawa | wahahee |
| UAC bypass hae | wahahee |
| Hōʻano lā a me ka manawa no ka hoʻopaʻa inoa ʻana | yyyy-MM-dd HH:mm:ss |
| Haʻe no ka hoʻohana ʻana i kahi kānana papahana no KeyLogger | oiaio |
| ʻAno kānana polokalamu. 1 - ʻimi ʻia ka inoa o ka papahana ma nā poʻo inoa pukaaniani 2 - ʻimi ʻia ka inoa o ka polokalamu ma ka inoa kaʻina hana pukaaniani |
1 |
| kānana papahana | "facebook" "twitter" "gmail" "instagram" "kiʻiʻoniʻoni" "skype" "porn" "hack" "whatsapp" "hakakā" |
Hoʻopili i ka module nui i ka ʻōnaehana
Inā hoʻonohonoho ʻia ka hae e pili ana, e kope ʻia ka module nui i ke ala i kuhikuhi ʻia ma ka config e like me ke ala e hāʻawi ʻia i ka ʻōnaehana.
Ma muli o ka waiwai mai ka config, hāʻawi ʻia ka faila i nā ʻano "Hidden" a me "System".
Hāʻawi ʻia ʻo Autorun e ʻelua mau lālā hoʻopaʻa inoa:
- HKCU SoftwareMicrosoftWindowsCurrentVersionRun%insregname%
- HKCUSOFTWAREMicrosoftWindowsCurrentVersionExplorerStartupApprovedRun %insregname%
No ka mea, komo ka bootloader i ke kaʻina hana RegAsm, ka hoʻonohonoho ʻana i ka hae hoʻomau no ka module nui e alakaʻi i nā hopena hoihoi. Ma kahi o ke kope ʻana iā ia iho, ua hoʻopili ka malware i ka faila kumu i ka ʻōnaehana RegAsm.exe, i ka manawa i hoʻokō ʻia ai ka injection.
Ka launa pū me C&C
Ma waho o ke ʻano i hoʻohana ʻia, hoʻomaka ka kamaʻilio pūnaewele me ka loaʻa ʻana o ka IP waho o ka mea i hoʻohana ʻia i ka waiwai [.]amazonaws[.]com/.
ʻO kēia ka wehewehe ʻana i nā ʻano o ka pilina pūnaewele i hōʻike ʻia ma ka polokalamu.
pūnaewele puni honua
Hana ʻia ka pilina ma o ka protocol HTTP. Hoʻokō ka malware i kahi noi POST me nā poʻomanaʻo penei:
- Luna Hoʻohana: Mozilla/5.0 (Windows U Windows NT 6.1 ru rv:1.9.2.3) Gecko/20100401 Firefox/4.0 (.NET CLR 3.5.30729)
- Hoʻohui: Mālama-Alive
- ʻAno maʻiʻo: palapala noi/x-www-form-urlencoded
Hōʻike ʻia ka helu kikowaena e ka waiwai %PostURL%. Hoʻouna ʻia ka memo i hoʻopili ʻia ma ka ʻāpana «P». Hōʻike ʻia ka mīkini hoʻopunipuni ma ka ʻāpana "Nā Algorithms Hoʻopili" (Methia 2).
ʻO ka memo i hoʻouna ʻia e like me kēia:
type={0}nhwid={1}ntime={2}npcname={3}nlogdata={4}nscreen={5}nipadd={6}nwebcam_link={7}nclient={8}nlink={9}nusername={10}npassword={11}nscreen_link={12}
ʻO ka pākuhi ʻAno hōʻike i ke ʻano memo:
hwid - Hoʻopaʻa ʻia kahi hash MD5 mai nā waiwai o ka helu serial motherboard a me ka ID processor. Hoʻohana ʻia ma ke ʻano he ID mea hoʻohana.
manawa - lawelawe e hoʻouna i ka manawa a me ka lā.
pcname - wehewehe ʻia e like me <Inoa mea hoʻohana>/<Inoa kamepiula>.
logdata - ka ʻikepili log.
