Me kēia ʻatikala mākou e hoʻopau ai i ke ʻano o nā paʻi i hoʻolaʻa ʻia i ka nānā ʻana i nā polokalamu ʻino. IN Ua alakaʻi mākou i kahi kikoʻī kikoʻī o kahi faila i loaʻa i kahi hui ʻEulopa ma ka leka uila a loaʻa iā AgentTesla spyware ma laila. In ua wehewehe i nā hopena o ka hoʻopaʻa ʻana i kēlā me kēia pae o ka module AgentTesla nui.
I kēia lā ʻo Ilya Pomerantsev, kahi loea i ka loiloi malware ma CERT Group-IB, e kamaʻilio e pili ana i ka pae mua o ka nānā ʻana i ka malware - semi-aunoa unpacking o AgentTesla samples me ka hoʻohana ʻana i ka laʻana o ʻekolu mau hihia liʻiliʻi mai ka hoʻomaʻamaʻa ʻana o nā loea CERT Group-IB.
ʻO ka maʻamau, ʻo ka pae mua o ka nānā ʻana i ka malware ka wehe ʻana i ka pale ma ke ʻano o kahi packer, cryptor, protector a loader. I ka hapanui o nā hihia, hiki ke hoʻopau ʻia kēia pilikia ma o ka holo ʻana i ka malware a me ka hana ʻana i kahi dump, akā aia kekahi mau kūlana i kūpono ʻole kēia ala. No ka laʻana, inā he hoʻopunipuni ka polokalamu kiloʻino, inā pale ʻo ia i kona mau wahi hoʻomanaʻo mai ka hoʻolei ʻia ʻana, inā loaʻa i ke code nā mīkini ʻike mīkini virtual, a i ʻole e hoʻomaka hou ka polokalamu ma hope o ka hoʻomaka ʻana. Ma ia mau hihia, hoʻohana ʻia ka mea i kapa ʻia ʻo "semi-automatic" unpacking, ʻo ia hoʻi, aia ka mea noiʻi i ka mana piha o ke kaʻina hana a hiki ke komo i kēlā me kēia manawa. E noʻonoʻo kākou i kēia kaʻina hana e hoʻohana ana i ʻekolu mau laʻana o ka ʻohana AgentTesla ma ke ʻano he laʻana. He polokalamu kino ʻole kēia inā hoʻopau ʻoe i kāna ʻike pūnaewele.
Laʻana No. 1
ʻO ka waihona kumu he palapala MS Word e hoʻohana ana i ka vulnerability CVE-2017-11882.
ʻO ka hopena, hoʻoiho ʻia ka uku uku a hoʻomaka.
Hōʻike ka nānā ʻana i ka lāʻau kaʻina hana a me nā hōʻailona hana i ka hoʻokomo ʻana i ke kaʻina hana RegAsm.exe.
Loaʻa nā hōʻailona ʻano ʻano o AgentTesla.
ʻO ka laʻana i hoʻoiho ʻia ka mea hiki ke hoʻokō .net-file mālama ʻia e kahi mea pale .NET Reactor.
E wehe kākou i ka pono dnSpy x86 a neʻe aku i kahi e komo ai.
Ma ka hele ʻana i ka hana Hoʻopaʻa manawa, e ʻike mākou i ka code initialization no ka mea hou .net-module. E kau kakou wahi haʻihaʻi ma ka laina makemake mākou a holo i ka faila.
I loko o kekahi o nā pale i hoʻihoʻi ʻia hiki iā ʻoe ke ʻike i ka pūlima MZ (0x4D 0x5A). E mālama kākou.
ʻO kahi faila hiki ke hoʻokuʻu ʻia he waihona hoʻolalelale ʻo ia ka loader, ʻo ia hoʻi. unuhi i ka uku mai ka ʻāpana waiwai a hoʻomaka.
I ka manawa like, ʻaʻole i loaʻa nā kumuwaiwai pono iā lākou iho i ka hoʻolei. Aia lākou i ka laʻana makua.
Mea hoʻohana dnSpy Loaʻa iā ia ʻelua mau hana pono loa e kōkua iā mākou e hana wikiwiki i kahi "Frankenstein" mai ʻelua mau faila pili.
- ʻO ka mea mua e ʻae iā ʻoe e "paʻi" i kahi hale waihona puke i loko o ka laʻana makua.
- ʻO ka lua, ʻo ke kākau hou ʻana i ke code hana ma ka helu komo e kāhea i ke ʻano makemake o ka waihona dynamic i hoʻokomo ʻia.
Mālama mākou i kā mākou "Frankenstein", hoʻonohonoho wahi haʻihaʻi ma ka laina e hoʻihoʻi i kahi pale me nā kumuwaiwai decrypted, a hana i kahi dump ma ka hoʻohālikelike me ka pae mua.
Ua kākau ʻia ka lua hoʻolei VB.NET he faila hiki ke hoʻokō ʻia i pale ʻia e kahi mea pale i kamaʻāina iā mākou HuihuiEx.
