Izlaznost nije uspjela: izložimo AgentTeslu čistoj vodi. 1. dio
Nedavno je europski proizvođač elektroinstalacijske opreme kontaktirao Group-IB - njegov je zaposlenik poštom primio sumnjivo pismo sa zlonamjernim privitkom. Ilya Pomerantsev, stručnjak za analizu zlonamjernog softvera u CERT Group-IB, proveo je detaljnu analizu ove datoteke, otkrio tamo špijunski softver AgentTesla i rekao što očekivati od takvog zlonamjernog softvera i koliko je opasan.
Ovim postom otvaramo seriju članaka o tome kako analizirati takve potencijalno opasne datoteke, a one najznatiželjnije 5. prosinca čekamo na besplatnom interaktivnom webinaru na tu temu “Analiza zlonamjernog softvera: analiza stvarnih slučajeva”. Svi detalji su ispod kroja.
Mehanizam distribucije
Znamo da je zlonamjerni softver došao do žrtvinog stroja putem phishing e-pošte. Primatelj pisma vjerojatno je BCCed.
Analiza zaglavlja pokazuje da je pošiljatelj pisma lažiran. Zapravo, pismo je otišlo s vps56[.]oneworldhosting[.]com.
Privitak e-pošte sadrži WinRar arhivu qoute_jpeg56a.r15 sa zlonamjernom izvršnom datotekom QOUTE_JPEG56A.exe unutra.
Ekosustav zlonamjernog softvera
Sada da vidimo kako izgleda ekosustav zlonamjernog softvera koji se proučava. Donji dijagram prikazuje njegovu strukturu i smjer interakcije komponenti.
Sada pogledajmo detaljnije svaku od komponenti zlonamjernog softvera.
Utovarivač
Izvorna datoteka QOUTE_JPEG56A.exe je sastavljen AutoIt v3 skripta.
Za maskiranje izvorne skripte, maskator sa sličnim PELock AutoIT-Obfuscator karakteristike.
Demaskiranje se provodi u tri faze:
Uklanjanje zamagljivanja Za-Ako
Prvi korak je vratiti kontrolni tok skripte. Control Flow Flattening jedan je od najčešćih načina zaštite binarnog koda aplikacije od analize. Zbunjujuće transformacije dramatično povećavaju složenost izdvajanja i prepoznavanja algoritama i struktura podataka.
Oporavak reda
Za šifriranje nizova koriste se dvije funkcije:
gdorizabegkvfca - Izvodi dekodiranje slično Base64
xgacyukcyzxz - jednostavni bajt-bajt XOR prvog niza s duljinom drugog
Uklanjanje zamagljivanja BinaryToString и Izvršiti
Glavni teret pohranjuje se u podijeljenom obliku u direktoriju Krstionica odjeljci resursa datoteke.
Funkcija WinAPI koristi se za dešifriranje ekstrahiranih podataka CryptDecrypt, a ključ sesije generiran na temelju vrijednosti koristi se kao ključ fZgFiZlJDxvuWatFRgRXZqmNCIyQgMYc.
Dekriptirana izvršna datoteka šalje se na ulaz funkcije Pokreni PE, koji provodi ProcessInject в RegAsm.exe pomoću ugrađenog ShellCode (također poznat kao Pokreni PE ShellCode). Autorstvo pripada korisniku španjolskog foruma neotkriveni[.]net pod nadimkom Wardow.
Također je vrijedno napomenuti da je u jednoj od tema ovog foruma maskir za AutoIt sa sličnim svojstvima utvrđenim tijekom analize uzorka.
sam ShellCode prilično jednostavan i privlači pozornost samo posuđen od hakerske skupine AnunakCarbanak. API funkcija raspršivanja poziva.
Također smo svjesni slučajeva upotrebe Francuski Shellcode različite verzije.
Uz opisanu funkcionalnost, identificirali smo i neaktivne funkcije:
Blokiranje ručnog prekida procesa u upravitelju zadataka
Ponovno pokretanje podređenog procesa kada završi
Zaobići UAC
Spremanje nosivosti u datoteku
Demonstracija modalnih prozora
Čeka se promjena položaja pokazivača miša
AntiVM i AntiSandbox
Samouništenje
Crpanje korisnog tereta iz mreže
Znamo da je takva funkcionalnost tipična za zaštitnik CypherIT, koji je, očito, dotični bootloader.
Glavni modul softvera
Zatim ćemo ukratko opisati glavni modul zlonamjernog softvera i detaljnije ga razmotriti u drugom članku. U ovom slučaju radi se o aplikaciji na NET..
Tijekom analize otkrili smo da je korišten obfuscator ConfuserEX.
IELibrary.dll
Knjižnica je pohranjena kao izvor glavnog modula i dobro je poznati dodatak za Agent Tesla, koji pruža funkcionalnost za izdvajanje raznih informacija iz preglednika Internet Explorer i Edge.
Agent Tesla modularni je softver za špijuniranje koji se distribuira pomoću modela malware-as-a-service pod krinkom legitimnog keylogger proizvoda. Agent Tesla može izvući i prenijeti korisničke vjerodajnice iz preglednika, klijenata e-pošte i FTP klijenata na poslužitelj napadačima, snimati podatke međuspremnika i snimati zaslon uređaja. U vrijeme analize službena web stranica programera bila je nedostupna.
Ulazna točka je funkcija GetSavedPasswords klasa InternetExplorer.
Općenito, izvršavanje koda je linearno i ne sadrži nikakvu zaštitu od analize. Samo nerealizirana funkcija zaslužuje pozornost GetSavedCookies. Navodno je funkcionalnost dodatka trebala biti proširena, ali to nikada nije učinjeno.
Priključivanje bootloadera na sustav
Proučimo kako je bootloader priključen na sustav. Uzorak koji se proučava ne sidri se, ali u sličnim slučajevima to se događa prema sljedećoj shemi:
U mapi C:UsersPublic skripta je stvorena Visual Basic
Primjer skripte:
Sadržaj datoteke za učitavanje dopunjava se nultim znakom i sprema u mapu %Temp%<naziv prilagođene mape><naziv datoteke>
Ključ za automatsko pokretanje stvara se u registru za datoteku skripte HKCUSoftwareMicrosoftWindowsCurrentVersionRun<Naziv skripte>
Dakle, na temelju rezultata prvog dijela analize, uspjeli smo utvrditi imena obitelji svih komponenti zlonamjernog softvera koji se proučava, analizirati obrazac infekcije i također dobiti objekte za pisanje potpisa. Nastavit ćemo našu analizu ovog objekta u sljedećem članku, gdje ćemo detaljnije pogledati glavni modul Agent Tesla. Ne propustite!
Usput, 5. prosinca pozivamo sve čitatelje na besplatni interaktivni webinar na temu “Analiza zlonamjernog softvera: analiza stvarnih slučajeva”, gdje će autor ovog članka, stručnjak CERT-GIB-a, online pokazati prvu fazu malware analiza - poluautomatsko raspakiranje uzoraka na primjeru tri stvarna mini-slučaja iz prakse, au analizi možete sudjelovati i sami. Webinar je prikladan za stručnjake koji već imaju iskustva u analizi zlonamjernih datoteka. Registracija je isključivo putem poslovne e-pošte: prijaviti. Čekam te!