Ke hoʻouna nei i nā ʻōlelo huna, ua like ka memo:
type={0}nhwid={1}ntime={2}npcname={3}nlogdata={4}nscreen={5}nipadd={6}nwebcam_link={7}nscreen_link={8}n[passwords]
Eia nā wehewehe ʻana o ka ʻikepili i ʻaihue ʻia ma ke ʻano nclient[]={0}nlink[]={1}nusername[]={2}npassword[]={3}.
smtp
Hana ʻia ka pilina ma o ka protocol SMTP. Aia ka leka i hoʻouna ʻia ma ke ʻano HTML. ʻĀpana KINO loaʻa ke ʻano:
ʻO ke poʻo o ka leka ke ʻano maʻamau: <NĀ MEA hoʻohana>/< INOA KOMPUTERE> < ANO NĀ MEA>. ʻAʻole i hoʻopili ʻia nā mea i loko o ka leka, a me nā mea hoʻopili.
Hana ʻia ka pilina ma o ka protocol FTP. Hoʻololi ʻia kahi faila me ka inoa i ke kikowaena kikoʻī <KĀNĀ MEA>_<NĀ MEA HOʻohana>-<NANO NĀ COMPUTER>_<LA ME KA MANAWA>.html. ʻAʻole hoʻopili ʻia nā mea o ka faila.
Hoʻopili algorithms
Ke hoʻohana nei kēia hihia i nā ʻano hana hoʻopili:
ʻO keʻano 1
Hoʻohana ʻia kēia ʻano hana e hoʻopili ai i nā kaula i loko o ka module nui. ʻO ka algorithm i hoʻohana ʻia no ka hoʻopili ʻana AES.
ʻO ka mea hoʻokomo he helu decimal ʻeono. Hana ʻia ka hoʻololi ʻana ma luna ona:
f(x) = (((x >> 2 - 31059) ^ 6380) - 1363) >> 3
ʻO ka waiwai i loaʻa, ʻo ia ka papa kuhikuhi no ka ʻikepili i hoʻokomo ʻia.
He kaʻina kaʻina o kēlā me kēia ʻeleʻele DWORD. I ka hui ana DWORD loaʻa kahi ʻano paita: ʻo ka 32 paita mua ke kī hoʻopunipuni, a ukali ʻia e 16 bytes o ka vector hoʻomaka, a ʻo nā bytes i koe ka ʻikepili i hoʻopili ʻia.
ʻO keʻano 2
Hoʻohana ʻia ka algorithm 3DES i ke ʻano ECB me ka padding i nā paita holoʻokoʻa (PKCS7).
Hōʻike ʻia ke kī e ka ʻāpana %urlkey%, akā naʻe, hoʻohana ka encryption i kāna MD5 hash.
Hana ʻino
Hoʻohana ka laʻana i lalo i nā papahana e hoʻokō i kāna hana ʻino:
ʻO KeyLogger
Inā loaʻa kahi hae malware e hoʻohana ana i ka hana WinAPI SetWindowsHookEx hāʻawi i kāna mea hoʻohana ponoʻī no nā hanana kī ma ka papa keyboard. Hoʻomaka ka hana lima ma ka loaʻa ʻana o ke poʻo inoa o ka puka makani hana.
Inā hoʻonohonoho ʻia ka hae kānana noi, hana ʻia ke kānana ma muli o ke ʻano i ʻōlelo ʻia:
- ʻimi ʻia ka inoa o ka papahana ma nā inoa pukaaniani
- ʻike ʻia ka inoa o ka polokalamu ma ka inoa kaʻina hana pukaaniani
A laila, hoʻohui ʻia kahi moʻolelo i ka log me ka ʻike e pili ana i ka puka makani ikaika i ka ʻano:
A laila hoʻopaʻa ʻia ka ʻike e pili ana i ke kī i kaomi ʻia:
| Kiʻi | Hoʻopaʻa leo |
| Paena | Ma muli o ka hae hana kī Backspace: False – {BACK} ʻOiaʻiʻo - holoi i ke kī mua |
| KAPALAKA | {CAPSLOCK} |
| ESC | {ESC} |
| ʻAoʻaoUp | {PageUp} |
| Down | ↓ |
| e kāpae i | {DEL} |
| " | " |
| F5 | {F5} |
| & | & |
| F10 | {F10} |
| TAB | {TAB} |
| < | < |
| > | > |
| Space | |
| F8 | {F8} |
| F12 | {F12} |
| F9 | {F9} |
| ALT + TAB | {ALT+TAB} |
| hopena | {END} |
| F4 | {F4} |
| F2 | {F2} |
| CTRL | {CTRL} |
| F6 | {F6} |
| Akau | → |
| Up | ↑ |
| F1 | {F1} |
| Hema | ← |
| Palapala iho | {Palapala iho} |
| hookomo | {Hookomo} |
| loaa | {lanakila} |
| ʻO NumLock | {NumLock} |
| F11 | {F11} |
| F3 | {F3} |
| HOME | {HOME} |
| ENTER | {KOMO} |
| ALT + F4 | {ALT+F4} |
| F7 | {F7} |
| Kiʻi ʻē aʻe | Aia ke ʻano ma luna a haʻahaʻa paha ma muli o nā kūlana o nā kī CapsLock a me Shift |
Ma kahi alapine i kuhikuhi ʻia, hoʻouna ʻia ka log i hōʻiliʻili ʻia i ke kikowaena. Inā ʻaʻole i kūleʻa ka hoʻoili ʻana, mālama ʻia ka log i kahi faila %TEMP%log.tmp ma ke ano:
Ke ahi ka manawa, e hoʻoili ʻia ka faila i ke kikowaena.
