Hoʻomau mākou i kā mākou pūʻulu ʻatikala e pili ana i ka nānā ʻana i ka malware. IN
ʻO Agent Tesla kahi polokalamu kiu modular i puʻunaue ʻia me ka polokalamu malware-as-a-service ma lalo o ke ʻano o kahi huahana keylogger kūpono. Hiki iā Agent Tesla ke unuhi a hoʻouna i nā hōʻoia mea hoʻohana mai nā polokalamu kele pūnaewele, nā mea leka uila a me nā mea kūʻai aku FTP i ke kikowaena i nā mea hoʻouka, hoʻopaʻa i ka ʻikepili clipboard, a me ka hopu ʻana i ka pale hāmeʻa. I ka manawa o ka nānā ʻana, ʻaʻole i loaʻa ka pūnaewele mana o nā mea hoʻomohala.
waihona hoʻonohonoho
Hōʻike ka papa ma lalo nei i ka hana e pili ana i ka laʻana āu e hoʻohana nei:
hōʻikeʻano | waiwai |
Hae hoʻohana KeyLogger | oiaio |
Hae hoʻohana ʻo ScreenLogger | wahahee |
Hoʻouna ʻo KeyLogger log i nā minuke | 20 |
ʻO ka manawa hoʻouna ʻo ScreenLogger log i nā minuke | 20 |
Hae mālama kī backspace. Hoʻopunipuni - ke kākau inoa wale nō. ʻOiaʻiʻo - holoi i ke kī mua | wahahee |
ʻAno CNC. Nā koho: smtp, webpanel, ftp | smtp |
ʻO ka hae hoʻoulu ʻana o ka thread no ka hoʻopau ʻana i nā kaʻina hana mai ka papa inoa "% filter_list%" | wahahee |
UAC disable hae | wahahee |
Hoʻopau ka luna hana i ka hae | wahahee |
CMD disable hae | wahahee |
Holo ka puka makani disable flag | wahahee |
Hōʻalo i ka Hae Nānā Kakau | wahahee |
E hoʻopaʻa i ka hae ma ka ʻōnaehana hoʻihoʻi hou | oiaio |
Hoʻopau hae ka papa mana | wahahee |
MSCONFIG hoʻopau i ka hae | wahahee |
E hoʻopaʻa i ka papa kuhikuhi ma Explorer | wahahee |
Hae pine | wahahee |
Ke ala no ke kope ʻana i ka module nui ke hoʻopaʻa ʻia i ka ʻōnaehana | %folder hoʻomaka% %infolder%%insname% |
Hae no ka hoʻonohonoho ʻana i nā ʻano "System" a me "Hidden" no ka module nui i hāʻawi ʻia i ka ʻōnaehana | wahahee |
E hōʻailona e hoʻomaka hou i ka wā e paʻa ai i ka ʻōnaehana | wahahee |
Haʻe no ka hoʻoneʻe ʻana i ka module nui i kahi waihona manawa | wahahee |
UAC bypass hae | wahahee |
Hōʻano lā a me ka manawa no ka hoʻopaʻa inoa ʻana | yyyy-MM-dd HH:mm:ss |
Haʻe no ka hoʻohana ʻana i kahi kānana papahana no KeyLogger | oiaio |
ʻAno kānana polokalamu. 1 - ʻimi ʻia ka inoa o ka papahana ma nā poʻo inoa pukaaniani 2 - ʻimi ʻia ka inoa o ka polokalamu ma ka inoa kaʻina hana pukaaniani |
1 |
kānana papahana | "facebook" "twitter" "gmail" "instagram" "kiʻiʻoniʻoni" "skype" "porn" "hack" "whatsapp" "hakakā" |
Hoʻopili i ka module nui i ka ʻōnaehana
Inā hoʻonohonoho ʻia ka hae e pili ana, e kope ʻia ka module nui i ke ala i kuhikuhi ʻia ma ka config e like me ke ala e hāʻawi ʻia i ka ʻōnaehana.
Ma muli o ka waiwai mai ka config, hāʻawi ʻia ka faila i nā ʻano "Hidden" a me "System".