Ma hope o ka wehe ʻana i ka mea pale, hoʻohana mākou i nā lula YARA i kākau mua ʻia a e hōʻoia ʻo ia ʻo AgentTesla maoli ka malware unpacked.
Laʻana No. 2
He palapala MS Excel ka waihona kumu. ʻO kahi macro i kūkulu ʻia ke kumu o ka hoʻokō ʻana i nā code ʻino.
ʻO ka hopena, ua hoʻokuʻu ʻia ka palapala PowerShell.
Hoʻokaʻawale ka palapala i ka code C # a hoʻololi i ka mana iā ia. ʻO ke code ponoʻī he bootloader, e like me ke ʻike ʻia mai ka hōʻike sandbox.
Hiki ke hoʻokō ʻia ka uku uku .net- waihona.
Ke wehe nei i ka faila ma dnSpy x86, hiki iā ʻoe ke ʻike ua pohihihi. Wehe i ka obfuscation me ka hoʻohana ʻana i ka pono de4dot a hoʻi i ka hoʻopaʻa ʻana.
I ka nānā ʻana i ke code, ʻike paha ʻoe i kēia hana:
ʻIke ʻia nā laina i hoʻopaʻa ʻia Kakau komo и Kāhea. Hoʻokomo mākou wahi haʻihaʻi i ka laina mua, e holo a mālama i ka waiwai buffer byte_0.
Hoʻohana hou ka dump .net a hoomaluia HuihuiEx.
Wehe mākou i ka obfuscation me ka hoʻohana ʻana de4dot a hoʻouka i dnSpy. Mai ka wehewehe faila ʻike mākou e kū nei mākou CyaX-Sharp loader.
Loaʻa i kēia loader nā hana anti-analysis.
Hoʻopili kēia hana i ka pale ʻana i nā ʻōnaehana pale Windows i kūkulu ʻia, ka hoʻopau ʻana i ka Windows Defender, a me ka sandbox a me nā mīkini ʻike maka. Hiki ke hoʻouka i ka uku mai ka pūnaewele a i ʻole e mālama iā ia ma ka ʻāpana waiwai. Hana ʻia ka hoʻokuʻu ʻana ma o ka hoʻokomo ʻana i kāna kaʻina hana ponoʻī, i loko o kahi kope o kāna hana ponoʻī, a i ʻole i loko o nā kaʻina hana MSBuild.exe, vbc.exe и RegSvcs.exe ma muli o ka palena i koho ʻia e ka mea hoʻouka.
Eia naʻe, no mākou ʻaʻole lākou i koʻikoʻi ma mua AntiDump-hana e hoʻohui HuihuiEx. Hiki ke loaʻa kona code kumu ma .
No ka hoʻopau ʻana i ka pale, e hoʻohana mākou i ka manawa dnSpy, hiki iā ʻoe ke hoʻoponopono IL-kāpae.
Mālama a hoʻokomo wahi haʻihaʻi i ka laina o ke kahea ana i ka hana decryption uku. Aia ia i loko o ka mea hana o ka papa nui.
Hoʻomaka mākou a hoʻolei i ka ukana. Ke hoʻohana nei i nā lula YARA i kākau mua ʻia, ʻike mākou ʻo AgentTesla kēia.
Laʻana No. 3
ʻO ka waihona kumu ka mea hiki ke hoʻokō VB Kupa PE32- waihona.
Hōʻike ka ʻikepili Entropy i ka loaʻa ʻana o kahi ʻāpana nui o ka ʻikepili i hoʻopili ʻia.
Ke kālailai i ka palapala noi ma VB Decompiler ʻike paha ʻoe i kahi kāʻei pixelated ʻē.
Entropy pakuhi bmp-ʻano like ke kiʻi me ka pakuhi entropy o ka faila kumu, a ʻo ka nui he 85% o ka nui o ka faila.
Hōʻike ka hiʻohiʻona maʻamau o ke kiʻi i ka hoʻohana ʻana i ka steganography.
E noʻonoʻo kākou i ke ʻano o ka lāʻau kaʻina hana, a me ke ʻano o kahi hōʻailona injection.
Hōʻike kēia i ka wehe ʻana i ka waihona. No nā mea hoʻouka Visual Basic (aka VBKrypt ai ole ia, VBInjector) hoʻohana maʻamau shellcode e hoʻomaka i ka uku, a me ka hana ʻana i ka injection ponoʻī.
ʻIkepili ma VB Decompiler hōʻike i kahi hanana haawe ma ke ano FegatassocAirballoon2.
E hele kāua i IDA pro i ka helu wahi i kuhikuhi ʻia a e aʻo i ka hana. Hoʻopili nui ʻia ke code. Hōʻike ʻia ka ʻāpana hoihoi iā mākou ma lalo nei.
Ma ʻaneʻi e nānā ʻia ka wahi helu wahi o ke kaʻina no kahi pūlima. He mea kānalua loa kēia ala.