ScreenLogger
Ma kahi alapine i kuhikuhi ʻia, hana ka malware i kahi kiʻi paʻi ma ke ʻano ʻO Jpeg me ke ano e like ai like me 50 a mālama ia i kahi faila %APPDATA %<Ke kaʻina like ʻole o 10 mau huapalapala>.jpg. Ma hope o ka hoʻoili ʻana, holoi ʻia ka faila.
ClipboardLogger
Inā hoʻonoho ʻia ka hae kūpono, e hana ʻia nā mea pani i ka kikokikona i hoʻopaʻa ʻia e like me ka papa ma lalo.
Ma hope o kēia, hoʻokomo ʻia ka kikokikona i loko o ka log:
mea huna huna
Hiki i ka malware ke hoʻoiho i nā ʻōlelo huna mai kēia mau noi:
| Nā Kūpono Pūnaewele | Nā mea kūʻai leka uila | Nā mea kūʻai FTP |
| ikona | Outlook | FileZilla |
| Firefox | Kaukoki | WS_FTP |
| IE/Edge | Foxmail | ʻO WinSCP |
| Safari | ʻO ka leka uila | CoreFTP |
| Pūnaewele Haka | Pākuʻi nui | FTP Navigator |
| Yandex | Pocomail | FlashFXP |
| ʻO Comodo | Eudora | SmartFTP |
| ChromePlus | ʻO ka ʻōpeʻa | FTPCommander |
| Chromium | Pane Postbox | |
| 'O Torch | ClawsMail | |
| 7Star | ||
| E ka hoaaloha | ||
| ʻO BraveSoftware | ʻO nā mea kūʻai aku ʻo Jabber | Nā mea kūʻai VPN |
| CentBrowser | Psi/Psi+ | Wehe VPN |
| ʻO Chedot | ||
| CocCoc | ||
| Mākaʻikaʻi Elements | Download Managers | |
| Pūnaewele ʻImi Epic | Internet Download manakia | |
| Kometa | JDownloader | |
| orbitum | ||
| Sputnik | ||
| uCozMedia | ||
| ʻO Vivaldi | ||
| SeaMonkey | ||
| Pūnaehana Flock | ||
| UC Pūnaewele | ||
| BlackHawk | ||
| CyberFox | ||
| K-Meleon | ||
| ʻO IceCat | ||
| hau hau | ||
| ʻO PaleMoon | ||
| WaterFox | ||
| ʻO Falkon Browser |
Kūʻē i ka nānā ʻana i ka dynamic
- Ke hoʻohana nei i ka hana hiamoe. ʻAe iā ʻoe e kāʻalo i kekahi mau pahu one ma ka manawa pau
- Ka luku ʻana i kahi kaula Wahi.E hoʻomaopopo. Hiki iā ʻoe ke hūnā i ka ʻoiaʻiʻo o ka hoʻoiho ʻana i kahi faila mai ka Pūnaewele
- I ka palena %filter_list% kuhikuhi i ka papa inoa o nā kaʻina hana e hoʻopau ai ka polokalamu kiloʻino i nā manawa o hoʻokahi kekona
- Hoʻokaʻawale UAC
- Hoʻopau i ka luna hana
- Hoʻokaʻawale CMD
- Hoʻopau i ka puka makani «Vыполнить»
- Hoʻopau i ka Panel Mana
- Hoʻopau i kahi mea hana Kau ka hoʻonohonoho ʻana
- Hoʻopau i nā wahi hoʻihoʻi ʻōnaehana
- Hoʻopau i ka papa kuhikuhi ʻatikala ma Explorer
- Hoʻokaʻawale KANAKA
- Bypass UAC:
Nā hiʻohiʻona hana ʻole o ka module nui
I ka wā o ka nānā ʻana o ka module nui, ua ʻike ʻia nā hana i kuleana no ka hoʻolaha ʻana i ka pūnaewele a me ka nānā ʻana i ke kūlana o ka ʻiole.