Hāʻawi ʻia ʻo Autorun e ʻelua mau lālā hoʻopaʻa inoa:
- HKCU SoftwareMicrosoftWindowsCurrentVersionRun%insregname%
- HKCUSOFTWAREMicrosoftWindowsCurrentVersionExplorerStartupApprovedRun %insregname%
No ka mea, komo ka bootloader i ke kaʻina hana RegAsm, ka hoʻonohonoho ʻana i ka hae hoʻomau no ka module nui e alakaʻi i nā hopena hoihoi. Ma kahi o ke kope ʻana iā ia iho, ua hoʻopili ka malware i ka faila kumu i ka ʻōnaehana RegAsm.exe, i ka manawa i hoʻokō ʻia ai ka injection.
Ka launa pū me C&C
Ma waho o ke ʻano i hoʻohana ʻia, hoʻomaka ka kamaʻilio pūnaewele me ka loaʻa ʻana o ka IP waho o ka mea i hoʻohana ʻia i ka waiwai
ʻO kēia ka wehewehe ʻana i nā ʻano o ka pilina pūnaewele i hōʻike ʻia ma ka polokalamu.
pūnaewele puni honua
Hana ʻia ka pilina ma o ka protocol HTTP. Hoʻokō ka malware i kahi noi POST me nā poʻomanaʻo penei:
- Luna Hoʻohana: Mozilla/5.0 (Windows U Windows NT 6.1 ru rv:1.9.2.3) Gecko/20100401 Firefox/4.0 (.NET CLR 3.5.30729)
- Hoʻohui: Mālama-Alive
- ʻAno maʻiʻo: palapala noi/x-www-form-urlencoded
Hōʻike ʻia ka helu kikowaena e ka waiwai %PostURL%. Hoʻouna ʻia ka memo i hoʻopili ʻia ma ka ʻāpana «P». Hōʻike ʻia ka mīkini hoʻopunipuni ma ka ʻāpana "Nā Algorithms Hoʻopili" (Methia 2).
ʻO ka memo i hoʻouna ʻia e like me kēia:
type={0}nhwid={1}ntime={2}npcname={3}nlogdata={4}nscreen={5}nipadd={6}nwebcam_link={7}nclient={8}nlink={9}nusername={10}npassword={11}nscreen_link={12}
ʻO ka pākuhi ʻAno hōʻike i ke ʻano memo:
hwid - Hoʻopaʻa ʻia kahi hash MD5 mai nā waiwai o ka helu serial motherboard a me ka ID processor. Hoʻohana ʻia ma ke ʻano he ID mea hoʻohana.
manawa - lawelawe e hoʻouna i ka manawa a me ka lā.
pcname - wehewehe ʻia e like me <Inoa mea hoʻohana>/<Inoa kamepiula>.
logdata - ka ʻikepili log.
Ke hoʻouna nei i nā ʻōlelo huna, ua like ka memo:
type={0}nhwid={1}ntime={2}npcname={3}nlogdata={4}nscreen={5}nipadd={6}nwebcam_link={7}nscreen_link={8}n[passwords]
Eia nā wehewehe ʻana o ka ʻikepili i ʻaihue ʻia ma ke ʻano nclient[]={0}nlink[]={1}nusername[]={2}npassword[]={3}.
smtp
Hana ʻia ka pilina ma o ka protocol SMTP. Aia ka leka i hoʻouna ʻia ma ke ʻano HTML. ʻĀpana KINO loaʻa ke ʻano:
ʻO ke poʻo o ka leka ke ʻano maʻamau: <NĀ MEA hoʻohana>/< INOA KOMPUTERE> < ANO NĀ MEA>. ʻAʻole i hoʻopili ʻia nā mea i loko o ka leka, a me nā mea hoʻopili.
Hana ʻia ka pilina ma o ka protocol FTP. Hoʻololi ʻia kahi faila me ka inoa i ke kikowaena kikoʻī <KĀNĀ MEA>_<NĀ MEA HOʻohana>-<NANO NĀ COMPUTER>_<LA ME KA MANAWA>.html. ʻAʻole hoʻopili ʻia nā mea o ka faila.