ʻO ka mua, ka helu hoʻomaka scanning 0x400100. Paʻa kēia waiwai a ʻaʻole hoʻololi ʻia ke hoʻololi ʻia ke kumu. I loko o nā kūlana greenhouse kūpono e hōʻike i ka hopena PE-ke poʻo o ka faila hiki ke hoʻokō. Eia naʻe, ʻaʻole paʻa ka waihona, hiki ke hoʻololi i kona waiwai, a ʻo ka ʻimi ʻana i ka helu maoli o ka pūlima i koi ʻia, ʻoiai ʻaʻole ia e hoʻonui i ka loli, hiki ke lōʻihi loa.
ʻO ka lua, ʻo ke ʻano o ka pūlima iWGK. Manaʻo wau he mea liʻiliʻi loa ka 4 bytes e hōʻoiaʻiʻo i ka ʻokoʻa. A inā ʻoe e noʻonoʻo i ka helu mua, ʻoi aku ka kiʻekiʻe o ke kuhi hewa.
ʻO kaʻoiaʻiʻo, ua hoʻopiliʻia ka'āpana i makemakeʻia i ka hopena o ka mea i loaʻa mua bmp- nā kiʻi ma ka offset 0xA1D0D.
Hana Shellcode hana ʻia ma nā ʻanuʻu ʻelua. ʻO ka mea mua e wehewehe i ke kino nui. I kēia hihia, hoʻoholo ʻia ke kī e ka ikaika ʻino.
E hoʻolei i ka mea decrypted Shellcode a nana i na laina.
ʻO ka mea mua, ʻike mākou i ka hana e hana i kahi kaʻina keiki: CreateProcessInternalW.
ʻO ka lua, ua ʻike mākou i ke ʻano o ka hoʻoponopono ʻana i ka ʻōnaehana.
E hoʻi kāua i ke kaʻina hana mua. E kau kakou wahi haʻihaʻi maluna o CreateProcessInternalW a hoʻomau i ka hoʻokō. A laila ʻike mākou i ka pilina NtGetContextThread/NtSetContextThread, ka mea e hoʻololi i ka helu hoʻomaka hoʻokō i ka helu wahi ShellCode.
Hoʻopili mākou i ka hana i hana ʻia me kahi debugger a hoʻāla i ka hanana Hoʻokuʻu i ka hoʻouka / hoʻouka ʻana i ka waihona, hoʻomau i ke kaʻina hana a kali no ka hoʻouka ʻana .net- nā hale waihona puke.
Hoʻohana hou aku HanaHacker e hoʻolei i nā ʻāpana i hoʻopaʻa ʻole ʻia .net-palapala.
Hoʻopau mākou i nā kaʻina hana a pau a holoi i ke kope o ka malware i hoʻokomo ʻia i loko o ka ʻōnaehana.
Mālama ʻia ka faila i hoʻolei ʻia e kahi mea pale .NET Reactor, hiki ke wehe maʻalahi me ka hoʻohana ʻana i kahi pono de4dot.
Ke hoʻohana nei i nā lula YARA i kākau mua ʻia, ʻike mākou ʻo AgentTesla kēia.
E hōʻuluʻulu kākou
No laila, ua hōʻike mākou i nā kikoʻī i ke kaʻina o ka wehe ʻana i ka laʻana semi-aunoa me ka hoʻohana ʻana i ʻekolu mini-hihia ma ke ʻano he laʻana, a ua kālailai pū ʻia hoʻi i ka malware e pili ana i kahi hihia piha, e ʻike ana ʻo ka hāpana ma lalo o ke aʻo ʻana ʻo AgentTesla, e hoʻokumu ana i kāna hana a me kahi. papa inoa piha o nā hōʻailona o ke kuʻikahi.
ʻO ka nānā ʻana o ka mea ʻino a mākou i hana ai e pono ai ka manawa a me ka hoʻoikaika ʻana, a pono e hana ʻia kēia hana e kekahi limahana kūikawā i loko o ka hui, akā ʻaʻole mākaukau nā hui āpau e hoʻolimalima i kahi mea loiloi.
ʻO kekahi o nā lawelawe i hāʻawi ʻia e ka Group-IB Laboratory of Computer Forensics and Malicious Code Analysis ka pane ʻana i nā hanana cyber. A i ʻole e hoʻopau nā mea kūʻai aku i ka manawa e ʻae i nā palapala a kūkākūkā iā lākou ma waena o kahi hoʻouka kaua cyber, ua hoʻokumu ʻo Group-IB Ka mea hoʻopaʻa pane ʻino, he lawelawe pane ʻana i nā hanana ma mua o ka hoʻopaʻa inoa ʻana e komo pū ana me kahi kaʻina loiloi malware. Hiki ke loaʻa ka ʻike hou aku e pili ana i kēia .
Inā makemake ʻoe e aʻo hou pehea e wehe ʻia ai nā laʻana o AgentTesla a ʻike pehea e hana ai kahi loea CERT Group-IB, hiki iā ʻoe ke hoʻoiho i ka hoʻopaʻa pūnaewele webinar ma kēia kumuhana. .
Source: www.habr.com