i hoaka
E nānā ʻia nā hanana no ka hoʻopili ʻana i nā media wehe ʻia ma kahi pae ʻokoʻa. Ke hoʻopili ʻia, kope ʻia ka polokalamu malware me ka inoa i ke kumu o ka ʻōnaehana faila scr.exe, ma hope o ka huli ʻana i nā faila me ka hoʻonui lnk. Ka hui o kēlā me kēia kanaka lnk hoʻololi i cmd.exe /c hoʻomaka scr.exe&hoʻomaka <ke kauoha kumu>& puka.
Hāʻawi ʻia kēlā me kēia papa kuhikuhi ma ke kumu o ka media i kahi ʻano "Huna" a ua hana ʻia kahi faila me ka hoʻonui lnk me ka inoa o ka papa kuhikuhi huna a me ke kauoha cmd.exe /c hoʻomaka scr.exe&explorer /root,"%CD%<DIRECTORY NAME>" & puka.
Kiʻi ʻIole
ʻO ke ala no ka hana interception ua like ia me ka mea i hoʻohana ʻia no ka keyboard. Ke kūkulu ʻia nei kēia hana.
Hana waihona
| Ala | hōʻikeʻano |
| %Temp%temp.tmp | Loaʻa i kahi counter no ka hoʻāʻo ʻana i ka UAC bypass |
| %startupfolder%%infolder%%insname% | ʻO ke ala e hāʻawi ʻia i ka ʻōnaehana HPE |
| %Temp%tmpG{Ka manawa o kēia manawa i milliseconds}.tmp | Ala no ka hoʻihoʻi ʻana i ka module nui |
| %Temp%log.tmp | waihona waihona |
| %AppData%{He kaʻina like ʻole o 10 mau huapalapala}.jpeg | Nānāʻana |
| C:UsersPublic{He kaʻina hana ʻole o 10 huaʻōlelo}.vbs | ʻO ke ala i kahi faila vbs hiki i ka bootloader ke hoʻohana e hoʻopili i ka ʻōnaehana |
| %Temp%{Ka inoa waihona maʻamau}{Ka inoa faila} | Ke ala i hoʻohana ʻia e ka bootloader e hoʻopili iā ia iho i ka ʻōnaehana |
Kiʻi hoʻouka kaua
Mahalo i ka ʻikepili hōʻoia paʻakikī, ua hiki iā mākou ke komo i ke kikowaena kauoha.
Ua ʻae kēia iā mākou e ʻike i ka leka uila hope loa o nā mea hoʻouka:
junaid[.]in***@gmail[.]com.
Hoʻopaʻa inoa ʻia ka inoa kikowaena o ke kikowaena kauoha i ka leka uila sg***@gmail[.]com.
hopena
I ka wā o ka loiloi kikoʻī o ka malware i hoʻohana ʻia i ka hoʻouka ʻana, ua hiki iā mākou ke hoʻokumu i kāna hana a loaʻa i ka papa inoa piha loa o nā hōʻailona o ka ʻae ʻana e pili ana i kēia hihia. ʻO ka hoʻomaopopo ʻana i nā ʻano hana o ka launa pū ʻana ma waena o ka malware i hiki ke hāʻawi i nā ʻōlelo aʻoaʻo no ka hoʻoponopono ʻana i ka hana o nā mea hana palekana ʻike, a me ke kākau ʻana i nā lula IDS paʻa.