Hoʻopili algorithms
Ke hoʻohana nei kēia hihia i nā ʻano hana hoʻopili:
ʻO keʻano 1
Hoʻohana ʻia kēia ʻano hana e hoʻopili ai i nā kaula i loko o ka module nui. ʻO ka algorithm i hoʻohana ʻia no ka hoʻopili ʻana AES.
ʻO ka mea hoʻokomo he helu decimal ʻeono. Hana ʻia ka hoʻololi ʻana ma luna ona:
f(x) = (((x >> 2 - 31059) ^ 6380) - 1363) >> 3
ʻO ka waiwai i loaʻa, ʻo ia ka papa kuhikuhi no ka ʻikepili i hoʻokomo ʻia.
He kaʻina kaʻina o kēlā me kēia ʻeleʻele DWORD. I ka hui ana DWORD loaʻa kahi ʻano paita: ʻo ka 32 paita mua ke kī hoʻopunipuni, a ukali ʻia e 16 bytes o ka vector hoʻomaka, a ʻo nā bytes i koe ka ʻikepili i hoʻopili ʻia.
ʻO keʻano 2
Hoʻohana ʻia ka algorithm 3DES i ke ʻano ECB me ka padding i nā paita holoʻokoʻa (PKCS7).
Hōʻike ʻia ke kī e ka ʻāpana %urlkey%, akā naʻe, hoʻohana ka encryption i kāna MD5 hash.
Hana ʻino
Hoʻohana ka laʻana i lalo i nā papahana e hoʻokō i kāna hana ʻino:
ʻO KeyLogger
Inā loaʻa kahi hae malware e hoʻohana ana i ka hana WinAPI SetWindowsHookEx hāʻawi i kāna mea hoʻohana ponoʻī no nā hanana kī ma ka papa keyboard. Hoʻomaka ka hana lima ma ka loaʻa ʻana o ke poʻo inoa o ka puka makani hana.
Inā hoʻonohonoho ʻia ka hae kānana noi, hana ʻia ke kānana ma muli o ke ʻano i ʻōlelo ʻia:
- ʻimi ʻia ka inoa o ka papahana ma nā inoa pukaaniani
- ʻike ʻia ka inoa o ka polokalamu ma ka inoa kaʻina hana pukaaniani
A laila, hoʻohui ʻia kahi moʻolelo i ka log me ka ʻike e pili ana i ka puka makani ikaika i ka ʻano:
A laila hoʻopaʻa ʻia ka ʻike e pili ana i ke kī i kaomi ʻia:
Kiʻi | Hoʻopaʻa leo |
Paena | Ma muli o ka hae hana kī Backspace: False – {BACK} ʻOiaʻiʻo - holoi i ke kī mua |
KAPALAKA | {CAPSLOCK} |
ESC | {ESC} |
ʻAoʻaoUp | {PageUp} |
Down | ↓ |
e kāpae i | {DEL} |
" | " |
F5 | {F5} |
& | & |
F10 | {F10} |
TAB | {TAB} |
< | < |
> | > |
Space | |
F8 | {F8} |
F12 | {F12} |
F9 | {F9} |
ALT + TAB | {ALT+TAB} |
hopena | {END} |
F4 | {F4} |
F2 | {F2} |
CTRL | {CTRL} |
F6 | {F6} |
Akau | → |
Up | ↑ |
F1 | {F1} |
Hema | ← |
Palapala iho | {Palapala iho} |
hookomo | {Hookomo} |
loaa | {lanakila} |
ʻO NumLock | {NumLock} |
F11 | {F11} |
F3 | {F3} |
HOME | {HOME} |
ENTER | {KOMO} |
ALT + F4 | {ALT+F4} |
F7 | {F7} |
Kiʻi ʻē aʻe | Aia ke ʻano ma luna a haʻahaʻa paha ma muli o nā kūlana o nā kī CapsLock a me Shift |
Ma kahi alapine i kuhikuhi ʻia, hoʻouna ʻia ka log i hōʻiliʻili ʻia i ke kikowaena. Inā ʻaʻole i kūleʻa ka hoʻoili ʻana, mālama ʻia ka log i kahi faila %TEMP%log.tmp ma ke ano:
Ke ahi ka manawa, e hoʻoili ʻia ka faila i ke kikowaena.
ScreenLogger
Ma kahi alapine i kuhikuhi ʻia, hana ka malware i kahi kiʻi paʻi ma ke ʻano ʻO Jpeg me ke ano e like ai like me 50 a mālama ia i kahi faila %APPDATA %<Ke kaʻina like ʻole o 10 mau huapalapala>.jpg. Ma hope o ka hoʻoili ʻana, holoi ʻia ka faila.
ClipboardLogger
Inā hoʻonoho ʻia ka hae kūpono, e hana ʻia nā mea pani i ka kikokikona i hoʻopaʻa ʻia e like me ka papa ma lalo.
Ma hope o kēia, hoʻokomo ʻia ka kikokikona i loko o ka log:
mea huna huna
Hiki i ka malware ke hoʻoiho i nā ʻōlelo huna mai kēia mau noi:
Nā Kūpono Pūnaewele | Nā mea kūʻai leka uila | Nā mea kūʻai FTP |
ikona | Outlook | FileZilla |
Firefox | Kaukoki | WS_FTP |
IE/Edge | Foxmail | ʻO WinSCP |
Safari | ʻO ka leka uila | CoreFTP |
Pūnaewele Haka | Pākuʻi nui | FTP Navigator |
Yandex | Pocomail | FlashFXP |
ʻO Comodo | Eudora | SmartFTP |
ChromePlus | ʻO ka ʻōpeʻa | FTPCommander |
Chromium | Pane Postbox | |
'O Torch | ClawsMail | |
7Star | ||
E ka hoaaloha | ||
ʻO BraveSoftware | ʻO nā mea kūʻai aku ʻo Jabber | Nā mea kūʻai VPN |
CentBrowser | Psi/Psi+ | Wehe VPN |
ʻO Chedot | ||
CocCoc | ||
Mākaʻikaʻi Elements | Download Managers | |
Pūnaewele ʻImi Epic | Internet Download manakia | |
Kometa | JDownloader | |
orbitum | ||
Sputnik | ||
uCozMedia | ||
ʻO Vivaldi | ||
SeaMonkey | ||
Pūnaehana Flock | ||
UC Pūnaewele | ||
BlackHawk | ||
CyberFox | ||
K-Meleon | ||
ʻO IceCat | ||
hau hau | ||
ʻO PaleMoon | ||
WaterFox | ||
ʻO Falkon Browser |
Kūʻē i ka nānā ʻana i ka dynamic
- Ke hoʻohana nei i ka hana hiamoe. ʻAe iā ʻoe e kāʻalo i kekahi mau pahu one ma ka manawa pau
- Ka luku ʻana i kahi kaula Wahi.E hoʻomaopopo. Hiki iā ʻoe ke hūnā i ka ʻoiaʻiʻo o ka hoʻoiho ʻana i kahi faila mai ka Pūnaewele
- I ka palena %filter_list% kuhikuhi i ka papa inoa o nā kaʻina hana e hoʻopau ai ka polokalamu kiloʻino i nā manawa o hoʻokahi kekona
- Hoʻokaʻawale UAC
- Hoʻopau i ka luna hana
- Hoʻokaʻawale CMD
- Hoʻopau i ka puka makani «Vыполнить»
- Hoʻopau i ka Panel Mana
- Hoʻopau i kahi mea hana Kau ka hoʻonohonoho ʻana
- Hoʻopau i nā wahi hoʻihoʻi ʻōnaehana
- Hoʻopau i ka papa kuhikuhi ʻatikala ma Explorer
- Hoʻokaʻawale KANAKA
- Bypass UAC:
Nā hiʻohiʻona hana ʻole o ka module nui
I ka wā o ka nānā ʻana o ka module nui, ua ʻike ʻia nā hana i kuleana no ka hoʻolaha ʻana i ka pūnaewele a me ka nānā ʻana i ke kūlana o ka ʻiole.