Pilikia nui ʻAgentTesla e like me DataStealer i ka mea ʻaʻole pono e hoʻokō i ka ʻōnaehana a kali paha i kahi kauoha mana e hana i kāna mau hana. I ka manawa ma ka mīkini, hoʻomaka koke ia e hōʻiliʻili i ka ʻike pilikino a hoʻoili iā ia i CnC. ʻO kēia ʻano hana hoʻomāinoino i kekahi mau ʻano e like me ke ʻano o ka ransomware, me ka ʻokoʻa wale nō ʻaʻole pono ka mea hope i kahi pilina pūnaewele. Inā ʻoe e hālāwai me kēia ʻohana, ma hope o ka hoʻomaʻemaʻe ʻana i ka ʻōnaehana maʻi mai ka malware ponoʻī, pono ʻoe e hoʻololi i nā ʻōlelo huna a pau i hiki ke mālama ʻia i loko o kekahi o nā noi i helu ʻia ma luna.
Ke nānā nei i mua, e ʻōlelo kākou e hoʻouna ana nā mea hoʻouka ʻAgentTesla, hoʻololi pinepine ʻia ka mea hoʻoili pahu pahu mua. Hāʻawi kēia iā ʻoe e noho ʻike ʻole ʻia e nā scanner static a me nā mea nānā heuristic i ka manawa o ka hoʻouka ʻana. A ʻo ka manaʻo o kēia ʻohana e hoʻomaka koke i kā lākou mau hana e hoʻohana pono ʻole nā nānā ʻōnaehana. ʻO ke ala maikaʻi loa e hakakā ai iā AgentTesla ʻo ia ka loiloi mua i loko o kahi pahu one.
Ma ka ʻatikala ʻekolu o kēia pūʻulu e nānā mākou i nā bootloaders ʻē aʻe i hoʻohana ʻia ʻAgentTesla, a e aʻo pū i ke kaʻina hana o kā lākou wehe ʻana i ka semi-aunoa. Mai poina!
Hash
| SHA1 |
| A8C2765B3D655BA23886D663D22BDD8EF6E8E894 |
| 8010CC2AF398F9F951555F7D481CE13DF60BBECF |
| 79B445DE923C92BF378B19D12A309C0E9C5851BF |
| 15839B7AB0417FA35F2858722F0BD47BDF840D62 |
| 1C981EF3EEA8548A30E8D7BF8D0D61F9224288DD |
ʻO C&C
| URL |
| sina-c0m[.]icu |
| smtp[.]sina-c0m[.]icu |
RegKey
| Kakau inoa |
| HKCUSoftwareMicrosoftWindowsCurrentVersionRun{Paʻi inoa} |
| HKCUSoftwareMicrosoftWindowsCurrentVersionRun%insregname% |
| HKCUSOFTWAREMicrosoftWindowsCurrentVersionExplorerStartupApprovedRun%insregname% |
Mutex
ʻAʻohe hōʻailona.
waihona
| Hana waihona |
| %Temp%temp.tmp |
| %startupfolder%%infolder%%insname% |
| %Temp%tmpG{Ka manawa o kēia manawa i milliseconds}.tmp |
| %Temp%log.tmp |
| %AppData%{He kaʻina like ʻole o 10 mau huapalapala}.jpeg |
| C:UsersPublic{He kaʻina hana ʻole o 10 huaʻōlelo}.vbs |
| %Temp%{Ka inoa waihona maʻamau}{Ka inoa faila} |
Nā Laʻana ʻIke
| inoa | Unknown |
| MD5 | F7722DD8660B261EA13B710062B59C43 |
| SHA1 | 15839B7AB0417FA35F2858722F0BD47BDF840D62 |
| SHA256 | 41DC0D5459F25E2FDCF8797948A7B315D3CB0753 98D808D1772CACCC726AF6E9 |
| ʻAno | PE (.NET) |
| Size | 327680 |
| Inoa Kumu | AZZRIDKGGSLTYFUUBCCRRCUMRKTOXFVPDKGAGPUZI_20190701133545943.exe |
| DateStamp | 01.07.2019 |
| Kāpekole | VB.NET |
| inoa | IELlibrary.dll |
| MD5 | BFB160A89F4A607A60464631ED3ED9FD |
| SHA1 | 1C981EF3EEA8548A30E8D7BF8D0D61F9224288DD |
| SHA256 | D55800A825792F55999ABDAD199DFA54F3184417 215A298910F2C12CD9CC31EE |
| ʻAno | PE (.NET DLL) |
| Size | 16896 |
| Inoa Kumu | IELlibrary.dll |
| DateStamp | 11.10.2016 |
| Kāpekole | Microsoft Linker(48.0*) |
Source: www.habr.com