i hoaka
E nānā ʻia nā hanana no ka hoʻopili ʻana i nā media wehe ʻia ma kahi pae ʻokoʻa. Ke hoʻopili ʻia, kope ʻia ka polokalamu malware me ka inoa i ke kumu o ka ʻōnaehana faila scr.exe, ma hope o ka huli ʻana i nā faila me ka hoʻonui lnk. Ka hui o kēlā me kēia kanaka lnk hoʻololi i cmd.exe /c hoʻomaka scr.exe&hoʻomaka <ke kauoha kumu>& puka.
Hāʻawi ʻia kēlā me kēia papa kuhikuhi ma ke kumu o ka media i kahi ʻano "Huna" a ua hana ʻia kahi faila me ka hoʻonui lnk me ka inoa o ka papa kuhikuhi huna a me ke kauoha cmd.exe /c hoʻomaka scr.exe&explorer /root,"%CD%<DIRECTORY NAME>" & puka.
Kiʻi ʻIole
ʻO ke ala no ka hana interception ua like ia me ka mea i hoʻohana ʻia no ka keyboard. Ke kūkulu ʻia nei kēia hana.
Hana waihona
Ala | hōʻikeʻano |
%Temp%temp.tmp | Loaʻa i kahi counter no ka hoʻāʻo ʻana i ka UAC bypass |
%startupfolder%%infolder%%insname% | ʻO ke ala e hāʻawi ʻia i ka ʻōnaehana HPE |
%Temp%tmpG{Ka manawa o kēia manawa i milliseconds}.tmp | Ala no ka hoʻihoʻi ʻana i ka module nui |
%Temp%log.tmp | waihona waihona |
%AppData%{He kaʻina like ʻole o 10 mau huapalapala}.jpeg | Nānāʻana |
C:UsersPublic{He kaʻina hana ʻole o 10 huaʻōlelo}.vbs | ʻO ke ala i kahi faila vbs hiki i ka bootloader ke hoʻohana e hoʻopili i ka ʻōnaehana |
%Temp%{Ka inoa waihona maʻamau}{Ka inoa faila} | Ke ala i hoʻohana ʻia e ka bootloader e hoʻopili iā ia iho i ka ʻōnaehana |
Kiʻi hoʻouka kaua
Mahalo i ka ʻikepili hōʻoia paʻakikī, ua hiki iā mākou ke komo i ke kikowaena kauoha.
Ua ʻae kēia iā mākou e ʻike i ka leka uila hope loa o nā mea hoʻouka:
junaid[.]in***@gmail[.]com.
Hoʻopaʻa inoa ʻia ka inoa kikowaena o ke kikowaena kauoha i ka leka uila sg***@gmail[.]com.
hopena
I ka wā o ka loiloi kikoʻī o ka malware i hoʻohana ʻia i ka hoʻouka ʻana, ua hiki iā mākou ke hoʻokumu i kāna hana a loaʻa i ka papa inoa piha loa o nā hōʻailona o ka ʻae ʻana e pili ana i kēia hihia. ʻO ka hoʻomaopopo ʻana i nā ʻano hana o ka launa pū ʻana ma waena o ka malware i hiki ke hāʻawi i nā ʻōlelo aʻoaʻo no ka hoʻoponopono ʻana i ka hana o nā mea hana palekana ʻike, a me ke kākau ʻana i nā lula IDS paʻa.
Pilikia nui ʻAgentTesla e like me DataStealer i ka mea ʻaʻole pono e hoʻokō i ka ʻōnaehana a kali paha i kahi kauoha mana e hana i kāna mau hana. I ka manawa ma ka mīkini, hoʻomaka koke ia e hōʻiliʻili i ka ʻike pilikino a hoʻoili iā ia i CnC. ʻO kēia ʻano hana hoʻomāinoino i kekahi mau ʻano e like me ke ʻano o ka ransomware, me ka ʻokoʻa wale nō ʻaʻole pono ka mea hope i kahi pilina pūnaewele. Inā ʻoe e hālāwai me kēia ʻohana, ma hope o ka hoʻomaʻemaʻe ʻana i ka ʻōnaehana maʻi mai ka malware ponoʻī, pono ʻoe e hoʻololi i nā ʻōlelo huna a pau i hiki ke mālama ʻia i loko o kekahi o nā noi i helu ʻia ma luna.
Ke nānā nei i mua, e ʻōlelo kākou e hoʻouna ana nā mea hoʻouka ʻAgentTesla, hoʻololi pinepine ʻia ka mea hoʻoili pahu pahu mua. Hāʻawi kēia iā ʻoe e noho ʻike ʻole ʻia e nā scanner static a me nā mea nānā heuristic i ka manawa o ka hoʻouka ʻana. A ʻo ka manaʻo o kēia ʻohana e hoʻomaka koke i kā lākou mau hana e hoʻohana pono ʻole nā nānā ʻōnaehana. ʻO ke ala maikaʻi loa e hakakā ai iā AgentTesla ʻo ia ka loiloi mua i loko o kahi pahu one.
Ma ka ʻatikala ʻekolu o kēia pūʻulu e nānā mākou i nā bootloaders ʻē aʻe i hoʻohana ʻia ʻAgentTesla, a e aʻo pū i ke kaʻina hana o kā lākou wehe ʻana i ka semi-aunoa. Mai poina!
Hash
SHA1 |
A8C2765B3D655BA23886D663D22BDD8EF6E8E894 |
8010CC2AF398F9F951555F7D481CE13DF60BBECF |
79B445DE923C92BF378B19D12A309C0E9C5851BF |
15839B7AB0417FA35F2858722F0BD47BDF840D62 |
1C981EF3EEA8548A30E8D7BF8D0D61F9224288DD |
ʻO C&C
URL |
sina-c0m[.]icu |
smtp[.]sina-c0m[.]icu |
RegKey
Kakau inoa |
HKCUSoftwareMicrosoftWindowsCurrentVersionRun{Paʻi inoa} |
HKCUSoftwareMicrosoftWindowsCurrentVersionRun%insregname% |
HKCUSOFTWAREMicrosoftWindowsCurrentVersionExplorerStartupApprovedRun%insregname% |
Mutex
ʻAʻohe hōʻailona.
waihona
Hana waihona |
%Temp%temp.tmp |
%startupfolder%%infolder%%insname% |
%Temp%tmpG{Ka manawa o kēia manawa i milliseconds}.tmp |
%Temp%log.tmp |
%AppData%{He kaʻina like ʻole o 10 mau huapalapala}.jpeg |
C:UsersPublic{He kaʻina hana ʻole o 10 huaʻōlelo}.vbs |
%Temp%{Ka inoa waihona maʻamau}{Ka inoa faila} |
Nā Laʻana ʻIke
inoa | Unknown |
MD5 | F7722DD8660B261EA13B710062B59C43 |
SHA1 | 15839B7AB0417FA35F2858722F0BD47BDF840D62 |
SHA256 | 41DC0D5459F25E2FDCF8797948A7B315D3CB0753 98D808D1772CACCC726AF6E9 |
ʻAno | PE (.NET) |
Size | 327680 |
Inoa Kumu | AZZRIDKGGSLTYFUUBCCRRCUMRKTOXFVPDKGAGPUZI_20190701133545943.exe |
DateStamp | 01.07.2019 |
Kāpekole | VB.NET |
inoa | IELlibrary.dll |
MD5 | BFB160A89F4A607A60464631ED3ED9FD |
SHA1 | 1C981EF3EEA8548A30E8D7BF8D0D61F9224288DD |
SHA256 | D55800A825792F55999ABDAD199DFA54F3184417 215A298910F2C12CD9CC31EE |
ʻAno | PE (.NET DLL) |
Size | 16896 |
Inoa Kumu | IELlibrary.dll |
DateStamp | 11.10.2016 |
Kāpekole | Microsoft Linker(48.0*) |
Source: www.habr.com